Endpoint Protection Platform (EPP) je bezpečnostní řešení navržené k detekci a prevenci hrozeb na úrovni koncových bodů.

Koncové body jsou zařízení, která se k podnikové síti připojují na „konci“, tedy jako přístupový bod. Patří mezi ně zařízení, jako jsou počítače, tablety, chytré telefony, servery a zařízení internetu věcí. V moderním podnikovém prostředí vzrostla rozmanitost a počet koncových bodů v důsledku rozšíření BYOD (Bring Your Own Device), vzdálené práce, cloudifikace a zařízení internetu věcí.

Koncové body jsou často cílem počátečních útočných vektorů, např Phishing, malwarenebo zneužívání zranitelností v zastaralém softwaru. Po kompromitaci lze koncový bod použít k laterálnímu přesunu po síti, eskalaci oprávnění nebo exfiltraci dat. Rostoucí počet koncových bodů a „potenciál“ bezpečnostního kompromisu způsobily, že tradiční zabezpečení založené na perimetru je méně efektivní a EPP je důležitější jako první obranná linie proti různým hrozbám.

EPP obvykle poskytují řadu funkcí, včetně:

  • Antivirová a antimalwarová ochrana – Ochrana před známými viry, červy, trojskými koňmi a dalším malwarem.
  • Firewall – Řízení síťového provozu do a ze zařízení, aby se zabránilo neoprávněnému přístupu.
  • Systémy prevence narušení – Identifikace a zastavení chování, které naznačuje hrozbu, jako jsou neobvyklé přenosy dat nebo změny v systému.
  • Šifrování dat – Zajištění nečitelnosti dat pro neoprávněné uživatele. To je důležité zejména pro zařízení, která uchovávají citlivé informace.
  • Prevence ztráty dat – Identifikace a ochrana citlivých dat před neoprávněným přístupem a prosazování bezpečnostních zásad, aby se zabránilo úniku dat.
  • Kontrola aplikací – Zabránění spouštění neautorizovaných nebo rizikových aplikací.
  • Endpoint Detection and Response (EDR) – Pokročilejší funkce, která nepřetržitě monitoruje hrozby a reaguje na ně. EDR zaznamenávají aktivity a události koncových bodů a poskytují forenzní data, která lze použít k pochopení rozsahu narušení ak prevenci podobných budoucích útoků (viz níže).

V rámci EPP jsou tyto technologie řízeny a monitorovány z centralizovaného místa. To usnadňuje jejich správu pro IT a také snižuje tření, což vede k lepšímu zabezpečení a organizačnímu zapojení.

Co je koncový bod?

Koncový bod je jakékoli vzdálené zařízení, které slouží jako přístupové body k podnikové síti. Koncové body komunikují tam a zpět se sítí, ke které jsou připojeny. Příklady koncových bodů zahrnují:

  • Počítače – Stolní počítače a notebooky pro zaměstnance
  • Mobilní zařízení – Smartphony a tablety používané pro osobní i pracovní účely
  • Servery – Servery, které fungují jako přístupový bod a poskytují služby jiným počítačům nebo sítím.
  • Příslušenství – Zařízení, která poskytují další funkce, jako jsou tiskárny.
  • Zařízení internetu věcí – Senzory, lékařská zařízení, sledovače, chytré kamery a další.

V posledních letech počet používaných koncových bodů roste. Vzhledem k jejich zranitelnosti si tento trend žádá pozornost a jednání bezpečnostních profesionálů.

Jak se liší EPP od EDR?

Endpoint Protection Platform (EPP) a Endpoint Detection and Response (EDR) jsou prvky zabezpečení koncových bodů, ale slouží různým účelům a fungují poněkud odlišným způsobem. Tady je jejich srovnání.

EPP se primárně zaměřuje na prevenci. Jeho cílem je zastavit hrozby dříve, než se stihnou provést a způsobit škodu. To zahrnuje zastavení známého malwaru, blokování škodlivých adres URL a zabránění zneužití známých zranitelností. EPP fungují na základě databáze známých hrozeb a heuristiky. I když je však EPP účinná proti známým hrozbám, může se potýkat s novými, neznámými hrozbami, které neodpovídají žádné existující signatuře (hrozby nultého dne).

Na druhé straně jsou EDR primárně zaměřeny na detekci a reakci. EDR fungují tak, že dynamicky identifikují hrozby, které obešly počáteční obranu, rozumí rozsahu narušení a reagují tak, aby hrozbu zadržely a odstranily.

Systémy EDR k tomu obvykle zahrnují nepřetržité monitorování, zpravodajství o hrozbách, analýzu chování k identifikaci činností, které naznačují hrozbu (jako je neobvyklý pohyb dat nebo změny kritických systémových souborů) a nástroje pro odezvu. Když je detekována potenciální hrozba, EDR poskytují nástroje k prozkoumání, zadržení hrozby, izolaci koncových bodů a obnovení. EDR se neustále vyvíjejí na základě dat, která shromažďují a analyzují.

EPP a EDR se vzájemně doplňují. Pokud hrozba obejde EPP, EDR ji dokáže detekovat, umístit do karantény a zastavit ji.

EPP vs. EDR: Srovnávací tabulka

EPP EDR
Účel Prevence Detekce a reakce
Metoda Databáze známých hrozeb a heuristiky Analýza chování, zpravodajství o hrozbách a nepřetržité monitorování
Citlivost Statické, poskytující konzistentní úroveň obrany proti známým hrozbám Dynamický, přizpůsobující se novým informacím a aktivitám na síti

 

Výhody platformy Endpoint Protection Platform

EPP pomáhají udržovat bezpečnost a integritu sítě. Mezi hlavní výhody EPP pro bezpečnostní a IT profesionály patří:

Komplexní ochrana proti malwaru a útokům

Cílem EPP je zabránit pronikání známých hrozeb do sítě. Udržováním velké databáze signatur hrozeb a používáním pokročilých algoritmů může blokovat značný objem útoků. Patří mezi ně viry, červi, spyware a další. V důsledku toho EPP snižují bezpečnostní riziko pro organizaci.

Splnění požadavků na shodu s předpisy

Mnoho průmyslových odvětví podléhá předpisům, které nařizují určité úrovně zabezpečení a ochrany dat. EPP mohou organizacím pomoci splnit tyto požadavky poskytnutím funkcí pro správu zabezpečení a dodržování předpisů.

Škálovatelnost

Jak organizace rostou, rostou i jejich sítě a počet koncových bodů. Řešení EPP umožňují ochranu rostoucího počtu zařízení bez výrazného zvýšení složitosti nebo nákladů.

Viditelnost a ovládání

EPP poskytují přehled o stavu zabezpečení všech chráněných koncových bodů prostřednictvím jediného systému. To umožňuje lepší kontrolu nad sítí a schopnost rychle reagovat na potenciální problémy. Tato viditelnost může také poskytnout cenné poznatky o stavu zabezpečení a pomoci při přijímání informovaných rozhodnutí zjednodušeným způsobem.

Podpora pro vzdálené a mobilní pracovní síly

S nárůstem vzdálené práce a používání mobilních zařízení je základním požadavkem ochrana koncových bodů mimo tradiční síťový perimetr. EPP mohou poskytnout ochranu bez ohledu na to, kde se nachází koncový bod.

Použití EPP s rozšířením Enterprise Browser Extension

An rozšíření podnikového prohlížeče chrání aplikace, data a zařízení před webovými hrozbami a riziky a zároveň zajišťuje vysoce kvalitní uživatelskou zkušenost. Přímou integrací do prohlížeče poskytuje rozšíření podnikového prohlížeče podrobnou podrobnou viditelnost pro přesnou detekci rizik. Když je zjištěno riziko, možnosti vynucení sahají od deaktivace rizikových funkcí webových stránek až po ukončení celých webových relací. Rozšíření podnikového prohlížeče je zvláště účinné v organizacích, kde zaměstnanci prohlížejí internet pomocí spravovaných a nespravovaných zařízení a přistupují ke schváleným a neschváleným aplikace SaaS.

Rozšíření podnikového prohlížeče doplňuje EPP, protože tyto nástroje nepokrývají aktivitu a zabezpečení procházení. EPP nanejvýš monitorují webový provoz pomocí lokálního TLS proxy, přičemž omezují pokrytí na úroveň URL/název hostitele nebo základní filtrování DNS. V důsledku toho EPP nemohou zajistit ochranu před hrozbami a riziky, jako je malware, který není v zařízení, Phishing, škodlivé prvky v aplikaci, rozšíření prohlížeče, konfigurace prohlížeče, nespravovaná zařízení, nahrání citlivých souborů, které nejsou na známé adresy URL/názvy hostitelů, citlivá data nahrát a stáhnout.

Společně mohou EPP a rozšíření podnikových prohlížečů chránit před vnějšími hrozbami, které ohrožují zařízení, z prohlížeče a kdekoli jinde.

Další informace o rozšířeních podnikového prohlížeče zde.