EDR چه مزیت‌هایی دارد؟

در این مقاله، به بررسی مزایای فناوری EDR (شناسایی و پاسخ به تهدیدات در نقاط پایانی) می‌پردازیم و نقش آن را در تقویت امنیت سایبری سازمان‌ها توضیح خواهیم داد.

نرم‌افزار شناسایی و پاسخ نقطه‌پایانی (EDR) توسط تیم‌های عملیات امنیتی برای شناسایی، مهار، بررسی و ترمیم حملات سایبری بدافزارهای مخرب مانند باج‌افزار استفاده می‌شود. ابزارهای EDR برای کشف فعالیت‌های مشکوک در میزبان‌ها و نقاط پایانی متصل به شبکه مانند تلفن‌های همراه، رایانه‌های رومیزی، لپ‌تاپ‌ها و ماشین‌های مجازی به کار می‌روند. راهکار‌های EDR رفتارهای سطح سیستم نقطه‌پایانی را ضبط و ذخیره می‌کنند، از تکنیک‌های مختلف تحلیل داده برای شناسایی رفتار مشکوک سیستم استفاده می‌کنند، اطلاعات متنی را فراهم می‌آورند، فعالیت‌های مخرب را مسدود می‌کنند و پیشنهادات ترمیمی را برای بازگرداندن سیستم‌های آسیب‌دیده ارائه می‌دهند. آنتی ویروس EDR تمامی فعالیت‌های در حال وقوع در شبکه (مانند رویدادهای کاربر، فایل، فرآیند، رجیستری، حافظه و شبکه) را به صورت دائما نظارت و ارزیابی می‌کند و به شما امکان می‌دهد در صورت لزوم، اقدامات فوری انجام دهید.

چرا EDR مهم است؟

نرم‌افزار EDR که با نام شناسایی نقطه‌پایانی و پاسخ به تهدید (EDTR) نیز شناخته می‌شود، نظارت مستمر، همیشگی و جمع‌آوری داده‌های نقطه‌پایانی و اطلاعات تهدید قابل اقدام را با قابلیت‌های پاسخ و تحلیل خودکار تهدیدات سایبری مبتنی بر قوانین ادغام می‌کند. راهکارهای EDR، چه در زمینه شناسایی، چه پاسخ و چه ترمیم، اولین و آخرین لایه دفاعی عالی را برای شبکه‌ها و دستگاه‌های Endpoint، چه در دفتر کار و چه در مکان‌های دور و همچنین برای سرورها و فضاهای کاری ابری ارائه می‌دهند. مزایای زیادی وجود دارد که اهمیت EDR را برای امنیت سایبری برجسته می‌کند، اما دلیل اصلی آن شناسایی و کاهش آسیب ناشی از تهدیدات سایبری و جلوگیری از خروج داده‌ها توسط عوامل مخرب است. آنتی ویروس EDR  نه تنها حملات سایبری را شناسایی کرده و از گسترش آن‌ها جلوگیری می‌کند EDR مهم است زیرا کمک می‌کند:

تقلیل سطوح حمله و حذف نقاط کور

 EDR به طور خودکار دستگاه‌های ناشناخته، دستگاه‌های اینترنت اشیا (IoT) و برنامه‌ها و آسیب‌پذیری‌های آنها را بر اساس سیاست‌های کاهش ریسک برای نقاط پایانی موجود و مدیریت‌نشده متصل به شبکه کشف می‌کند. هدف از این کار یا مدیریت آنها، تنظیم سیاست‌های کنترل ارتباطات یا تنظیم سیاست‌های وصله مجازی است.

مسدود کردن حملات سایبری پیشرفته

 EDR به طور خودکار تهدیدات بالقوه را در زمان واقعی شناسایی و خنثی می‌کند تا به تیم‌های امنیتی در شناسایی حملات پنهان مانند باج‌افزار کمک کند. قابلیت‌های ضد دستکاری (Anti-tampering) از خاموش شدن نرم‌افزار EDR توسط بدافزار جلوگیری می‌کند.

شکار فعال تهدیدات و خودکارسازی ترمیم

 EDR از تحلیل رفتاری برای نظارت بر تهدیدات به منظور شناسایی رفتارهای مشکوک استفاده می‌کند و می‌تواند به شکار تهدید برای رفتارهای مخرب و سایر شاخص‌های سازش (IOCs) بپردازد. همچنین EDR می‌تواند مراحل ترمیم را از طریق کتاب‌های راهنمای پاسخ به حادثه قابل تنظیم، به طور خودکار عملی کند.

افزایش کارایی و سرعت عملیات امنیتی

 EDR با اولویت‌بندی تهدیدات جدی بالقوه و پس از تأیید، خودکارسازی اقدامات تریاژ، بار کاری تیم‌های امنیتی را کاهش می‌دهد. آنتی ویروس EDR  تهدیدات را در زمان واقعی شناسایی و خنثی می‌کند، حملات را مهار می‌کند و تحقیقات را آغاز می‌نماید.

سازمان‌ها به EDR چه نیازی دارند؟

EDR  برای عملیات امنیتی حیاتی است، زیرا به کاهش زمان پاسخگویی تیم‌های امنیتی به حملات سایبری کمک می‌کند. راهکارهای EDR تشخیص تهدید را بهبود می‌بخشند، قابلیت‌های پاسخگویی دائمی را ارائه می‌دهند و وضعیت امنیتی کلی یک سازمان را برای کاهش خطر نشت داده‌ها و کمک به تضمین ثبات کسب‌وکار افزایش می‌دهند. راه‌کارهای EDR در موارد زیر به کمک سازمان‌ها می‌آیند:

نقض داده‌ها

شرکت‌ها نه تنها باید تشخیص دهند که نقض داده‌ای رخ داده است، بلکه باید آن را مهار و ترمیم کنند. تمام این کارها باید با نهایت دقت و بدون هیچ گونه اخلالی در تداوم کسب‌وکار انجام شود. اکثر کسب‌وکارها برای انجام این نوع تحقیقات کامل آماده نیستند و در عوض برای کمک، یک فروشنده خارجی را استخدام می‌کنند. امروزه، سازمان‌ها نیاز به دید بیشتری نسبت به رایانه‌های خود دارند تا اطمینان حاصل کنند که تهدیدات نوظهور، رفتار پرخطر کارکنان و برنامه‌های ناخواسته، سود و اعتبار شرکت را به خطر نمی‌اندازند. صنایعی که معمولا در خطر نقض داده‌ها هستند، به طور سنتی آنهایی هستند که داده‌های ارزشمندی مانند مالی، خرده‌فروشی، مراقبت‌های بهداشتی و بخش دولتی دارند. با این حال، این بدان معنا نیست که سایر صنایع امن هستند، فقط هکرها معمولاً به سازمانی حمله می‌کنند که ارزش وقت و تلاش آن‌ها را داشته باشد.

تهدیدات مداوم پیشرفته (APT) و حملات هدفمند

سیستم‌های EDR معمولاً برای چنین مواردی استفاده می‌شوند: شناسایی APTها یا حملات هدفمند از طریق شکار تهدید، کاهش زمان پاسخ به رویداد و پیشگیری فعال از حملات آینده. کشف APTها به ویژه برای شرکت‌ها مهم است، زیرا اکثر کسب‌وکارها امروزه آمادگی برای جدیدترین حملاتی که می‌توانند روزها یا حتی ماه‌ها در شبکه شناسایی نشوند، ندارند. سیستم امنیتی EDR تمام فعالیت‌های در حال وقوع در شبکه (به عنوان مثال رویدادهای کاربر، فایل، فرآیند، رجیستری، حافظه و شبکه) را به صورت دائمی نظارت و ارزیابی می‌کند و به شما امکان می‌دهد در صورت لزوم، اقدامات فوری انجام دهید.

قابلیت رویت اطلاعات سازمان

تهدیدات داخلی و حملات فیشینگ مشکلات عمده‌ای برای کسب‌وکارهای بزرگ هستند. شرکت‌ها با دارا بودن تعداد زیادی کارمند معمولا هدف حملات فیشینگ هستند. احتمال زیادی وجود دارد که یک کارمند به دام بیفتد و در نهایت کل کسب‌وکار به خطر بیفتد. حملات داخلی نیز تهدید دیگری برای شرکت‌ها هستند، باز هم به این دلیل که تعداد زیاد کارکنان احتمال اینکه یکی از آنها علیه منافع شرکت عمل کند را افزایش می‌دهد. سیستم‌های EDR دید لازم را برای سازمان‌ها فراهم می‌کنند تا بتوانند هرگونه مشکل را در تمام دستگاه‌های خود مشاهده، درک، مسدود و ترمیم کنند.نرم‌افزار EDR  می‌تواند به سرعت اسکریپت‌های مخربی را که خود را به عنوان بخشی از اسناد بی‌ضرر، مانند فایل‌های Word، پنهان می‌کنند، شناسایی و متوقف کند.

مزایای کلیدی EDR

  • پاسخ همگام‌سازی‌شده

این سیستم که بر پایه ارائه امنیت Endpoint موجود  بنا شده است، یک اکوسیستم سازگار ایجاد می‌کند که امکان ارتباط متقابل بین تمام اشیاء مربوطه و ترمیم همگام‌سازی‌شده رویدادها را فراهم می‌آورد. تیم‌های امنیتی می‌توانند از طریق کنسول، فرآیندها را از بین ببرند و فایل عامل شناسایی را دانلود کنند.

  • ساختار باز

سرویس EDR یک تشخیص منحصر به فرد مبتنی بر رفتار و اعتبار را ارائه می‌دهد که برای تیم‌های امنیتی کاملاً شفاف است. تمام قوانین در فرمت XML مشترک نوشته شده‌اند و می‌توانند به راحتی برای مطابقت با نیازهای محیط‌های سازمانی خاص، از جمله یکپارچه‌سازی SIEM، سفارشی‌سازی و ایجاد شوند.

  • دسترسی از راه دور

قابلیت کنترل از راه دور EDR، به مهندسان امنیتی امکان می‌دهد تا از راه دور رایانه‌های سازمان خود را بازرسی و پیکربندی کنند، بنابراین می‌توان پاسخی پیچیده را بدون ایجاد اختلال در روند کار کاربر به دست آورد.

  • پشتیبانی از چندیدن پلتفرم

EDR از ویندوز و macOS پشتیبانی می‌کند، که آن را به گزینه‌ای عالی برای محیط‌های چند پلتفرمی تبدیل می‌کند.

  • API عمومی

EDR دارای یک API است که امکان دسترسی و استخراج یافته‌ها و رفع آنها را فراهم می‌کند تا امکان یکپارچگی مؤثر با ابزارهایی مانند SIEM، SOAR، ابزارهای مدیریت تیکت و بسیاری دیگر را فراهم آورد.

  • قابلیت تنظیم ایده‌آل

به راحتی می‌توانید با تنظیم قوانین برای گروه‌های مختلف کامپیوتر یا کاربران، از یافته‌های ناخواسته جلوگیری کنید. معیارهایی مانند نام فایل، مسیر، هش، خط فرمان، امضاکننده را برای تنظیم دقیق شرایط فعال‌سازی ترکیب کنید.

کارکردهای EDR

شناسایی تهدیدات، اساس تمام راهکارهای EDR (Endpoint Detection and Response) است تا بتوان تهدیدات را در قالب فرآیند اصلاح و بازیابی، مهار، بررسی و از بین برد. مسئله این نیست که آیا یک سازمان با تهدیدات مواجه خواهد شد یا خیر؛ بلکه موضوع این است که پس از آلوده شدن سیستم‌های سازمان توسط بدافزارهای پیچیده‌ای که در ابتدا ایمن به نظر می‌رسند، چه اتفاقی می‌افتد و چگونه ماهیت مخرب خود را آشکار می‌کنند. علاوه بر وظایف اصلی شناسایی تهدید، مهار، بررسی و اصلاح،EDR  با ترکیب قابلیت‌های جمع‌آوری داده، تحلیل و پاسخ‌گویی، پاسخ‌های خودکار و هشدارهای مربوط به تهدیدات قریب‌الوقوع را هماهنگ می‌کند. اجزای عملکردی زیر، اساس راهکارهای EDR را تشکیل می‌دهند:

تشخیص عمیق تهدید –باج افزار

امروزه، باج‌افزارها تلاش می‌کنند در شبکه شناسایی نشوند و بی‌صدا در میان تعدا زیادی Endpoint شبکه گسترش یابند. آن‌ها به نسخه‌های پشتیبان سیستم‌ها نفوذ می‌کنند تا اطمینان حاصل کنند که حتی بازگرداندن به تصاویر قبلی نیز مانع از اجرای فوری باج‌افزار نخواهد شد. EDR قابلیت‌های راهکارهای امنیتی Endpoint  را گسترش می‌دهد و به شما امکان می‌دهد، باج‌افزارهایی را که ممکن است از قبل در شبکه شما وجود داشته باشند، به صورت فعال شناسایی کنید. در یک سناریوی معمول باج‌افزاری، کاربر ایمیلی حاوی یک سند پیوست دریافت می‌کند. سپس کاربر اقدام به باز کردن سند ورد می‌کند و از او خواسته می‌شود ماکروها را اجرا کند. به محض اینکه کاربر ماکروها را اجرا می‌کند، یک فایل اجرایی روی سیستم قرار می‌گیرد و شروع به رمزگذاری هر چیزی که می‌تواند می‌کند، از جمله درایوهای نگاشت شده.

همچنین سرویس EDR به تیم امنیتی اجازه می‌دهد هشدارهایی را در مورد این نوع رفتار مشاهده کند و تنها با چند کلیک می‌توان دید چه چیزی تحت تأثیر قرار گرفته است، کجا و چه زمانی یک فایل اجرایی، اسکریپت یا عمل خاصی انجام شده است و علت آن ریشه یابی شود.یک کسب‌وکار به ابزارهای اضافی برای شناسایی فعالانه باج‌افزارها، علاوه بر اطلاع‌رسانی سریع در صورت مشاهده رفتارهای شبیه به باج‌افزار در شبکه، نیاز دارد:

شناسایی رفتار و متخلفان همیشگی

آسیب‌پذیرترین جزء امنیت شبکه، اغلب شخصی است که پشت کیبورد نشسته است، حتی بدون هیچ قصد بدی. نرم افزار EDR به راحتی این عناصر بالقوه ضعیف را با مرتب‌سازی کامپیوترها بر اساس تعداد هشدارهای منحصر به فرد فعال شده شناسایی می‌کند. اگر یک کاربر هشدارهای متعددی را فعال کند، این یک نشانگر واضح است که فعالیت او باید عمیق‌تر بررسی شود. راهکارهای EDR در این مواقع شامل موارد زیر هستند:

  • به راحتی کاربران و دستگاه‌های مشکل‌ساز را مشاهده کنید.
  • به سرعت از تحلیل ریشه‌ای (Root Cause Analysis) را برای یافتن منبع آلودگی‌ها استفاده کنید.
  • وکتورهای آلوده یافت شده مانند ایمیل، وب یا دستگاه‌های USB را اصلاح (Remediate) کنید.

شکار تهدید و مسدود کردن

نقطه قوت متمایز EDR در شکار تهدید، رویکرد “پیدا کردن سوزن در انبار کاه” است. با اعمال فیلترها بر روی داده‌هایی که بر اساس محبوبیت یا شهرت فایل، امضای دیجیتال، رفتار و اطلاعات متنی مرتب می‌شوند، هرگونه فعالیت مخرب به راحتی قابل شناسایی و بررسی است. تنظیم فیلترهای متعدد امکان انجام وظایف خودکار شکار تهدید را فراهم می‌کند و می‌تواند آستانه شناسایی را با محیط خاص یک شرکت تنظیم کند. فرض کنید سیستم هشدار اولیه یا مرکز عملیات امنیتی (SOC) شما یک هشدار تهدید جدید می‌دهد. گام‌های بعدی شما چیست:

  • از سیستم هشدار اولیه برای بازیابی داده‌ها در مورد تهدیدات جدید استفاده کنید.
  • همه کامپیوترها را برای وجود تهدید جدید جستجو کنید.
  • همه کامپیوترها را برای شاخص‌های سازش (Indicators of Compromise) که نشان می‌دهد تهدید قبل از هشدار وجود داشته، جستجو کنید.
  • تهدید را مسدود کنید تا به شبکه نفوذ نکند و در سازمان اجرا نشود.

میدان دید شبکه

نرم افزار EDR یک راهکار با ساختار باز است، به این معنی که یک تیم امنیتی می‌تواند تنظیمات شناسایی را که تکنیک‌های حمله را توصیف می‌کنند، برای محیط‌های خاص سازمانی تعریف کند. معماری باز سیستم EDR همچنین انعطاف‌پذیری را برای پیکربندی فراهم می‌کند تا نقض سیاست‌های سازمان در مورد استفاده از نرم‌افزارهای خاص مانند برنامه‌های تورنت، فضای ذخیره‌سازی ابری، مرورگران، راه‌اندازی سرورهای شخصی و سایر نرم‌افزارهای ناخواسته را شناسایی کند. برخی کسب‌وکارها نگران برنامه‌هایی هستند که کاربران روی سیستم‌ها اجرا می‌کنند. نه تنها باید نگران برنامه‌های نصب شده به روش سنتی باشید، بلکه برنامه‌های قابل حمل (portable) که واقعاً نصب نمی‌شوند نیز جای نگرانی دارند. چگونه می‌توانید کنترل آن‌ها را حفظ کنید؟ در این‌جا راهکارهای امنیتی EDR به کمک شما می‌آیند:

  • به راحتی تمام برنامه‌های نصب شده در دستگاه‌ها را مشاهده و فیلتر کنید.
  • تمام اسکریپت‌ها را در دستگاه‌ها مشاهده و فیلتر کنید.
  • به راحتی از اجرای اسکریپت‌ها یا برنامه‌های غیرمجاز جلوگیری کنید.
  • با اطلاع‌رسانی به کاربران در مورد برنامه‌های غیرمجاز و حذف خودکار آنها، مشکل را برطرف کنید.

بررسی و اصلاح با درک محتوا

“مخرب بودن” یک فعالیت به بستر و زمینه آن بستگی دارد. فعالیت‌هایی که در کامپیوترهای ادمین‌های شبکه انجام می‌شود، بسیار متفاوت از فعالیت‌های انجام شده در بخش مالی است. با گروه‌بندی مناسب کامپیوترها، تیم‌های امنیتی به راحتی می‌توانند تشخیص دهند که آیا این کاربر مجاز به انجام یک فعالیت خاص در این دستگاه است یا خیر. برای تصمیم‌گیری‌های صحیح، باید بدانید هشدارها چه هستند، در کدام دستگاه‌ها رخ می‌دهند و کدام کاربران آن‌ها را فعال می‌کنند:

  • تمام کامپیوترها را بر اساس اکتیو دایرکتوری، گروه‌بندی‌های خودکار یا گروه‌بندی‌های دستی شناسایی و مرتب کنید.
  • اجازه یا مسدود کردن برنامه‌ها یا اسکریپت‌ها را بر اساس گروه‌بندی کامپیوتر.
  • اجازه یا مسدود کردن برنامه‌ها یا اسکریپت‌ها را بر اساس کاربر.
  • فقط برای گروه‌های خاص اعلان دریافت کنید.
اشتراک گذاری این پست
ایمیل
تلگرام
واتساپ
لینکدین

دیدگاهتان را بنویسید

آدرس ایمیل شما منتشر نخواهد شد. فیلد های ضروری مشخص شده اند *

ارسال نظر

سایر مقالات

مقالات مرتبط