EPP, EDR, XDR, CASB, IAM .... - co to wszystko znaczy?

Systemy endpoint - stacje robocze, laptopy, tablety, telefony. Tablety i telefony określa się też mianem "Mobile Endpoint".

ML/AI - Machine Learning / Artifical Inteligence - tutaj: technologie i algorytmy wykrywania wrogiego oprogramowania bazujące na uczeniu maszynowym i sztucznej inteligencji.

AV - Tradycyjne oprogramowanie antywirusowe wykorzystujące sygnatury plików. Nie zapewnia ochrony przed współczesnym mallware, atakami 0-day i atakami bezplikowymi.

EPP - Endpoint protection platform

Oprogramowanie instalowane na systemach endpoint, zapewniające pierwszą linię obrony przed atakami mallware, w tym - klasycznego (bazującego na plikach), bezplikowego oraz 0-day. EPP zapobiega atakom przy pomocy różnych mechanizmów: "klasycznych" sygnatur AV, czarnych i białych list, technologii sandbox, analizie behawioralnej i rozwiązaniom ML/AI.

EDR   Endpoint Detection and Response

Druga linia obrony przed atakami na systemy endpoint. Aktywuje się w przypadku wystąpienia incydentu. Dokonuje syntezy danych z systemów endpoint i innych systemów. Pozwala określić przyczynę i zakres incydentu, może izolować, oczyszczać i naprawiać skomromitowane systemy.


W ujęciu handlowym rozwiązania "EDR" często objemują także funkcje EPP.

XDR Extended Detection and Response

Zbiera, analizue i koreluje dane pochodzące z systemów endpoint. Pozwala na stadaryzację procedur obsługi incydentów, zapewnia sprawniejszą pracę zespołów bezpieczeństwa.

W ujęciu handlowym rozwiązania "XDR" często objemują także funkcje EDR i EPP.

EMM Enterprise mobility management

Oprogramowanie służące do zarzadzania endpointami mobilnymi. Może współpracować z oprogramowaniem bezpieczeństwa, jednak z reguły nie pełni funkcji EPP.

NTA Network Traffic Analysis

Oprogramowanie monitorujące ruch sieciowy, implementowane jako sonda lub agent. W kontekście ochrony endpoint dane zgromadzone przez NTA pozwalają na lokalizację zagrożeń oraz uzyskanie dodatkowych danych bezpieczeństwa. Przykładem może być wykrycie anomalii ruchu sieciowego związanych z komunikacją zainfekowanych systemów z oprogramowanem C&C.

SIEM  - Security Information and Event Management

Zbiera i agreguje informacje o zdarzenia oraz logi z aplikacji, systemów sieciowych, systemów centralnych oraz endpoint. Informacje są agregowane, jednak systemy SIEM z reguły nie  zapewniają złożonej analityki.

IAM Identity and Access Management

Oprogramowanie (a także reguły, polityki i procesy) realizujące funkcje zarządzania cyfrową tożsamością użytkowników i mapowaniem jej na uprawnienia do systemów.

DLP  Data Loss Prevention

Oprogramowanie chroniące przed wyciekiem danych - głównie (choć nie wyłącznie) z systemów endpoint. Zabezpiecza i kontroluje wszystkie możliwe drogi wypływu informacji z: aplikacji web, e-mail, porty USB, drukarki, itp. Kontrola odbywa się zazwyczaj w kontekście klasyfikacji informacji (dokumentów) w zakresie ich znaczenia (stopnia poufności). Funkcją DLP w równym stopniu jest ochrona przez mallware, jak i przed nieuprawnionymi działaniami użytkowników.

UEBA - User and Entity Behavior Analytics

Rozwiązanie programowe analizujące zachowania użytkowników i wykrywające anomalie, które moga świadczyć o aktywności mallware-u, ale także o nieuprawnionych akcjach użytkowników. Monitoruje zarówno fizycznych użytkowników systemów endpoint jak i systemy centralne, rutery, serwery, itd.

CASB  Cloud Access Security Brokers

Oprogramowanie służace do mapowania uprawnień użytkowników na uprawnienia do aplikacji w chmurze.

PAM Privileged access management

Oprogramowanie zarządzające i monitorujące wykorzystanie uprawnień (poświadczeń bezpieczeństwa) użytkowników do kluczowych systemów w organizacji (np. serwerów danych, serwerów bezpieczeństwa, systemow zdalnego dostępu, itp.)



Print