راهکار کنترل End Point (EDR , XDR , MDR)
در ذیل به توضیح و معرفی راه حل های مختلف راهکار کنترل End point می پردازیم.
برای درک اینکه آیا EDR برای سازمان شما مناسب است، باید اول مفهوم امنیت نقطه پایانی Endpoint را درک کنید.
امنیت Endpoint به معنی انضباط در حفاظت از دستگاه های متصل در شبکه یک سازمان است. استفاده از امنیت Endpointمی تواند به کسب و کارها کمک کند امنیت چندین دستگاه را برقرار کنند و دید پیشرفته ای نسبت به رویدادهای در حال اتفاق در شبکه را بدست آورند.
این رویکرد امنیت سایبری در چند سال گذشته به طور تصاعدی در حال رشد است.
Endpoint چیست؟
Endpointبه دستگاههای متصل و رایانههای شخصی گفته میشود که کارکنان شما از آنها برای انجام کارهای خود استفاده میکنند. مانند(کامپیوترهای رومیزی، تلفن های همراه، لپ تاپ ها، تبلت ها، پرینتر هاو…)
چرا سازمان و شبکه شما نیازمند یک نرم افزار EDR است؟
امروزه سازمان ها زیر رگبار مداوم حملات هکر ها هستند. از حملات ساده و فرصت طلبانه، مثل یک کد مخرب که به پیوست ایمیلی ارسال شده،تا به این امید که Endpoint در برابر حمله آسیب پذیر باشد، تا حملات گسترده و پیچیده تر یک سازمان را تهدید میکند . در حملات پیشرفتهتر، عوامل تهدید ممکن است از اکسپلویتهای شناخته شده , اجرای بدافزار در حافظه یا استفاده از تکنیکهای فرار سعی کنند آنها را از دید متخصصان امنیت پنهان کنند.
اگر مهاجمان اگاهی و تخصص بالایی داشته باشند، ممکن است یک حمله روز صفر Zero day ایجاد کنند که از آسیبپذیریهای ناشناخته برنامه یا سیستم بهره ببرند. خوشبختانه، ابزارهای موثر پیشگیری از تهدید می توانند بیش از 99 درصد از تمام حملات را به طور خودکار متوقف کنند. آنها میتوانند چندین موتور تحلیل گر، را برای تایید اصالت منابع و تاییید کننده یک فایل، تا توزیع کد ها بایت توابع موجود در یک فایل اجرایی به برای جلوگیری از حملات به کار بگیرند. از آنجایی که بسیاری از حملات روز صفر از تکنیک های شناخته شده استفاده می کنند، ابزارهای امنیتی مناسب می توانند این حملات را شناسایی و متوقف کنند، حتی اگر قبلاً حمله خاصی شبیهش را ندیده باشند.
با این حال، پیچیده ترین و بالقوه ترین حملات آسیب رسان نیاز به شناسایی و پاسخ دارند. این حملات، مانند تهدیدات داخلی، حملات ضعیف و تهدیدات مداوم پیشرفته، ممکن است به تأیید دستی از یک تحلیلگر امنیتی نیاز داشته باشند. اغلب، تنها راه برای شناسایی این حملات، تجزیه و تحلیل فعالیت در طول زمان و بین حرکت داده ها با استفاده از یادگیری ماشین است.
این حملات پیشرفته به ندرت در زمان واقعی قابل شناسایی هستند. و اغلب یک تحلیلگر امنیتی باید سعی کند هدف فعالیت را درک کند تا مشخص کند که آیا مخرب است یا خیر. بنابراین، در حالی که تعداد کمی از حملات نیاز به شناسایی و پاسخ دارند، این حملات می توانند بسیار مخرب باشند. تیم های امنیتی برای یافتن، بررسی و توقف آنها به راه حل های راهکار کنترل End point مانند EDR نیاز دارند.
- شناسایی تهدیدات پر تکرار و همیشگی
- توقف حملات بدون فایل
- تهدیدات zero-day را مسدود کنید
- محافظت در برابر باج افزار ها
- جلوگیری از نقض خط مشی شرکت
EDR چگونه کار میکند ؟
راهحلهای امنیتی EDR رویدادها را از لپتاپها، رایانههای شخصی رومیزی، دستگاههای تلفن همراه، سرورها و حتی داده های اینترنت اشیا و ابری تجزیه و تحلیل میکنند تا فعالیتهای مشکوک را شناسایی کنند. آنها هشدارهایی را برای کمک به تحلیلگران عملیات امنیتی در کشف، بررسی و اصلاح مسائل ایجاد می کنند.
ابزارهای EDR همچنین دادههای تلهمتری را در مورد فعالیتهای مشکوک جمعآوری میکنند و ممکن است آن دادهها را با سایر اطلاعات زمینهای از رویدادهای مرتبط ادغام کنند. از طریق این توابع، EDR در کوتاه کردن زمان پاسخ برای تیمهای واکنش به حمله، و در حالت ایدهآل، از بین بردن تهدیدات قبل از آسیبپذیری کمک میکند.
شناسایی Endpoint و پاسخ به انها برای اولین بار در سال 2013 برای کمک به تحقیقات بسیار دقیق فارنزیک که روی برای تجزیه و تحلیل بدافزار و درک دقیق آنچه که یک مهاجم با یک دستگاه در معرض خطر انجام داده است، به وجود آمد و با گذشت زمان تکامل یافت, تا مجموعه گستردهتری از ویژگیها را در خود جای دهد و اکنون معمولاً قابلیتهای محافظت Endpoint یا آنتی ویروس را نیز ارائه میدهد.
XDR چیست؟
XDR برای کمک به تیم های امنیتی طراحی شده است:
- تهدیدهایی را که بسیار پیچیده یا پنهان هستند شناسایی کنید
- ردیابی تهدیدها در چندین مؤلفه سیستم
- بهبود تشخیص و سرعت پاسخ
- تهدیدها را به طور مؤثرتر و کارآمدتر بررسی کنید
XDR یکی از راهکار کنترل End point بهعنوان جایگزینی برای راهحلهای امنیتی نقطهای که فقط به یک لایه امنیتی محدود میشدند یا فقط میتوانستند همبستگی رویداد را بدون پاسخ انجام دهند، توسعه داده شد. این تکامل راه حل هایی مانند تشخیص و پاسخ نقطه پایانی (EDR) و تجزیه و تحلیل ترافیک شبکه (NTA) است.
این ابزارهای لایه خاص در حالی که هنوز مفید هستند، تمایل به تولید حجم بیشتری از هشدارها دارند، به زمان بیشتری برای بررسی و پاسخگویی به رویدادها نیاز دارند و به نگهداری و مدیریت بیشتری نیاز دارند. در مقابل، XDR ابزارها را ادغام میکند و تیمهای امنیتی را قادر میسازد تا مؤثرتر و کارآمدتر کار کنند.
چرا به XDR نیاز دارید؟ 5 مزایای امنیتی XDR
یک پلت فرم XDR می تواند مزایای زیر را ارائه دهد:
- قابلیتهای پیشگیری بهبود یافته(Improved prevention capabilities)
- – گنجاندن اطلاعات تهدید و یادگیری ماشینی تطبیقی میتواند اطمینان حاصل کند که راهحلها قادر به اجرای حفاظتها در برابر بیشترین انواع حملات هستند. علاوه بر این، نظارت مداوم همراه با پاسخ خودکار می تواند به جلوگیری از یک تهدید به محض شناسایی برای جلوگیری از آسیب کمک کند.
- Granular visibility– داده های کامل کاربر را در نقطه پایانی در ترکیب با ارتباطات شبکه و برنامه ارائه می دهد. این شامل اطلاعاتی در مورد مجوزهای دسترسی، برنامه های کاربردی در حال استفاده و فایل های قابل دسترسی است. داشتن دید کامل در سراسر سیستم شما، از جمله در محل و در فضای ابری، شما را قادر می سازد تا حملات را سریعتر شناسایی و مسدود کنید.
- پاسخ موثر – جمع آوری و تجزیه و تحلیل قوی داده ها به شما امکان می دهد مسیر حمله را ردیابی کنید و اقدامات مهاجم را بازسازی کنید. این اطلاعات مورد نیاز برای یافتن مهاجم در هر کجا که هستند را فراهم می کند. همچنین اطلاعات ارزشمندی را ارائه می دهد که می توانید برای تقویت دفاع خود از آنها استفاده کنید.
- کنترل بیشتر — شامل توانایی قرار دادن ترافیک و فرآیندها در لیست سیاه و سفید است. این تضمین می کند که فقط اقدامات تایید شده و کاربران می توانند وارد سیستم شما شوند.
- بهره وری بهتر – متمرکز کردن، تعداد هشدارها را کاهش می دهد و دقت هشدار را افزایش می دهد. این بدان معناست که نکات مثبت کاذب کمتری برای غربال کردن وجود دارد. همچنین، از آنجایی که XDR یک پلت فرم یکپارچه است و ترکیبی از راه حل های چند نقطه ای نیست، نگهداری و مدیریت آن آسان تر است و تعداد اینترفیس هایی که امنیت باید در طول پاسخ به آنها دسترسی داشته باشد را کاهش می دهد.
تفاوت بین EDR و آنتی ویروس چیست؟
در مورد تفاوت های اصلی بین EDR و راه حل های آنتی ویروس سنتی سردرگمی زیادی وجود دارد. اگرچه هم شما و هم شبکه شما را در برابر بدافزارها و تهدیدهای خارجی ایمن نگه میدارد، برخی از تفاوتهای کلیدی ممکن است تعیین کند که کدام یک برای نیازهای شما بهتر است.
3 تفاوت اصلی بین EDR و آنتی ویروس وجود دارد:
- سطح حفاظت
اولین و مهمترین تفاوت بین دو راه حل سایبری این است که EDR تهدیدات امنیتی یک شبکه را بررسی می کند، در حالی که آنتی ویروس فقط برای یک دیوایس قابل اعتماد است. نرم افزار آنتی ویروس بر تطابق مبتنی بر امضا متکی است، در حالی که EDR از تجزیه و تحلیل و داده ها برای پیش بینی تهدیدات پیشرفته استفاده می کند.
EDR بسیار مقیاس پذیرتر از آنتی ویروس است، برای زمانی که نقاط پایانی endpoint و شبکه های جدید به مرور زمان با رشد شرکت اضافه می شوند. آنتی ویروس برای مشاغل در مقیاس کوچک با کنترل بسیار کمتر مناسب است.
- یادگیری
نرمافزار آنتیویروس به قول معروف : «آن را تنظیم کنید و آن را فراموش کنید» نهایتا از شما میخواهد در صورت نیاز نرمافزار را نصب و بهروزرسانی کنید. هیچ نظارت امنیتی اضافی که باید توسط کاربر انجام شود وجود ندارد.
نرم افزار EDR رویکرد بسیار درگیرانه تری برای محافظت از کسبوکار شما ارائه میکند.
برای به حداکثر رساندن مزایای نرم افزار EDR، باید به طور منظم بر روی هشدار ها نظارت کنید. تشخیص زودهنگام به شما کمک می کند تا قبل از وارد شدن آسیب به سرعت پاسخ دهید.
میتوانید از شرکت امنیت سایبری تکتاکام بخواهید شبکه شما را نصب و نظارت کند.
- هزینه
برای مقایسه،نرم افزار EDR گرانتر از آنتی ویروس های تجاری است. آنتی ویروس معمولاً به سادگی خرید، دانلود و نصب میشود. اگر می دانید چگونه نرم افزار را خودتان نصب کنید، این می تواند شما را از پرداخت هزینه به یک ارائه دهنده خارجی نجات دهد.
نرم افزار Endpoint Detection and Response EDR به دلیل ویژگی های مدیریت متمرکز و قابلیت های پیشرفته، هزینه بیشتری نسبت به آنتی ویروس ها دارد.
اگر نمی توانید خودتان نرم افزار را نصب و پیکربندی کنید، ممکن است هزینه ای را به یک شرکت خارجی بپردازید. تنظیمات برای EDR نسبت به آنتی ویروس های سنتی پیچیده تر هستند.
MDR چیست؟
Managed Detection and Response(MDR) یکی از راهکار کنترل End point یک سرویس برون سپاری (outsourcing) است که به سازمان ها خدمات شکار تهدیدات(Threat Hunting) را ارائه می دهد و پس از کشف به تهدیدات پاسخ می دهد.به اصطلاح دیگر MDR یک پلتفروم و مجموعه ای از خدمات امنیتی و افراد متخصص و راهکار های امنیتی میباشد.
Managed Detection and Response(MDR)به مشکلات مهمی که مشاغل مدرن را درگیر می کند ، پرداخته است.
بارزترین مسئله عدم وجود مهارت های امنیتی در سازمان ها است. در حالی که آموزش و راه اندازی تیم های امنیتی اختصاصی که تمام وقت که امور مربوط به شکار تهدیدات( Threat Hunting) را انجام می دهند، ممکن است برای سازمانهای بزرگتر امکان پذیر باشد ، اما اکثر شرکت ها با توجه به محدودیت منابع خود توانایی این کار را ندارند.این امر به ویژه در مورد سازمان های متوسط و بزرگ که اغلب خود را هدف حملات سایبری قرار می دهند اما فاقد منابع و نیروی انسانی برای چنین تیم هایی هستند، صحیح است.
Managed Detection and Response(MDR)قصد دارد تا این مشکل را نه تنها با شناسایی تهدیدها ، بلکه با تجزیه و تحلیل همه عوامل و شاخص های درگیر نیز برطرف سازد.
فرایند کار یک mdr چگونه است؟
در ابتدا جهت بررسی و تحلیل سریع تر داده ها نیاز است که اولویت بندی جهت اینکه کدام داده ها و رخداد اول مورد بررسی قرار بگیرند تعیین شود و سطح اولویت رخداد های هربخش مشخص باشد.
سپس فرایند شکارتهدیدات با استفاده از ماشین ها و نیروی انسانی صورت میپذیرد
درصورت رخدادن حملات با پرسش سوالاتی مانند چه حمله ایی چه زمانی و توسط چه کسی رخداده است؟ و این حمله روی کدام دستگاه های شرکت تاثیر گذاشته است ؟ و سپس پاسخگویی به حوادث مانند جداسازی سیستم آلوده از دیگر سیستم ها تا مراحل پیشرفته و پیچیده حذف تهدید را شامل میشود.
و در مرحله آخر از کار ما بهبودی و رفع تمام مشکلات و حذف بد افزارها و اعمال مکانیزم های امنیتی و بازگردانی شبکه به حالت اولیه خود را انجام میدهیم
توجه داشته باشید که سرویس MDR به صورت از راه دور فرآیند تحلیل، شناسایی و شکارت تهدیدات را برای شما انجام میدهد بدین شکل که اطلاعات مربوط به تهدیدات و حوادث و اطلاعات مربوط به جرم شناسی دیجیتال در اختیار متخصصین قرار میگیرد و پاسخ و راهکار نهایی مشخص و با استفاده از ترکیب راهکارهای ماشینی و انسانی تهدید برطرف میشود و ماشین آسیب دیده به حالت قبل خود برمیگردد.
Managed Detection and Response(MDR)همچنین بر اساس تفسیر رویدادهای امنیتی توصیههایی را جهت تغییرات به سازمان ارائه می دهد. یكی از مهمترین مهارتهایی كه متخصصان امنیتی به آن احتیاج دارند ، توانایی متناسب سازی ، تحلیل شاخص های سازش به منظور موقعیت بهتر شركت در برابر حملات آینده است. فن آوری های امنیتی ممکن است توانایی مسدود کردن تهدیدات را داشته باشند ، اما حفره های عمیق تر در امنیت، نیاز به نیروی انسان دارند.
Managed Detection and Response(MDR)به منظور حل مشکل شکاف های امنیت سایبری سازمان طراحی شده است. این مسئله با تهدیدهای پیشرفته تری روبرو می شود که یک تیم فناوری اطلاعات داخلی نمی تواند بطور کامل و با هزینه ای کمتر از آنچه شرکت برای ساختن تیم امنیتی تخصصی خود خرج می کند ، بطور کامل بپردازد.
(Managed Detection and Response(MDR همچنین می تواند سازمان را قادر سازد تا به ابزار هایی دسترسی پیدا کند که در گذشته غیر قابل دسترسی بودند.
گروه تکتاکام یکی از معدود شرکت هایی است که خدمات راهکار کنترل End Point (EDR , XDR , MDR) را ارائه می نماید و تمامی مراحل کار را به صورت مستند شده در اختیار کار فرما قرار می دهد.