En otacksam uppgift

av | jun 16, 2021 | Cybersäkerhet

Stefan Elensky

I Hollywoodfilmerna är det så enkelt. När de goda skaffar en större brandvägg skaffar de onda större superdator och med en större superdator det är ju inga problem att ta sig igenom brandväggen och att komma åt de känsliga filerna. I verkligheten börjar det nästan alltid med en användare som klickar på en länk och till det mjuka målet användare krävs inte storlek och styrka utan list.

I skottgluggen för att skydda användarens dator och därmed användarens organisation sitter ’Endpoint protection’. En otacksam uppgift då det dagligen skapas cirka 350 000 olika varianter av skadlig kod som EP förväntas skydda mot. I realtid. Helst utan att användaren får upp ”en massa jobbiga rutor” eller att ”datorn blir seg”.

Från början var antivirus baserat på att det kände igen all skadlig kod. Varje vecka kom det ett brev innehållande några disketter med de senaste virusdefinitionerna och dessa skulle installeras på alla datorer i nätverket. Det här blev ganska snart ohållbart och därför flyttade filerna till en central server på företaget. Servern tankade ned definitionerna och alla arbetsstationer kunde ladda ned därifrån. Efter att i nästa generation ha flyttat från den centrala servern till en molnbaserad server kunde användarna komma åt de senaste virusdefinitionerna var de än befann sig, så länge de var anslutna till internet.

Problemet med det tillvägagångssättet var i huvudsak två;

  • Det kom alldeles för många nya varianter av skadlig kod
  • Vem som helst kunde ta en befintlig variant av skadlig kod, ändra några rader i koden och därmed få en ny signatur som saknades i alla databaser.

För att hålla en lång historia kort så kommer vi till dagens generation av ’Endpoint Protection’. Istället för att hålla reda på signaturer så fokuserar dagens antivirus på beteenden. Ja – det är okej att programmet word.exe körs men Nej – det är inte okej att programmet försöker kryptera hårddisken. Denna mekanism har med åren blivit allt smartare genom AI och en databas med vanliga skadliga beteenden har vuxit fram. Om en process beteenden varken kan sägas vara skadliga eller ofarliga utan i gråzon så spelas alla aktiviteter in i en lokal databas om det i slutändan visar sig att det är skadlig aktivitet som pågår.

Som säkerhetskonsulter är vi sällan helt oberoende och får välja fritt vad vi vill arbeta med och faktum är att det finns många aktörer som gör bra saker. Men i ett case som dök upp för ca två år sedan var det nödvändigt att scouta marknaden efter ett EP som passade en kunds behov. Jag minns inte exakt vilka boxar som behövde checkas men en var att det inte skulle behövas någon internetkoppling för att kunna hantera(detection, protection, response and remediation) skadlig kod automatiskt. Den produkten vi valde; SentinelOne var överlägset på den punkten. Över huvud taget så checkade SentinelOne i alla boxar i vår kravställan såsom plattformsoberoende och höga betyg i Gartners rapport. Just Gartner kom ut med en ny rapport för 2021 i maj där SentinelOne alltjämt bedöms vara en ”leader”. Tidigare har vi testat liknande produkter med liknande löften men där har vi haft stora utmaningar med såväl användarupplevelse som admin upplevelse. SentinelOne är mycket enkelt att hantera och jag rekommenderar alla läsare där ute att ta en titt!
/ Stefan Elensky

Senaste artiklarna
Kategorier

DIGITAL EXPERTHJÄLP

På vår bokningssida kan du själv se när en konsult finns tillgänglig, och direkt lägga in din bokning. Enklare kan det inte bli!

Log4Shell – så skyddar du dig

Log4Shell – så skyddar du dig

Nu är det dags för ett blogg-inlägg igen. Denna gång vill jag skriva några rader om förra veckans händelser kring log4shell. Vad är då log4shell och varför är det en så allvarlig sårbarhet? Log4shell är namnet på själva attacken, sårbarheten ligger i ett...

Next Gen Account Manager

Next Gen Account Manager

Om Cuebid Cuebid är ett tillväxtföretag och har sedan starten 2009 växt till en väletablerad och nationell aktör inom nätverk-och säkerhetstjänster som kompletteras med 24/7 helpdesk-och supporttjänster, kompetensledande konsulter, IT utbildningar och ett starkt sälj-...

region stockholm säkrar sina tjänster

region stockholm säkrar sina tjänster

Sveriges största regionala vårdgivare säkrar sina tjänster med ökad prestanda och tillförlitlighet till lägre kostnad. Cuebid har bidragit med design och arkitektur, konsult- och specialistkompetens vid installation, konfiguration, uppgraderingar och incidenter,...

Applikationssäkerhet – vems ansvar är det?

Applikationssäkerhet – vems ansvar är det?

En gång i en grå forntid så hade man en ganska naiv syn på IT-säkerhet, men man insåg med tiden att man var tvungen att revidera den synen. Saker som brandväggar och antivirusskydd på klienter blev en normal del av IT-miljön men allteftersom de metoder som används av...

Låt den rätte komma in (eller ut)

Låt den rätte komma in (eller ut)

Min kollega och vän skrev för ett par veckor sedan om vikten att kunna återställa förlorat data och vikten av att ha planerat för återställning, design och automatisering för att kunna återställa data. Och som Fredrik nämner så är det bara en pusselbit i kampen mot...

VMworld 2021: ”We’re proud to announce…”

VMworld 2021: ”We’re proud to announce…”

Aldrig tidigare har jag vart med om så mycket nyheter under VMworld! Ett tag blev det nästan komiskt att varje talare på den inledande ”General Session” och respektive keynote sa just frasen ”We’re proud to announce…”. General Session var för övrigt var en av de bästa...