На Huntress им се наложи да влизат в защитен режим заради репортажа си
По-рано тази седмица ви разказахме за забавния опит на една компания за киберсигурност. Става дума за Huntress, снабдител на известни EDR и SIEM решения (Endpoint Detection & Response). Когато засичат, че киберпрестъпник е конфигурирал пробна версия на EDR програмата им, Huntress вземат решение да се възползват. В продължение на три месеца, те наблюдават и записват всички негови дейности. Търсенията му в Гугъл, свалените от него стратегии, цялостният modus operandi на един киберпрестъпник.
Скоро след публикуването на репортажа обаче, на Huntress им се наложило да влизат в пояснителен режим. В обществени мрежи и уеб сайтове, хора от защитната промишленост и други, разясняват държанието на компанията в тази ситуация. Някои го утвърждават, други – не.
Платформите за отбрана на крайни точки (EDR), както може и да разберете от това малко резюме на Microsoft, се разграничават от обичайните антивирусни решения. Най-вече по степента си на инвазивност и степен на покритие на защитавания периметър. Това, че въпросният киберпрестъпник, който очевидно не е някакъв запалянко просто, е позволил обикновени пропуски, тъй че да е наблюдаван и разпознат от Huntress, не е тематика за разискване. От някои от последвалите рецензии и мнения към репортажа на Huntress излиза наяве, че към момента не всички знаят по какъв начин действа киберзащитата. Както обичайните, по този начин и модерните, многоспектърни защитни решения би трябвало да познават всеки файл на системата ви, всеки уебсайт, който се посещава. Тези, които употребяват облак, от време на време качват файлове от системата ви за спомагателен разбор. Морално, вярно или не, когато потребителят се отбелязва единодушието си с политиките на дадения артикул, разногласието е непотребен.
Софтуерът на Huntress и сходни отиват по-далеч за обезпечаването на самодейна, а не просто реактивна отбрана. И в този смисъл, степента на инвазивност е по-висока. EDR решенията се употребяват в корпоративни среди главно, а не за персонална приложимост. Вземайки поради, че „ жертвата “ на Huntress е атакувал компании, евентуално изборът му да конфигурира софтуера им не е инцидентен. В репортажа си Huntress настояват, че това е станало с помощта на проведена от тях Гугъл ADS акция.
„ Това звучи, като цялостна офанзива към персоналната цялост “, твърди един от коментиращите в „ X “.
Снехал Антани, шеф на киберзащитната компания Horizon3.ai, също насочва рецензия, само че разумна. „ Тези дейности дават на бранителите неповторима видимост. Но тя също повдига и значим въпрос “, написа Антани. „ Трябва ли частна компания да може да следи противниковата страна по този метод? И не са ли били длъжни да уведомят управляващите, откакто са минали границата сред реакция на случай към събиране на доказателства? “. И друго. В обявата си, Huntress пишат, че при инсталирането на сътрудника им, те са разпознали машината, като взела участие в офанзиви. Друг от коментиращите ги пита дали след установяването на незаконна интензивност са уведомили управляващите? Huntress не дават отговор на въпроса.
Целият този звук наподобява е тормозил Huntress, които през вчерашния ден внесоха конкретизиране.
Те изясняват, че не били следили въпросния хакер в продължение на три месеца. Агентът на програмата им прокиснал на системата едвам 84 минути. А самата обява, описваща дейностите му в продължение на три месеца се базира на извлечената история на браузъра му. След като разбрали, че тази машина е взела участие в офанзиви, те деинсталирали програмата си. „ Извличане на историята на браузъра “ си звучи тъкмо като способ на киберпрестъпник.
„ Към този миг, ние разследвахме в допълнение, с цел да определим същинските планове на потребителя. В това число дали не желае да компрометира продукта ни. След следствието и обстоятелството, че машината е взела участие в произшествия в предишното, ние установихме, че потребителят е злоумишлен. И в последна сметка деинсталирахме сътрудника “, пишат те. А частта в истинския текст е оставена: „ Обобщено, в границите на три месеца, ние видяхме еволюцията на атакуващата страна… “.
Ако с първичната си обява, както написа един от хората в „ Х “, Huntress са търсели някакъв PR резултат, май не се е получил.
