Aktuelt og fagblogg

Utvidet deteksjon og respons (XDR) og antivirus i Microsoft 365

Evelon AS

Jon-Alfred Smith

Microsoft har nettopp utgitt sin digitale forsvarsrapport for 2023, en analyse av trussellandskapet fra juli 2022 til juni i år. Selskapet fastslår at virksomheter kan beskytte seg mot 99 prosent av cyberangrep med en grunnleggende sikkerhetshygiene som omfatter fem punkter: Aktiver multifaktor-autentisering (MFA). Anvend Zero Trust-prinsipper. Bruk utvidet deteksjon og respons sammen med antivirus (dagens tema). Hold systemer og programvare oppdatert. Beskytt dine data. Ytterligere angrep på kurven utgjør bare én prosent, som står for de mest sofistikerte truslene.

Microsoft er i en unik posisjon til å skaffe seg en oversikt over det globale trusselbildet. Mens kunstig intelligens (KI) transformerer cybersikkerhet, kreves det enorme mengder ulike data for å ligge i forkant. Selskapet har mer enn 10 000 sikkerhetseksperter og analyserer over 65 billioner signaler hver dag ved hjelp av KI. Deres trusseletterretning sporer hundrevis av trusselaktør-grupper over hele verden. Et samarbeid med mer enn 15 000 sikkerhetspartnere og et åpent fellesskap av forskere bidrar til dype innsikter i nettsikkerhet og innovative sikkerhetsprodukter.

Antivirus og forsvar mot skadevare

Opprinnelig ble antivirusprogramvare utviklet for å oppdage og fjerne klassiske datavirus. Etter hvert utvidet spektret seg og inkluderer i dag ulike typer skadevare som virus, ormer, trojanere, root-kits, løsepengevirus og spion- og reklamevare. Antivirus skanner filer og applikasjoner for å identifisere kode eller adferd som samsvarer med kjente signaturer eller mønstre. I tillegg benyttes heuristisk analyse for å avdekke ukjent skadevare eller nye varianter ved å undersøke hvordan koden oppfører seg.

Antivirus fungerer forebyggende ved å hindre skadelig programvare i å bli lastet ned eller installert. Løsningene sørger for sanntidsbeskyttelse ved aktivt å overvåke systemaktiviteter og undersøke filer etter hvert som de åpnes eller kjøres, i stedet for å vente på en manuell skanning. Om skadevare oppdages, settes den som regel i karantene eller fjernes. Enkelte ganger er det nødvendig med spesialiserte verktøy som leveres av antivirusleverandøren, for å kvitte seg fullstendig med den. For en effektiv beskyttelse må databasen over signaturene holdes oppdatert.

Microsoft 365 leverer to antivirusløsninger. Alle innkommende og utgående meldinger i Exchange Online skannes med tre forskjellige motorer som flere ganger om dagen får nye virusdefinisjoner. Defender for Endpoint/Business benytter Microsoft Defender Antivirus (AV) som følger med Windows og er blant toppskårerne i AV-Test, som har utmerket produktet med Best Advanced Protection 2022-prisen for både forbrukere og bedriftskunder. Vurderingen legger vekt på beskyttelsesfunksjon, ytelse (hastighet) og brukervennlighet, samt en egen evne til å avverge løsepengevare. I Defender for Endpoint omtales Defender AV som Neste generasjons beskyttelse og kombinerer maskinlæring med analyse av stordata, dybde-research av trusler og Microsofts skyinfrastruktur.

Antivirus var en gang den viktigste beskyttelsen på enheter og e-postsystemer og utgjør fortsatt en vesentlig komponent i et lagdelt dybdeforsvar. Det europeiske sikkerhetsbyrå ENISA noterte en markant økning i utbredelsen av skadevare i 2022. Utfordringen består i at det ustanselig produseres ny skadelig programvare, og at det tar tid å lage og distribuere signaturer. Samtidig har avanserte trusselaktører for lengst lært seg å trenge gjennom et signaturbasert forsvar og kan bare fanges opp ved hjelp av mer avanserte metoder, som avviks- og adferdsanalyse basert på maskinintelligens. Det igjen har avstedkommet andre sikkerhetsprodukter som stadig forbedres i takt med trusselbildet.

Endepunktdeteksjon og respons (EDR)

Endepunktdeteksjon og respons er en kategori sikkerhetsløsninger som overvåker og svarer på trusler og ondsinnede aktiviteter på endepunkter, dvs. arbeidsstasjoner, bærbare, servere og mobile enheter. Plattformstøtten vil typisk være bred. Microsoft Defender for Endpoint dekker Windows, Linux, macOS, Android og iOS/iPadOS. Endepunkter er gjerne inngangspunktet for mange cybertrusler fordi de jevnt over er i bruk og kan være svake punkter innen virksomhetens sikkerhetsstilling. EDR-verktøy overvåker og registrerer kontinuerlig aktiviteter på maskiner og enheter. På den måten avdekker de potensielt skadelig mønstre, avvik og uregelmessigheter eller kjente angrepsmetoder. De klarer ofte å identifisere angrep som tradisjonelle antivirusløsninger går glipp av, som nulldagstrusler og filløs skadevare.

Når en trussel oppdages, responderer EDR-løsningen. Dette kan skje i samarbeid med antivirus, som blokkerer hendelsen. Men det vil alltid være i etterkant – etter at koden er utført – og gir derved en reaktiv beskyttelse. Defender for Endpoint kombinerer EDR med automatisert etterforskning og utbedring (AIR), en teknologi som benytter forskjellige inspeksjonsalgoritmer og er basert på prosesser som anvendes av sikkerhetsanalytikere. Det reduserer i betydelig grad varslingsvolumet, sånn at sikkerhetsoperasjoner kan fokusere på mer avanserte trusler. I tillegg til å iverksette umiddelbare tiltak for å fikse sikkerhetsbrudd lar EDR-løsninger sikkerhetseksperter raskt svare på bruddene. Dette kan inkludere å isolere et infisert endepunkt fra nettverket, avslutte ondsinnede prosesser eller rulle tilbake uønskede endringer. Noen av fordelene med EDR omfatter:

Gir synlighet til aktivitetene på endepunkter.
Bidrar til å identifisere og reagere på trusler raskere enn tradisjonelle antivirusløsninger.
Tillater retrospektiv analyse. Om en ny trussel identifiseres, kan man se tilbake på historiske data for å finne ut om den tidligere har påvirket systemer uten å ha blitt oppdaget.

EDR i Defender for Endpoint overvåker et enormt antall aktiviteter på endepunkter og sender telemetrien til skytjenesten for videre analyse, som på sin side responderer når ondsinnede aktiviteter oppdages. Hendelsene omfatter oppretting av prosesser og nettverksaktiviteter, inkludert vellykkede og mislykkede tilkoblinger. Det registreres når filer lages, slettes, endres eller omdøpes; det samles også inn informasjon om utbredelsen av en fil, ulike hasher og anvendte sertifikater. EDR overvåker pålogginger, endringer i registeret, imager og drivere som lastes inn, pluss installasjonen av tjenester.

Antivirus og EDR arbeider tett sammen. Neste generasjons beskyttelse (t.v.) opererer på klienten med virusdefinisjoner, heuristikk, emulering og maskinlæring (ML). Klientsiden samhandler med skyen, som undersøker mistenkelige filer basert på metadata, filklassifisering, omdømme og smarte regler. Et detonasjonskammer kan undersøke adferden til en fil i et beskyttet virtualisert miljø. EDR (t.h.) jobber også på klienten med overvåking av hvordan kode oppfører seg, og nettverk pluss skanning av minnet. Her er det adferdsbaserte maskinlæringsmoduler i skyen. AMSI-paret maskinlæring bruker klient- og skymodeller som er integrert i Antimalware Scan Interface (AMSI) for å utføre avanserte analyser av skriptadferd før og etter utføring for å fange opp avanserte trusler som filløse angrep og minne-angrep. Samarbeidet mellom de forskjellige modulene gir seg nedslag i funksjoner som:

Regler for angrepsflatereduksjon(Attack Surface Reduction – ASR) er et sett med regler utformet for å minimere potensielle angrepsvektorer og redusere risikoen for utnyttelse.
Kontrollert mappetilgang(Controlled Folder Access – CFA) sørger for å gi klarerte apper tilgang til beskyttede mapper og stenge alle andre apper ute, inkludert skadevare.
Nettverksbeskyttelse fungerer som et vertsbasert system for å oppdage og forebygge inntrengning (HIDS/HIPS). Nå innlemmes også deler av Zeek, et overvåkningsverktøy for nettverk basert på åpen kildekode som har vært under konstant utvikling i over 20 år.
Tilpassede trusselindikatorer kan hindre at andre maskiner i virksomheten lider samme ublide skjebne som pasient null (om det er tilfellet).

Utvidet deteksjon og respons (XDR)

Utvidet deteksjon og respons (XDR) er en videreføring av endepunktdeteksjon og respons (EDR). Mens antivirus opererer i sanntid med signaturer og sannsynligheter (heuristikk), slår EDR reaktivt ned på uvanlige aktiviteter på enheter og klarer å hindre angrep virus- og trusselbeskyttelsen ikke ser. XDR tar dette et skritt videre i en holistisk tilnærming ved å integrere og korrelere data fra forskjellige sikkerhetsprodukter og verktøy som opererer sammen. Fordelene er:

Datainnsamling og integrering samler inn data fra ulike kilder på tvers av nettverket, endepunkter og skymiljøer, noe som muliggjør omfattende synlighet.
Avansert analyse og deteksjon bruker maskinlæring og adferdsbaserte deteksjonsteknikker for å identifisere potensielle trusler og unormale aktiviteter.
Trusseljakt og etterforskning gir verktøy og muligheter for proaktivt å søke etter og undersøke potensielle trusler og indikatorer på kompromittering (IOCer) i organisasjonens miljø.
Automatisert respons og utbedring kan isolere berørte systemer og blokkere mistenkelig nettverkstrafikk for ytterligere skadebegrensning.
Rapportering og visualisering tilbyr funksjoner som gir klar innsikt i organisasjonens sikkerhetsstatus, inkludert trender, mønstre og områder som kan gi grunn til bekymring.
En enhetlig plattform forener flere sikkerhetsverktøy og -løsninger under ett og forenkler administrasjonen og forbedre effektiviteten. Ved å utnytte kraften i dataintegrasjon og avansert analyse reduseres tiden det tar å oppdage og svare på sikkerhetshendelser.

Metodene angriperne benytter, beskrives gjerne med en cyberdrapskjede som viser de typiske trinnene et angrep går gjennom. Hensikten er at den hjelper deg med å forstå hva som foregår, og hvordan du i (nesten) hver fase kan forsvare deg mot angrepet.

Innledningsvis foretar aktørene rekognosering. De vurderer nettverk og tjenester for å identifisere mulige mål og teknikker for å komme seg inn. Angripere bruker kunnskapen de har oppnådd, for å trenge inn i deler av et nettverk, ofte ved å finne feil eller sikkerhetshull. Så utnytter de sårbarheter og planter ondsinnet kode på systemer. De eskalerer privilegier som gir administrativ tilgang til mer kritiske data. Med en lateral bevegelse flytter de seg til andre tilkoblede systemer. Som regel vil de tilsløre aktivitetene for å vanskeliggjøre etterforskningen. Tjenestenekt innebærer å forstyrre normal tilgang for brukere og systemer for å forhindre at angrepet overvåkes, spores eller blokkeres. Til slutt eksfiltrerer aktørene data og krypterer dem eventuelt.

Et angrep starter gjerne med en phishing-e-post. Brukere lures til å åpne et infisert vedlegg eller klikke på en ondsinnet lenke. I neste stadium installeres det skadevare på endepunkter. Angrepet kan også begynne fra en USB-brikke – strategisk, tilsynelatende tilfeldig plassert som vekker nysgjerrighet. Andre muligheter er at du ender opp på en nettside som laster ned en trojaner i bakgrunnen.

Skadelig programvare tar kontakt med angripernes kommando- og kontrollservere. Skurkene får tilgang til enheter via tastatur. Standard brukeridentiteter blir kompromittert, så overtas privilegerte admin-kontoer. Til slutt er hele organisasjonen i fare. Angriperne eksfiltrerer data, stopper nyttelaster og ødelegger sikkerhetskopier. Filer krypteres på verter trusselaktørene får tilgang til, eller så nøyer angriperne seg med å true med å offentliggjøre konfidensiell informasjon.

Svaret på angrepsteknikkene er utvidet deteksjon og respons, som i Microsofts XDR-løsning omfatter fire Defender-produkter og Entra ID Identitetsbeskyttelse. Alle rapporterer varsler og hendelser til sikkerhetssentret Microsoft 365 Defender:

Defender for Office 365 beskytter mot trusler som kommer inn i organisasjonen via e-post eller gjennom filer som lastes opp til OneDrive, SharePoint Online og Teams.
Defender for Endpoint sørger for endepunktsikkerhet på tvers av plattformer og lar deg forhindre, oppdage, undersøke og svare på trusler.
Defender for Identity identifiserer og undersøker avanserte trusler, kompromitterte identiteter og ondsinnede handlinger i lokale Active Directory-miljøer. Produktet gjenkjenner stadiene i en drapskjede.
Defender for Cloud Apps holder øye med alle (sky)apper og skanner dem for tegn på uvanlig aktivitet, utnyttelse og skadelig programvare. Den avdekker også skygge-IT.
Entra ID Identitetsbeskyttelse oppdager, forhindrer og reduserer potensielle identitetsrisikoer.

Styrken i utvidet deteksjon og respons vises i automatiserte angrepsavbrudd, som med maskinhastighet forstyrrer og avbryter menneskedrevne løsepengeangrep og avanserte angrep tidlig i drapskjeden, lenge før de kan utrette for store skader. Her benyttes signaler på tvers av Defender-produktene og Entra ID Identitetsbeskyttelse.

Avsluttende ord

Hovedtyngden av dagens angrep er rettet mot sluttbrukere og deres enheter. Det omfatter i økende grad hjemmekontor og -rutere. Angriperne bruker ofrene som springbrett og arbeider seg oppover mot mer kritiske systemer og tjenester. Brukere beskyttes best med passordløs godkjenning. Enheter krever mer enn bare antivirus. Det bør kombineres med endepunktdeteksjon og respons (EDR) i en helhetlig tilnærming med utvidet deteksjon og respons (XDR).

Publisert: 7. november 2023. Oppdatert: 13. mars 2024.

Vi hjelper gjerne til med å finne den beste løsningen for din bedrift

Ta kontakt med oss for en uforpliktende prat!

Ta kontakt

Relevante kundeprosjekter

Dette leverer vi for våre kunder

Microsoft 365 Sikkerhet Datasenter

Å bygge for fremtiden: Hvorfor skytjenester var et naturlig valg for dette merkevarehuset

CEG så tidlig at det å leie eller kjøpe tjenester fra leverandører var mer kostnadseffektivt, og det var en bonus at andre kunne ta seg av driften.

Bilde av 4 personer som sitter forsann en laptop

Microsoft 365 Sikkerhet Brukersupport

Regnkapsbyrå i vekst med behov for en skalerbar og sikker IT-løsning

Uten egen IT-ansvarlig var det viktig å ha en partner som kunne gi kloke anbefalinger, god brukersupport og som kunne hjelpe med en skalerbar og sikker IT-løsning rigget for vekst.

Brukersupport Microsoft 365

Rekrutteringsaktør med behov for brukersupport

Poolia er en nordisk bemannings -og rekrutteringsaktør med over 50 kontorer i Norden. De har fått en moderne IT-plattform med fokus på brukervennlighet.

Mer fra fagbloggen

Få faglig påfyll og bli inspirert!

Sikkerhet

DMARC - Hvorfor dette er viktig?

I sin kjerne sørger DMARC for at e-poster som du sender bærer autoritet og Integritet ovenfor den du sender e-post til.

Niklas Christensen, IT-rådgiver

18. juni 2024

Sikkerhet Microsoft 365

10 måter du kan beskytte bedriften på

Microsoft 365 Business Basic, Standard og Premium tilbyr et robust forsvar mot digitale trusler.

Trine Gutubakken, Markedskoordinator

11. juni 2024

Microsoft 365 Copilot

Webinar: Kort introduksjon til Microsoft 365 Copilot

Webinar om Microsoft 365 Copilot - blant annet om hvordan du kan bruke Copilot i din arbeidshverdag, samt hvordan det kan forbedre din daglige arbeidsflyt.

Trine Gutubakken, Markedskoordinator

28. mai 2024