آنتی ویروس Antivirus ESET
  • Endpoint = نقطه پایانی
  • Detection = تشخیص
  • Response = پاسخگویی

امنیت Endpoint چیست؟

برای درک اینکه آیا EDR برای سازمان شما مناسب است، باید اول مفهوم امنیت نقطه پایانی Endpoint  را درک کنید.

امنیت Endpoint  به معنی انضباط  در حفاظت از دستگاه های متصل در شبکه یک سازمان است. استفاده از امنیت Endpoint  می تواند به کسب و کارها کمک کند امنیت چندین دستگاه را برقرار کنند و دید پیشرفته ای نسبت به رویدادهای در حال اتفاق در شبکه را بدست آورند.

 

این رویکرد امنیت سایبری در چند سال گذشته به طور تصاعدی در حال رشد است.

Endpoint چیست؟

Endpoint  به دستگاه‌های متصل و رایانه‌های شخصی گفته میشود که کارکنان شما از آنها برای انجام کارهای خود استفاده می‌کنند.

تعداد Endpoint برای شرکت‌ها همچنان در حال افزایش است، زیرا کسب‌وکارهای بیشتری از دستگاه‌ها و رایانه‌های متصل به شبکه برای ارائه محصولات یا خدمات به مشتریان خود استفاده می‌کنند.

دستگاه های Endpoint رایج عبارتند از:

  • کامپیوترهای رومیزی
  • لپ تاپ ها
  • تلفن های همراه
  • تبلت ها
  • پرینتر ها
  • دستگاه های ATM
  • ساعت های هوشمند
  • دستگاه های پزشکی
  • سرورها

Endpoint اشاره به دیوایس هایی دارد که به شبکه متصل می شوند و معمولا نقطه پایانی شبکه هستند همچنین نقاط بسیار مهم و البته آسیب پذیر برای ورود، تخریب هستند.

 

ابزارهای EDR معمولاً قابلیت‌های شناسایی، بررسی، شکار تهدیدات و پاسخ به آنها را ارائه می‌کنند. 

EDR  میتواند با کمک از پلتفرم تلمتری خود , که جمع اورنده اطلاعات در حال حرکت از مبدا سرور میباشد روی آنها بررسی کامل را انجام دهد .

EDR  چگونه کار میکند ؟

راه‌حل‌های امنیتی EDR رویدادها را از لپ‌تاپ‌ها، رایانه‌های شخصی رومیزی، دستگاه‌های تلفن همراه، سرورها و حتی داده های اینترنت اشیا و ابری تجزیه و تحلیل می‌کنند تا فعالیت‌های مشکوک را شناسایی کنند. آنها هشدارهایی را برای کمک به تحلیلگران عملیات امنیتی در کشف، بررسی و اصلاح مسائل ایجاد می کنند.

ابزارهای EDR همچنین داده‌های تله‌متری را در مورد فعالیت‌های مشکوک جمع‌آوری می‌کنند و ممکن است آن داده‌ها را با سایر اطلاعات زمینه‌ای از رویدادهای مرتبط ادغام کنند. از طریق این توابع، EDR در کوتاه کردن زمان پاسخ برای تیم‌های واکنش به حمله، و در حالت ایده‌آل، از بین بردن تهدیدات قبل از آسیب‌پذیری کمک می‌کند.

شناسایی Endpoint و پاسخ به انها برای اولین بار در سال 2013 برای کمک به تحقیقات بسیار دقیق فارنزیک که روی برای تجزیه و تحلیل بدافزار و درک دقیق آنچه که یک مهاجم با یک دستگاه در معرض خطر انجام داده است، به وجود آمد و با گذشت زمان تکامل یافت, تا مجموعه گسترده‌تری از ویژگی‌ها را در خود جای دهد و اکنون معمولاً قابلیت‌های محافظت Endpoint یا آنتی ویروس را نیز ارائه می‌دهد.

چرا به EDR نیاز داریم؟

امروزه سازمان ها زیر رگبار مداوم حملات هکر ها هستند. از حملات ساده و فرصت طلبانه، مثل یک کد مخرب که به پیوست ایمیلی ارسال شده،تا به این امید که Endpoint در برابر حمله آسیب پذیر باشد، تا حملات گسترده و پیچیده تر یک سازمان را تهدید میکند . در حملات پیشرفته‌تر، عوامل تهدید ممکن است از اکسپلویت‌های شناخته شده , اجرای بدافزار در حافظه یا استفاده از تکنیک‌های فرار سعی کنند آنها را از دید متخصصان امنیت پنهان کنند.

اگر مهاجمان اگاهی و تخصص بالایی داشته باشند، ممکن است یک حمله روز صفر Zero day ایجاد کنند که از آسیب‌پذیری‌های ناشناخته برنامه یا سیستم بهره ببرند. خوشبختانه، ابزارهای موثر پیشگیری از تهدید می توانند بیش از 99 درصد از تمام حملات را به طور خودکار متوقف کنند. آن‌ها می‌توانند چندین موتور تحلیل گر، را برای تایید اصالت منابع و تاییید کننده یک فایل، تا توزیع کد ها بایت توابع موجود در یک فایل اجرایی به برای جلوگیری از حملات به کار بگیرند. از آنجایی که بسیاری از حملات روز صفر از تکنیک های شناخته شده استفاده می کنند، ابزارهای امنیتی مناسب می توانند این حملات را شناسایی و متوقف کنند، حتی اگر قبلاً حمله خاصی شبیهش را ندیده باشند.

با این حال، پیچیده ترین و بالقوه ترین حملات آسیب رسان نیاز به شناسایی و پاسخ دارند. این حملات، مانند تهدیدات داخلی، حملات ضعیف و تهدیدات مداوم پیشرفته، ممکن است به تأیید دستی از یک تحلیلگر امنیتی نیاز داشته باشند. اغلب، تنها راه برای شناسایی این حملات، تجزیه و تحلیل فعالیت در طول زمان و بین حرکت داده ها با استفاده از یادگیری ماشین است.

 

این حملات پیشرفته به ندرت در زمان واقعی قابل شناسایی هستند. و اغلب یک تحلیلگر امنیتی باید سعی کند هدف فعالیت را درک کند تا مشخص کند که آیا مخرب است یا خیر. بنابراین، در حالی که تعداد کمی از حملات نیاز به شناسایی و پاسخ دارند، این حملات می توانند بسیار مخرب باشند. تیم های امنیتی برای یافتن، بررسی و توقف آنها به راه حل های EDR نیاز دارند.

4 ویژگی اساسی در مورد نحوه عملکرد تشخیص و پاسخ نقطه پایانی EDR

اگرچه ویژگی‌ها و رابط راه‌حل‌های مختلف EDR ممکن است متفاوت باشد، اما همه آنها از یک رویکرد جامع برای مدیریت تهدیدات سایبری پیروی می‌کنند. پلتفرم‌های امنیتی Endpoint Detection و Response از فرآیندی استفاده می‌کنند که برای شناسایی، مهار، بررسی و حذف تهدیدات سایبری مخرب مانند باج‌افزار و بدافزار کار می‌کند. راه حل های EDR یک روش متمرکز را ارائه می دهند که در آن یک سازمان می تواند نقاط پایانی را نظارت کند و مطابق با آن پاسخ دهد تا آنها را ایمن نگه دارد.

 

1. تشخیص

حیاتی ترین مرحله هر راه حل EDR توانایی آن در شناسایی و تشخیص زمانی است که یک تهدید ورودی به شبکه و نقاط پایانی متصل شما وجود دارد. این علائم هشدار اولیه یک زنگ هشدار ایجاد می کند و قبل از اینکه بدافزار آسیب بیشتری وارد کند، از ورود بدافزار جلوگیری می کند.

 

راه حل EDR چگونه متوجه می شود که بدافزار ورودی به شبکه وجود دارد؟

 

پلتفرم‌های Endpoint Detection and Response از هوش تهدید استفاده می‌کنند که به نرم‌افزار کمک می‌کند پیشرفته‌ترین و مدرن‌ترین تهدیدات بدافزار را یاد بگیرد و به آن‌ها پاسخ دهد.

در مورد یک ایست بازرسی امنیتی در فرودگاه و نحوه استفاده آنها از داده ها، حقایق و شواهد مربوط به حوادث قبلی برای بهتر و ایمن تر کردن فرآیندهای خود برای سایر مسافران فکر کنید.

این دسته داده ها به مقاوم شدن سیستم در برابر تهدیدات و بهبود آن کمک می کند. با درک دقیق انواع تهدیدها و نحوه تأثیر آنها بر نقاط پایانی شما، نرم افزار می تواند به جلوگیری از خطر مشابه در هنگام مشاهده آن کمک کند.

راه حل EDR شما متکی به قدرت متخصصان امنیتی و اطلاعاتی خوب تهدید است که سیستم را طراحی می کنند.

 2. مهار

نویسندگان بدافزار در کاری که انجام می دهند پیچیده تر و بهتر می شوند. نرم‌افزار مخربی که آنها طراحی می‌کنند، گاهی اوقات می‌تواند در مرحله شناسایی به صورت مخفیانه نفوذ کند و با باج‌افزار، نقاط پایانی را هدف قرار دهد، جایی که فایل‌ها می‌توانند رمزگذاری شوند.

اگر بدافزار شبکه شما را تحت تأثیر قرار دهد، مرحله مهار EDR تا حد ممکن آسیب را کاهش می دهد. بدافزار با محدود کردن تهدید به نقاط پایانی کمتر، شانس کمتری برای تخریب گسترده داده‌های شرکت دارد.

راه حل های EDR گسترش باج افزارها و تهدیدات سایبری را کنترل می کنند. از آنجایی که نقاط پایانی به صورت پشت سر هم با هم ارتباط برقرار می کنند، به طور موثری از انتشار بدافزار به سایر بخش های شبکه جلوگیری می کنند.

سازمان‌ها می‌توانند با اطمینان از تقسیم‌بندی شبکه‌شان و وجود کنترل‌های دسترسی مناسب، ریسک خود را بیشتر کاهش دهند.

3. تحقیق و بررسی

راه‌حل‌های EDR از یک تکنیک امنیتی به نام sandboxing استفاده می‌کنند که به نرم‌افزار اجازه می‌دهد تا نسخه‌ای از یک فایل مشکوک را در خارج از شبکه برای صحت آزمایش کند. اگر مشخص شود که ایمن است، فایل دوباره در شبکه آزاد می شود.

4. حذف

محافظت از نقطه پایانی شما را در جایی که بیشترین اهمیت را دارد پشت سر می‌گذارد… از بین بردن تهدید سایبری به طور مؤثر و مؤثر. هنگامی که نرم افزار EDR به این نتیجه رسید که فایل های مخرب برای امنیت سایبری نقاط انتهایی شما خطری هستند، بدافزار را از بین می برد.

تفاوت بین EDR و آنتی ویروس چیست؟

در مورد تفاوت های اصلی بین EDR و راه حل های آنتی ویروس سنتی سردرگمی زیادی وجود دارد. اگرچه هم شما و هم شبکه شما را در برابر بدافزارها و تهدیدهای خارجی ایمن نگه می‌دارد، برخی از تفاوت‌های کلیدی ممکن است تعیین کند که کدام یک برای نیازهای شما بهتر است.

3 تفاوت اصلی بین EDR و آنتی ویروس وجود دارد:

  • سطح حفاظت

اولین و مهمترین تفاوت بین دو راه حل سایبری این است که EDR تهدیدات امنیتی یک شبکه را بررسی می کند، در حالی که آنتی ویروس فقط برای یک دیوایس قابل اعتماد است. نرم افزار آنتی ویروس بر تطابق مبتنی بر امضا متکی است، در حالی که EDR از تجزیه و تحلیل و داده ها برای پیش بینی تهدیدات پیشرفته استفاده می کند.

EDR بسیار مقیاس پذیرتر از آنتی ویروس است، برای زمانی که نقاط پایانی endpoint و شبکه های جدید به مرور زمان با رشد شرکت اضافه می شوند. آنتی ویروس برای مشاغل در مقیاس کوچک با کنترل بسیار کمتر مناسب است.

  • یادگیری

نرم‌افزار آنتی‌ویروس به قول معروف : «آن را تنظیم کنید و آن را فراموش کنید»  نهایتا از شما می‌خواهد در صورت نیاز نرم‌افزار را نصب و به‌روزرسانی کنید. هیچ نظارت امنیتی اضافی که باید توسط کاربر انجام شود وجود ندارد.

نرم افزار EDR رویکرد بسیار درگیرانه تری برای محافظت از کسب‌وکار شما ارائه میکند.

برای به حداکثر رساندن مزایای نرم افزار EDR، باید به طور منظم بر روی هشدار ها نظارت کنید. تشخیص زودهنگام به شما کمک می کند تا قبل از وارد شدن آسیب به سرعت پاسخ دهید.

می‌توانید از شرکت امنیت سایبری تکتاکام بخواهید شبکه شما را نصب و نظارت کند.

  • هزینه

برای مقایسه،نرم افزار EDR گرانتر از  آنتی ویروس های تجاری است. آنتی ویروس معمولاً به سادگی خرید، دانلود و نصب میشود. اگر می دانید چگونه نرم افزار را خودتان نصب کنید، این می تواند شما را از پرداخت هزینه به یک ارائه دهنده خارجی نجات دهد.

نرم افزار Endpoint Detection and Response EDR به دلیل ویژگی های مدیریت متمرکز و قابلیت های پیشرفته، هزینه بیشتری نسبت به آنتی ویروس ها دارد.

اگر نمی توانید خودتان نرم افزار را نصب و پیکربندی کنید، ممکن است هزینه ای را به یک شرکت خارجی بپردازید. تنظیمات برای EDR نسبت به آنتی ویروس های سنتی پیچیده تر هستند.

شما میتوانید با شرکت امنیت سایبری تکتا کام قرارداد جهت خرید و پشتیبانی محصول EDR ببندید تا با خیال راحت از دیوایس های خود محافظت کنید.

 
منابع :

 

www.provendatarecovery.com

www.mcafee.com

www.fortinet.com

محمد شاکری

جمع آورنده و مترجم