10 asiaa, jotka tulee huomioida EDR-ratkaisua ostettaessa

EDR (Endpoint Detection and Response) -ratkaisujen markkinat ovat kasvaneet viime vuosina nopeasti ja toimialan asiantuntijat ennustavat tämän trendin jatkuvan. Gartner ennustaa, että yli 60% yrityksistä tulee korjaamaan vanhemmat virustorjuntatuotteet nykyaikaisilla EPP ja EDR-ratkaisujen yhdistelmällä vuoden 2025 loppuun mennessä[1].

Hyökkäysten yleistyminen ja kehittyneisyys sekä toisaalta EDR-ratkaisujen tuleminen pienempien yritysten saataville, on johtanut holististen päätelaitesuojausratkaisujen kysynnän kasvamiseen. EDR ei ole enää vain suurten yritysten saatavilla oleva ratkaisu, sillä yhä useammat tietoturvapalveluntarjoajat tarjoavat nykyisin edullisempia EDR ja EPP (Endpoint Protection) -ratkaisujen yhdistelmiä.

Saadaksesi ylätason näkemyksen EDR-ratkaisun ydinominaisuuksista sekä siitä, miksi yritykset tarvitsevat havaitsemis- ja vasteratkaisun, lue artikkelimme: Seitsemän syytä, miksi tarvitset EDR-ratkaisun.

Tässä artikkelissa listaamme kymmenen tärkeintä asiaa, jotka on syytä huomioida ja varmistaa palveluntarjoajaltasi ostaessasi EDR-ratkaisua. Nämä kohdat pätevät, olitpa sitten hankkimassa tämän kaltaista ratkaisua ensimmäistä kertaa, tai käymässä läpi säännöllistä uusimisprosessia tai vertailua.

1. Integrointi muihin tietoturvaratkaisuihin

Olitpa hankkimassa mitä tahansa EDR-ratkaisua, on tärkeää varmistaa, että kyseinen ratkaisu on yhteensopiva nykyisten tietoturvajärjestelmiesi kanssa. Tämä ei ainoastaan vähennä työmäärääsi ja paranna IT/tietoturva-tiimisi tehokkuutta, vaan toimiakseen tehokkaasti, EDR-työkalujen tulee myös integroitua muihin tietoturvajärjestelmiin, jotka valvovat, ohjaavat ja suorittavat vastatoimenpiteet hyökkäyksen tapahtuessa.

API-integraation tarjoavan ratkaisun etsiminen voi olla paras vaihtoehtosi, varsinkin, jos käytössänne on jo SIEM (security information and event management) -järjestelmän kaltainen työkalu.

2. Agentti vs. ilman agenttia

EDR-ratkaisun agentti on ohjelmistokomponentti, joka asennetaan jokaiseen päätelaitteeseen. Se ei ole kuitenkaan välttämätön, sillä EDR-ratkaisu voidaan myös asentaa passiivisesti verkkoon, mutta näin asennettuna ratkaisu toimii rajoitetusti. Tämä johtuu siitä, että suoraan päätelaitteisiin asennettu agentti kerää huomattavasti enemmän tietoa käyttäjän toiminnasta. Agentti myös mahdollistaa vahvemman väliintulon, mikäli päätelaite vaarantuu.

Ilman agenttia asennetun EDR-ratkaisun suurin hyöty on se, että se voidaan asentaa nopeasti ja sen avulla voidaan valvoa päätelaitteita, joihin ei ole mahdollista asentaa erillistä agenttia. Kuitenkin, koska agenttia ei ole asennettu, ratkaisun tekemät vastetoimet eivät ole yhtä tehokkaita ja tiedon keräys on heikompaa.

3. Käyttöjärjestelmän tuki

Viitaten edelliseen kohtaan päätelaitteista, joihin on mahdotonta asentaa agenttia, yksi syy tähän voi olla se, että niiden käyttöjärjestelmä ei tue EDR-ratkaisua. Mikäli voit valita ratkaisun, joka tukee useita käyttöjärjestelmiä, tämä on todennäköisesti paras vaihtoehto ongelman ratkaisemiseksi.

Kuitenkin lähes kaikkien EDR-ratkaisujen kohdalla on joitain käyttöjärjestelmiä, joita ne eivät tue. Mikäli sinulla on verkossasi päätelaitteita, joiden käyttöjärjestelmiä valitsemasi EDR-ratkaisu ei tue, on parempi vaihtoehto asentaa EDR ilman agenttia.

4. Laitteiden tuki

Kuten käyttöjärjestelmien kohdalla, on olemassa myös laitteita, joita valitsemasi EDR-ratkaisu ei tue. Useimmat älypuhelimet, jotka käyttävät iOS tai Android käyttöjärjestelmää sekä IoT (Internet of Things) -laitteet eivät usein kuulu EDR-ratkaisun tuen piiriin. Kuten käyttöjärjestelmien kohdalla, myös tässä kannattaa kääntyä palveluntarjoajasi puoleen ja kysyä, mitä laitteita ratkaisu ei tue, ja kuinka montaa päätelaitettasi tämä koskee.

5. Pilvipalvelun tuki

On tärkeää selvittää, tukeeko EDR-ratkaisusi pilviympäristöäsi, ja missä laajuudessa. Vaikka useat EDR-ratkaisut ovat pilvipohjaisia, ne eivät välttämättä kykene toimimaan pilviympäristössä.

60% markkinoiden yritys-EDR-ratkaisuista toimitetaan pilven kautta (Gartner Innovation Insight for Cloud Endpoint Protection Platforms, April 2019). Tämä ei kuitenkaan välttämättä tarkoita sitä, että ne voisivat suojata kaikkia muita pilviratkaisujasi, sillä EDR on usein vaikeaa asentaa pilveen ja saatat tarvita ylimääräisen suojausratkaisuin tietyille pilvipohjaisille sovelluksillesi.

6. Järjestelmäpäivitykset

Uhkakenttä kehittyy jatkuvasti hyökkääjien pyrkiessä murtautumaan organisaatioiden järjestelmiin käyttäen uusia taktiikoita, tekniikoita ja menetelmiä (TTP), joten mikä tahansa EDR-ratkaisu, jota ei jatkuvasti päivitetä, on haavoittuvainen kehittyneille uhille ja vanhenee nopeasti. Näin ollen vastataksesi uhkiin onnistuneesti, tarvitset EDR-ratkaisun, joka päivittää uhkaindikaattorinsa (Indicator of Compromise, IoC) säännöllisesti.

Lisäksi on tärkeää ottaa huomioon, paljonko tietoturva-tiimisi ajasta kuluu päivitysten hallintaan ja asentamiseen ja missä määrin näitä voitaisiin automatisoida.

7. Skaalautuvuus

82% organisaatioista haluaisi all-in-one ratkaisun kattamaan kaikki IT/tietoturva tarpeensa (F-Secure 2020 B2B Markkinatutkimus). Tämä ei ehkä ole tällä hetkellä mahdollista, mutta mikäli kuulut näihin 82% yrityksistä, kannattaa keskustella palveluntarjoajasi kanssa ja selvittää, millaiset mahdollisuudet EDR-ratkaisusi tarjoaa komponenttien ja toimintojen lisäämiselle tulevaisuudessa.

Olisi myös hyvä miettiä, miten ratkaisusi toimii tulevaisuudessa, kun verkkoliikenne kasvaa yrityksen kasvun ja etäpäätelaitteiden määrän lisääntymisen myötä.

8. Vaikutus päätelaitteen suorituskykyyn

Mikäli käytössäsi on EDR-ratkaisu, joka vaatii agentin asentamisen päätelaitteillesi, sinun tulee ottaa huomioon, paljonko se vaatii laiteresursseja. Tarkoittaako tämä sitä, että päätelaitteiden suorituskyvyn ylläpitäminen vaatii tässä kohtaa laiteinvestointeja?

Järkevä EDR-ratkaisun vaatima prosessorin käyttöaste on noin 1%. Mikäli se ylittyy toistuvasti, on todennäköistä, että ratkaisua ei ole optimoitu oikein. Muistin käyttökapasiteetti voi vaihdella riippuen agenttien painotuksesta, mutta sen ei tulisi ylittää 50mb. Palveluntarjoajasi tulisi pystyä näyttämään suorituskykytietoja vastaavanlaisista järjestelmistä.

9. Mukautetut uhkien havaitsemismääritykset

Riippuen organisaatiosi asiantuntijuuden tasosta, saatat haluta suunnitella omaan käyttöösi sopivat uhkien havaitsemismääritykset, tai ainakin muokata olemassa olevia määrityksiä. EDR-palveluntarjoajat ilmoittavat usein ratkaisun esimääritysten olevan optimoitu parhaan suorituskyvyn takaamiseksi, mutta kaikki organisaatiot ovat erilaisia, ja ei ole olemassa yhtä vakiomuotoista koneoppimisen algoritmia, joka olisi optimoitu kaikkiin mahdollisiin tilanteisiin.

10. Palveluntarjoajan tuki

Tämä pohjautuu vahvasti luottamukseen, mutta on kuitenkin tiettyjä indikaattoreita, joita tulisi tarkkailla. Mitä tapahtuu, mikäli EDR-ratkaisusi vaarantuu? Veloittaako palveluntarjoajasi hyökkäysten vastepalveluista? Tässä kohtaa voi esiintyä selkeä eturistiriita.

Varmista, että ymmärrät etukäteen saatavilla olevan tuen taso ja minkä tason asiantuntijuus yhteyshenkilölläsi on. Mikäli käytät MSP (Managed Service Provider) -palvelua, he pystyvät yleensä hyvin arvioimaan eri palveluntarjoajien tarjoaman tuen tasoa. Pidä kuitenkin mielessäsi heidän mahdolliset kannustimensa tilanteessa. Loppujen lopuksi, eri osapuolten välillä vallitsevat luottamussuhteet ovat kaikkein tärkein asia.

Toivomme, että tämä artikkeli osoittautuu hyödylliseksi etsiessäsi organisaatiollesi parasta EDR-ratkaisua. Ja minkä tahansa EDR-ratkaisun valitsetkin, pidä huoli, että se on räätälöity juuri organisaatioisi tarpeiden mukaisesti.

Mikäli haluat lukea lisää meidän EDR-ratkaisustamme, voit ladata tuote-esitteemme. Ja mikäli haluat kokeilla ratkaisuamme käytännössä, voit hankkia itsellesi 30-päivän kokeiluversiomme ilman sitoutumista.

F-Secure Elements Endpoint Detection and Response

Voit tarkkailla IT-ympäristösi tilaa ja tietoturvaa, havaita kohdistetut hyökkäykset ripeästi ja reagoida niihin automatisoiduin, riskitasoon perustuvien toimenpiteiden avulla.

Viittaukset

[1] Gartner, Competitive Landscape: Endpoint Protection Platforms, 18 Feb 2021.