EDR - Endpoint detection and responce
EDR – Endpoint detection and responce on virustorjuntaa edistyksellisempi ja tehokkaampi torjuntakeino päätelaitteiden suojaamiseen ja hyökkäysten ennaltaehkäisyyn.
EDR – Endpoint detection and responce on virustorjuntaa edistyksellisempi ja tehokkaampi torjuntakeino päätelaitteiden suojaamiseen ja hyökkäysten ennaltaehkäisyyn.
EDR:n toimintamalli koostuu kolmesta pääelementistä. Uhkien ehkäisystä, uhkien havaitsemisesta ja uhkiin reagoinnista.
Päätelaitteen turvallisuuden ylläpitämiseksi päätelaitteeseen, esimerkiksi tietokoneisiin asennetaan agenttiohjelma. Ohjelmat kerää ja analysoi päätelaitteen käyttöä mahdollisten hyökkäysten varalta.
Uhat tunnistetaan automaattisesti kehittyneen analytiikan, tekoälyn sekä koneoppimisen avulla.
Päätelaitteista kerättyä käyttäjä- ja ohjelmistotietoa lähetetään keskitetysti tietokantaan analysoitavaksi.
Tietokannan lisäksi sisäänrakennettu edistyksellinen tekoäly ja koneoppiminen tunnistavat poikkeavuuksia käytännöissä ja erottavat epäilyttävän toiminnan.
Epäilyttäviin toimiin reagoidaan välittömästi sovitulla toiminnalla.
Tämä voi olla esimerkiksi tietokoneessa olevan yksittäisen toiminnan tai ohjelman estäminen, tai verkkoyhteyden katkaiseminen ja karanteeniin asettaminen lisävahinkojen välttämiseksi jne.
Haitantekijät ja hyökkääjät etsivät jatkuvasti uusia tapoja murtautua järjestelmiin.
Tämä voi tarkoittaa sitä, että perinteiset virustentorjuntaratkaisut ja verkon palomuurit voivat olla riittämättömiä uusien, jatkuvasti muuttuvien uhkien edessä.
Koska EDR-suojaus oppii jatkuvasti keräämällä ja analysoimalla tietoja, sen avulla voidaan suojautua jopa aiemmin tuntemattomia eli ”nollapäivän” uhkia vastaan.
EDR erottaa haitallisen toiminnan normaalista käyttäjien toimista.
Haitallinen toiminta voidaan estää jo ennen kuin se alkaa. Tapahtumat saadaan myös asiantuntijoiden tarkemman arvioinnin kohteeksi.
Asiantuntijaraporttien pohjalta ohjelmistoa kehitetään jatkuvasti reagoimaan uusiin uhkiin. Raportit ovat myös asiakkaan käytettävissä tietoturvan tasoa arvioitaessa sekä kehitettäessä.
Yrittää levitä ja tartuttaa niin monta tiedostoa kuin mahdollista. Yrittää tehdä systeemistä mahdottoman käyttää.
Tarkoittaa naamioitunutta virusta. Sen tavoite on huijata käyttäjä päästämään se laitteeseen.
On ohjelma, joka kerää työaseman tietoja ilman käyttäjän lupaa. Se valvoo internet-toimintoja ja raportoi tietoja eteenpäin.
On haittaohjelma, jonka tarkoitus on estää pääsy tietokoneelle tai tiedostoihin esimerkiksi salaamalla ne.
Käyttäjän tietokone otetaan salaa hallintaan ja käytetään cryptovaluuttojen tuottamiseen käyttäjän tietämättä.
Käyttäjän tietokone kaapataan ja sitä käytetään roskapostin lähetykseen ja hajautettujen palvelunestohyökkäysten suorittamiseen.
Liikenne- ja Viestintäviraston Kyberturvallisuuskeskus julkaisee kuukausittain kybersääkoosteen. Kooste kertoo kuluneen kuukauden merkittävistä tietoturvapoikkeamista ja -ilmiöistä.
EDR (Endpoint Detection and Response) on tietoturva-arkkitehtuuri, joka keskittyy suojaamaan tietokoneiden ja muiden verkkolaitteiden päätelaitteita (eli “endpoint”-laitteita) ja havaitsemaan mahdollisia tietoturvaongelmia. EDR-suojaus on suunniteltu havaitsemaan ja vastaamaan haittaohjelmiin, tietomurtoihin ja muuhun epäilyttävään toimintaan päätelaitteilla.
EDR-suojaus koostuu useista eri komponenteista, kuten tietoturvaohjelmista, hälytysjärjestelmistä ja käyttäjien käyttäytymisen seurantaohjelmista. Näiden avulla EDR-suojaus etsii poikkeuksellista toimintaa päätelaitteilta ja tarvittaessa estää tai torjuu havaittuja uhkia.
EDR-suojaus on tärkeä osa modernia tietoturvaa. Se suojaa päätelaitteita erilaislta tietoturvaongelmilta ja varmistaa, että organisaation tärkeät tiedot ja järjestelmät pysyvät turvassa.
Verkkolaitteiden päätelaitteet ovat tietokoneita, älypuhelimia, tabletteja ja muita laitteita, jotka liittyvät verkkoon ja kommunikoivat muiden laitteiden ja palvelinten kanssa. Nämä päätelaitteet ovat yleensä loppukäyttäjien käytössä olevia, tiedonkäsittelyyn, tiedon tallentamiseen, kommunikaatioon ja viihteeseen käytettäviä laitteita.
Esimerkkejä verkkolaitteiden päätelaitteista ovat:
Verkkolaitteiden päätelaitteet ovat alttiita tietoturvaongelmille, koska ne ovat usein yhteydessä verkkoon ja käyttävät erilaisia ohjelmistoja ja sovelluksia, jotka voivat olla haavoittuvia tietoturvauhkille. Tämän takia on tärkeää käyttää tietoturvajärjestelmiä, kuten EDR-suojausta, varmistamaan verkkolaitteiden ja päätelaitteiden tietoturva.
EDR-suojaus toimii yleisesti ottaen seuraavasti:
Uhkien havaitseminen: EDR-suojaus käyttää erilaisia haittaohjelmien tunnistusjärjestelmiä, käyttäjän käyttäytymistä koskevia tietoja ja haavoittuvuuksien havaitsemista, tunnistaakseen mahdollisia uhkia endpoint-laitteilla.
Tiedon kerääminen: EDR-suojaus kerää ja tallentaa tietoa endpoint-laitteiden käyttäytymisestä, jotta voidaan tunnistaa mahdolliset tietoturvaongelmat ja arvioida niiden vakavuutta.
Tiedon analysointi: EDR-suojaus analysoi kerättyä tietoa uhkien tunnistamiseksi ja arvioimiseksi. Analyysit sisältävät mm. haitallisten ohjelmien käyttäytymisen analysointia, haavoittuvuuksien tarkastelua, käyttäjien käyttäytymisen seurantaa ja muiden hälytyslähteiden arviointia.
Reagointi uhkiin: Kun EDR-suojaus havaitsee tietoturvaongelman, se pyrkii estämään sen etenemisen ja vähentämään sen vahingollisia vaikutuksia. Toimenpiteet vaihtelevat tapauksen mukaan, ja ne voivat sisältää haitallisen toiminnan estämisen, tietojen poistamisen, järjestelmän eristämisen tai muiden vastaavien toimenpiteiden toteuttamisen.
EDR-suojaus on jatkuvaa, ja se seuraa endpoint-laitteita jatkuvasti havaitakseen mahdollisia uhkia. Se on myös älykäs, mikä tarkoittaa, että se oppii jatkuvasti uusista uhkista ja kehittää tietoturvaominaisuuksiaan niiden vastaamiseksi.