Хакерите се научиха да заобикалят защитата на EDR системите(снимка: CC0

Хакерите се научиха да заобикалят отбраната на EDR системите
(снимка: CC0 Public Domain)

Софтуерът за разкриване и реагиране на последна точка (EDR) се трансформира в известен метод за отбрана против офанзиви от рансъмуер. Изследователите обаче споделят, че хаковете, свързани с тази технология, въпреки и редки, последователно се усилват.

Тъй като хакерските офанзиви стават все по-разрушителни и всеобхватни, мощните принадлежности за отбрана станаха доста значими за промишлеността на киберсигурността. Софтуерът за разкриване и реагиране на крайни точки (EDR) е предопределен да открива ранни признаци на злонамерена активност на преносими компютри, компютри, сървъри и други устройства – „ крайни точки ” в компютърна мрежа – и да ги стопира, преди нападателите да могат да откраднат данни или да блокират устройството.

Но съгласно специалистите по киберсигурност, на които се базира Блумбърг, хакерите са създали решения за някои форми на технологиите EDR, което им разрешава да заобикалят артикули, наложени като златен стандарт за отбраната на сериозни системи.

Изследователи от няколко компании за киберсигурност настояват, че броят на офанзивите, при които EDR е деактивиран или заобиколен, е дребен, само че пораства, и че хакерите стават все по-изобретателни в намирането на способи да заобиколят по-силната отбрана, която EDR дава.
още по темата
Пазарът на EDR и други нови технологии за сигурност на крайни точки набъбна с 27% през предходната година, достигайки 8,6 милиарда $ в международен мащаб, воден от CrowdStrike и Microsoft, съгласно данни на IDC.

Един неоповестен до момента случай, оголен от Блумбърг, датира от октомври, когато датският екип по сигурност CSIS разследваше хакване на европейска индустриална компания. Според Ян Кааструп, шеф по нововъведенията в CSIS, хакерите са употребявали незнайна до момента накърнимост в EDR на Microsoft и са опаковали злотворен програмен продукт, тъй че да бъде открит от инструмент за сигурност, който предизвестява ИТ екипа на жертвата, че офанзивата е блокирана.

Пробивът е открит едвам когато жертвата вижда, че данните напущат корпоративната мрежа, и се свързва с датската компания за сигурност. Каструп прибавя, че „ софтуерът за сигурност не може да работи самичък – имаме потребност от очи върху екрана, комбинирани с технология ”.