Vad är EDR?

Blog Reading Time 10 Lästid
/
april 25, 2023

EDR – Endpoint Detection and Response

Endpoint Detection and Response (EDR) är en it-säkerhetslösning som är utformad för att skydda de s.k. slutpunkter som används i ett nätverk. Slutpunkterna kan vara bärbara datorer, mobiltelefoner, surfplattor och andra enheter som kan anslutas till nätverket.

EDR-lösningar använder tekniker som beteendeanalys, maskininlärning, artificiell intelligens (AI) och andra metoder för att upptäcka hot eller risker mot slutpunkterna. Det är en relativt ny teknik som har blivit mer populär under de senaste åren, och kombineras ofta tillsammans med mer traditionella metoder för att upptäcka hot och risker.

Traditionella antivirusmetoder använder sig av signaturbaserade tekniker för att identifiera och blockera kända hot mot slutpunkter. Dessa tekniker använder sig av tekniker för att jämföra filer på enheten med en databas med kända virusmönster. Om en matchning hittas blockeras den infekterade filen eller programmet automatiskt. Det är en effektiv metod för att upptäcka och stoppa kända hot, men det är inte tillräckligt för att skydda slutpunkterna mot nya och okända hot.

EDR-tekniken bygger istället på beteendeanalys av program och processer som körs på slutpunkten. Detta innebär att lösningen kan upptäcka och identifiera nya typer av hot, inklusive avancerade hot som är speciellt utformade för att undvika traditionella antivirusmetoder. EDR-lösningar kan bland annat upptäcka skadlig kod som förändrar sin signatur, använder obfuskeringstekniker (ungefär avsiktlig tillkrångling av ett meddelande som gör det svårare att tolka) eller som använder sig av godkända program så som Powershell eller Bash för att undvika upptäckt av traditionella antivirus.

EDR-lösningar övervakar också aktiviteter på slutpunkten för att upptäcka beteenden som kan indikera att en hackare har tagit över en användares konto eller enhet. Den kan till exempel upptäcka om en obehörig användare har lyckats logga in på en användares konto och börjat ändra känslig information. Den kan också identifiera om en användares enhet har blivit komprometterad av skadlig kod och därefter agera för att stoppa hotet.

Varför ska man ha EDR och inte bara en vanlig antiviruslösning?

Som nämnt ovan använder sig traditionella antivirusprogram av signaturbaserade tekniker som är effektiva för att upptäcka och hantera kända hot. Men de traditionella programmen är inte tillräckliga för att skydda mot nya och okända hot vilka ständigt utvecklas och blir alltmer komplicerade. Därför behöver organisationer och företag en mer avancerad lösning som kan skydda slutpunkterna mot dessa nya och okända hot.

EDR-lösningar har flera fördelar gentemot ett traditionellt antivirusprogram. Några av de viktigaste fördelarna är enligt följande:

Bättre skydd mot avancerade hot

EDR-lösningar använder tekniker som beteendeanalys, maskininlärning och AI för att avslöja hot som traditionella antivirusprogram inte upptäcker. Det ger därmed en högre grad av skydd mot avancerade hot.

Bättre synlighet och ökad reaktionsförmåga

EDR-lösningar ger organisationer en bättre översikt av sina slutpunkter, vilket gör det enklare att upptäcka hot och agera snabbt. Det ger också möjlighet att genomföra detaljerade undersökningar av hot och händelser som inträffar på slutpunkterna, vilket förbättrar reaktionsförmågan och även underlättar städning efter en attack.

Bättre skydd mot insiderhot

EDR-lösningar kan upptäcka och blockera insiderhot, till exempel en anställd som försöker stjäla företagsinformation eller installera skadlig kod på företagets datorer.

Ökad efterlevnad av säkerhetskrav

Många organisationer är skyldiga att följa specifika säkerhetskrav vilka kräver en högre nivå av skydd än vad traditionella antivirusprogram kan erbjuda. EDR-lösningar kan bidra till att uppfylla dessa krav och ge en högre nivå av både säkerhet och regelefterlevnad.

Minskat behov av manuellt arbete

EDR-lösningar kan automatisera säkerhetsrelaterade processer som att upptäcka, blockera och rapportera hot. Detta minskar behovet av manuellt arbete och ger IT-teamet mer tid att fokusera på andra uppgifter.

eXtended EDR

Detta innebär att EDR-plattformen integreras med andra produkter, exempelvis brandväggar och switchar. Fördelen med detta är att en verksamhet kan följa en attack från brandväggen hela vägen ner till slutpunkten och på så sätt följa upp attackkedjan. Attackytorna som används kan identifieras för att i nästa steg korrigeras.

Sammanfattningsvis är EDR-lösningar viktiga för organisationer och företag som vill ha en högre nivå av skydd mot avancerade hot. Med hjälp av avancerade tekniker som beteendeanalys, maskininlärning och AI kan den upptäcka hot som traditionella antivirusprogram inte upptäcker. EDR-lösningar ger också en bättre åskådlighet över slutpunkterna och ökad reaktionsförmåga, vilket gör det enklare att upptäcka och blockera hot. Genom att använda EDR-lösningar kan organisationer minska risken för dataintrång, skydda företagsinformation och uppfylla säkerhetskrav.

eBuilder Security Erbjudande

Vi på eBuilder erbjuder ett flertal tjänster kopplade till EDR, primärt tillsammans med vår partner CrowdStrike.

  • MDR är en komplett lösning för hantering av cyberhot. Denna tjänst erbjuds både som kritisk tjänst vilket ger hantering 24/7. Det är ett automatiskt flöde där du låter oss ta hand om hela kedjan i din EDR-lösning från detektering till åtgärd.
  • Vi hjälper er också med en ren CrowdStrike implementation av deras EDR eller eXtended EDR Produkt som heter Insight. Där kan vi hjälpa er att sammankoppla alla era säkerhetsrelaterade system.
  • Vi kan också i samband med dessa tjänster erbjuda Threat Hunting eller hotjakt där vi 24/7 proaktivt letar i er datamiljö efter eventuella hot.

Läs mer om EDR i vårt nya blogginlägg om EDR vs NGAV.

Av: Erik Berg

Jobbar som Säkerhetsarkitekt har jobbat inom IT-säkerhet i 12 år i både privata sektorn och offentlig verksamhet, med Security Operations (Blue Teaming) och som säkerhetschef på flertalet IT-Bolag.