Anatomie nenápadného útoku
Jak útočníci obcházejí EDR a proč je síťová viditelnost klíčová
Mnoho organizací stále předpokládá, že když endpoint nehlásí žádné varování, je vše v pořádku. Tato představa je ale dnes zastaralá.
Endpoint Detection and Response (EDR) zůstává důležitou součástí obrany – sleduje chování na koncových zařízeních, monitoruje procesy, změny i podezřelé aktivity. Útočníci však stále častěji počítají s jeho přítomností a aktivně hledají způsoby, jak jej obejít.
Pokud se jim podaří endpoint agenta vypnout nebo obejít, je to jako vypnout bezpečnostní kamery. A právě to je jejich cíl.
Co se stane, když EDR „oslepne“?
Jakmile je ochrana na endpointu vyřazena, útočníci získávají téměř volné pole působnosti:
- Spouštějí škodlivé nástroje bez behaviorální detekce.
- Využívají kompromitovaný stroj jako základnu pro průzkum sítě.
- Pohybují se laterálně bez záznamu v bezpečnostních lozích.
- Exfiltrují data bez varování.
- Nasazují ransomware bez automatické izolace systému.
Tím organizace ztrácí přehled o dění v síti a celý bezpečnostní řetězec je oslaben.
Obcházení EDR už není výsada elit
Techniky, které byly dříve doménou státních aktérů, jsou dnes běžně dostupné. Existuje rozsáhlý podzemní trh s nástroji pro automatizované obcházení EDR – od hotových frameworků až po „evasion-as-a-service“.
Útočníci využívají:
- veřejně dostupné red-team nástroje,
- otevřeně publikované frameworky,
- umělou inteligenci k úpravám malwaru tak, aby obešel signaturní detekci.
Výsledkem je industrializovaný trh s nástroji pro obcházení bezpečnostních řešení – levný, dostupný a snadno použitelný.
Dopady v praxi
Některé známé útoky posledních let ukázaly, jak devastující může být vyřazení endpoint ochrany. Útočníci využili legitimní, ale zranitelné ovladače k získání přístupu na úrovni jádra systému a následně deaktivovali bezpečnostní mechanismy.
V jiném případě došlo k vypnutí endpoint ochrany pomocí odcizených přihlašovacích údajů. Útočníci poté několik dní nerušeně mapovali síť, přesouvali se mezi systémy a exfiltrovali terabajty dat před samotným nasazením ransomwaru.
Jakmile je EDR obejito, útočníci přesouvají své aktivity do sítě – kde maskují provoz jako běžnou komunikaci.
Proč je síť poslední linií obrany
Útočníci mohou vypnout agenty. Nemohou však smazat svou stopu v síťovém provozu.
Síťová data představují neměnný zdroj důkazů. I když je endpoint „oslepen“, chování útočníků se stále projevuje:
- laterálním pohybem mezi systémy,
- neobvyklou komunikací,
- pokusy o exfiltraci dat,
- zneužitím běžných protokolů.
Moderní útoky se často skrývají v šifrovaném provozu a využívají legitimní protokoly. Proto je potřeba detekce, která funguje nezávisle na endpointu – s analýzou síťového chování, inspekcí šifrovaného provozu a schopností rekonstruovat pohyb útočníka.
Když EDR selže
Jakmile útočníci obejdou endpoint ochranu, doba detekce se může protáhnout na dny, týdny nebo měsíce. Z lokálního incidentu se rychle stává rozsáhlý bezpečnostní incident s významnými dopady.
Právě zde přichází na řadu Trellix Network Detection and Response (NDR).
NDR poskytuje viditelnost tam, kde je aktivita stále zachytitelná – v síti. Pomáhá odhalit pokročilé útoky i tehdy, když byl endpoint obejit nebo deaktivován.
- laterálním pohybem mezi systémy,
- neobvyklou komunikací,
- pokusy o exfiltraci dat,
- zneužitím běžných protokolů.
Moderní útoky se často skrývají v šifrovaném provozu a využívají legitimní protokoly. Proto je potřeba detekce, která funguje nezávisle na endpointu – s analýzou síťového chování, inspekcí šifrovaného provozu a schopností rekonstruovat pohyb útočníka.
Závěr
EDR je důležitý nástroj. Není však neprůstřelný.
Moderní útoky počítají s jeho přítomností a aktivně jej obcházejí. Bez síťové inteligence zůstává organizace slepá vůči pohybu útočníků uvnitř prostředí.
Když endpoint selže, síť odhalí pravdu. A právě proto je NDR klíčovou součástí ochrany moderní infrastruktury.