EDR (ang.: Endpoint Detection and Response) to grupa systemów cyberbezpieczeństwa, które skupiają się na kontrolowaniu punktów końcowych sieci tj. stacji roboczych, serwerów, drukarek itp. Systemy EDR:

• monitorują ruch w urządzeniach końcowych,


• przekazują informacje do centralnego serwera,


• przetwarzają dostarczone dane oraz informują osoby odpowiedzialne o podejrzeniu ataku lub innego zagrożenia.

Systemy EDR nazywa się czasami antywirusami nowej generacji. Jest to logiczne określenie, ponieważ stanowią naturalną ewolucję stosowanych dotychczas rozwiązań. Systemy EDR różnią się jednak od tradycyjnych rozwiązań zakresem działania oraz wykorzystywanymi metodami. Rozwiązania EDR składają się z centralnego serwera przetwarzającego dane oraz agentów zainstalowanych bezpośrednio w punktach końcowych sieci, które te dane dostarczają.

O ile systemy antywirusowe koncentrują się na wykrywaniu znanych zagrożeń, na przykład popularnych wirusów, trojanów czy malware, wykorzystując do tego sygnatury i heurystykę, systemy EDR rozszerzają zakres ochrony. Dzięki zastosowaniu AI oraz uczenia maszynowego do analizy behawioralnej systemy EDR mogą reagować na nieznane dotąd zagrożenia (tzw. ataki zero-day czy ataki fileless) oraz adaptować się do warunków pracy w konkretnej organizacji.

Na rynku dostępnych jest wiele rozwiązań tego typu – od podstawowych systemów, których działanie ogranicza się do dostarczania alertów, po systemy o dużym poziomie automatyzacji. W zależności od możliwości konkretnego rozwiązania system EDR może też automatycznie reagować w sposób, który określa zbiór ustalonych reguł.

Oprócz wspomnianych systemów Endpoint Detection and Response, na rynku spotyka się także rozwiązania klasy XDR. Podstawową różnicą pomiędzy systemami EDR i XDR jest obszar działania. Podczas gdy EDR koncentruje się na kontroli punktów końcowych, XDR zbiera dane z obszaru całej sieci, np. urządzeń IoT, poczty elektronicznej i chmury. XDR i EDR to systemy, które często wykorzystuje się razem. W takim układzie EDR jest dla XDR kolejnym źródłem danych o stanie sieci.

Więcej na temat XDR i współpracy tych rozwiązań z systemami EDR napisaliśmy w dedykowanym artykule.

Rozwiązania EDR zapewniają zespołom ds. cyberbezpieczeństwa widoczność punktów końcowych sieci, zapewniając szeroki kontekst zagrożeń i dając kontrolę nad obszarami, które do niedawna były poza zasięgiem wykorzystywanych powszechnie narzędzi.

W praktyce systemy EDR dają administratorom wiele cennych danych. Mogą informować o takich zdarzeniach, jak logowania do urządzenia, instalowanie nowych aplikacji, dodawanie i usuwanie plików lub kopiowanie danych na nośniki zewnętrzne. Przy pomocy EDR analitycy i administratorzy mogą zapobiegać atakom phishingowym, ransomware, malware czy popularnym metodom słownikowym.

Dużą zaletą systemów EDR jest możliwość wykrywania ataków na wczesnym etapie – często jeszcze przed ich wystąpieniem. Dzięki detekcji podejrzanych zachowań atakowane urządzenie może być w porę odizolowane od reszty sieci i Internetu. EDR pozwala też usunąć określone pliki, zapobiec zaszyfrowaniu bazy danych lub po prostu zakończyć podejrzany proces.

Co ważne, systemy EDR są cennym wsparciem w walce o poprawę bezpieczeństwa firmy, jednak nie stanowią kompleksowego zabezpieczenia. Mogą za to minimalizować ryzyko tzw. silently fall, czyli problemu polegającego na niewykrywaniu zagrożeń przez standardowe zabezpieczenia, takie jak firewall czy programy antywirusowe (dzieje się tak w sytuacji, gdy zagrożenie nie spełnia żadnej z reguł ustalonych dla zapory lub innych narzędzi i przez to nie wywołuje alertu). Systemy EDR doskonale uzupełniają inne rozwiązania, jak wspomniane systemy XDR, SIEM i SOAR.

Systemy EDR stają się jednym z koniecznych punktów firmowego systemu ochrony. Wbrew pozorom nie są to jednak rozwiązania dedykowane wyłącznie największym firmom. Z powodzeniem można zastosować je także w małych i średnich organizacjach, które również są narażone na ataki z zewnątrz czy zagrożenia wewnętrzne (tzw. insider threats).

Netia, jako jeden z liderów rynku cyberbezpieczeństwa w Polsce, oferuje wdrożenie systemów Endpoint Detection and Response oraz innych rozwiązań zwiększających bezpieczeństwo organizacji. Kluczowe jest zapewnienie wielowarstwowej ochrony sieci. O ile podstawową formą ochrony jest firewall zlokalizowany w bezpiecznej chmurze Netii, to EDR stanowi kolejny poziom inspekcji ruchu. W praktyce: zagrożenie zignorowane przez zaporę sieciową powinno zostać zablokowane przez EDR lub inne dedykowane narzędzie. Firmy pracujące w modelu rozproszonym docenią z kolei rozwiązania klasy UTM, które zapewniają cyberbezpieczeństwo organizacji podczas pracy zdalnej.

Uzupełnieniem systemu bezpieczeństwa składającego się z wymienionych wyżej narzędzi oraz innych rozwiązań (np. secure e-mail gateway) jest stosowanie całodobowego monitoringu całej infrastruktury. Monitoring, jako usługa realizowany przez doświadczony zespół SOC Netii, stanowi jedno z najlepszych zabezpieczeń przed zróżnicowanymi cyberzagrożeniami. Specjaliści wykorzystujący analityczne narzędzia automatyzujące pracę mogą w czasie rzeczywistym reagować na zagrożenia i incydenty bezpieczeństwa, nie dopuszczając do groźnych ataków.

W przypadku infrastruktury bazującej na rozwiązaniach firmy Fortinet, bardziej efektywnym kosztowo rozwiązaniem jest zautomatyzowana usługa Netia Incident Monitoring. Zapewnia stały monitoring systemów bezpieczeństwa w firmie i informuje administratora o występujących problemach oraz zagrożeniach.

Netia zapewnia bezpieczeństwo cybernetyczne setkom polskim firm i jest gotowa pomóc kolejnym organizacjom. Zapraszamy do kontaktu!