- Endpoint = نقطه پایانی
- Detection = تشخیص
- Response = پاسخگویی
امنیت Endpoint چیست؟
برای درک اینکه آیا EDR برای سازمان شما مناسب است، باید اول مفهوم امنیت نقطه پایانی Endpoint را درک کنید.
امنیت Endpoint به معنی انضباط در حفاظت از دستگاه های متصل در شبکه یک سازمان است. استفاده از امنیت Endpoint می تواند به کسب و کارها کمک کند امنیت چندین دستگاه را برقرار کنند و دید پیشرفته ای نسبت به رویدادهای در حال اتفاق در شبکه را بدست آورند.
این رویکرد امنیت سایبری در چند سال گذشته به طور تصاعدی در حال رشد است.
Endpoint چیست؟
Endpoint به دستگاههای متصل و رایانههای شخصی گفته میشود که کارکنان شما از آنها برای انجام کارهای خود استفاده میکنند.
تعداد Endpoint برای شرکتها همچنان در حال افزایش است، زیرا کسبوکارهای بیشتری از دستگاهها و رایانههای متصل به شبکه برای ارائه محصولات یا خدمات به مشتریان خود استفاده میکنند.
دستگاه های Endpoint رایج عبارتند از:
- کامپیوترهای رومیزی
- لپ تاپ ها
- تلفن های همراه
- تبلت ها
- پرینتر ها
- دستگاه های ATM
- ساعت های هوشمند
- دستگاه های پزشکی
- سرورها
Endpoint اشاره به دیوایس هایی دارد که به شبکه متصل می شوند و معمولا نقطه پایانی شبکه هستند همچنین نقاط بسیار مهم و البته آسیب پذیر برای ورود، تخریب هستند.
ابزارهای EDR معمولاً قابلیتهای شناسایی، بررسی، شکار تهدیدات و پاسخ به آنها را ارائه میکنند.
EDR میتواند با کمک از پلتفرم تلمتری خود , که جمع اورنده اطلاعات در حال حرکت از مبدا سرور میباشد روی آنها بررسی کامل را انجام دهد .
EDR چگونه کار میکند ؟
راهحلهای امنیتی EDR رویدادها را از لپتاپها، رایانههای شخصی رومیزی، دستگاههای تلفن همراه، سرورها و حتی داده های اینترنت اشیا و ابری تجزیه و تحلیل میکنند تا فعالیتهای مشکوک را شناسایی کنند. آنها هشدارهایی را برای کمک به تحلیلگران عملیات امنیتی در کشف، بررسی و اصلاح مسائل ایجاد می کنند.
ابزارهای EDR همچنین دادههای تلهمتری را در مورد فعالیتهای مشکوک جمعآوری میکنند و ممکن است آن دادهها را با سایر اطلاعات زمینهای از رویدادهای مرتبط ادغام کنند. از طریق این توابع، EDR در کوتاه کردن زمان پاسخ برای تیمهای واکنش به حمله، و در حالت ایدهآل، از بین بردن تهدیدات قبل از آسیبپذیری کمک میکند.
شناسایی Endpoint و پاسخ به انها برای اولین بار در سال 2013 برای کمک به تحقیقات بسیار دقیق فارنزیک که روی برای تجزیه و تحلیل بدافزار و درک دقیق آنچه که یک مهاجم با یک دستگاه در معرض خطر انجام داده است، به وجود آمد و با گذشت زمان تکامل یافت, تا مجموعه گستردهتری از ویژگیها را در خود جای دهد و اکنون معمولاً قابلیتهای محافظت Endpoint یا آنتی ویروس را نیز ارائه میدهد.
چرا به EDR نیاز داریم؟
امروزه سازمان ها زیر رگبار مداوم حملات هکر ها هستند. از حملات ساده و فرصت طلبانه، مثل یک کد مخرب که به پیوست ایمیلی ارسال شده،تا به این امید که Endpoint در برابر حمله آسیب پذیر باشد، تا حملات گسترده و پیچیده تر یک سازمان را تهدید میکند . در حملات پیشرفتهتر، عوامل تهدید ممکن است از اکسپلویتهای شناخته شده , اجرای بدافزار در حافظه یا استفاده از تکنیکهای فرار سعی کنند آنها را از دید متخصصان امنیت پنهان کنند.
اگر مهاجمان اگاهی و تخصص بالایی داشته باشند، ممکن است یک حمله روز صفر Zero day ایجاد کنند که از آسیبپذیریهای ناشناخته برنامه یا سیستم بهره ببرند. خوشبختانه، ابزارهای موثر پیشگیری از تهدید می توانند بیش از 99 درصد از تمام حملات را به طور خودکار متوقف کنند. آنها میتوانند چندین موتور تحلیل گر، را برای تایید اصالت منابع و تاییید کننده یک فایل، تا توزیع کد ها بایت توابع موجود در یک فایل اجرایی به برای جلوگیری از حملات به کار بگیرند. از آنجایی که بسیاری از حملات روز صفر از تکنیک های شناخته شده استفاده می کنند، ابزارهای امنیتی مناسب می توانند این حملات را شناسایی و متوقف کنند، حتی اگر قبلاً حمله خاصی شبیهش را ندیده باشند.
با این حال، پیچیده ترین و بالقوه ترین حملات آسیب رسان نیاز به شناسایی و پاسخ دارند. این حملات، مانند تهدیدات داخلی، حملات ضعیف و تهدیدات مداوم پیشرفته، ممکن است به تأیید دستی از یک تحلیلگر امنیتی نیاز داشته باشند. اغلب، تنها راه برای شناسایی این حملات، تجزیه و تحلیل فعالیت در طول زمان و بین حرکت داده ها با استفاده از یادگیری ماشین است.
این حملات پیشرفته به ندرت در زمان واقعی قابل شناسایی هستند. و اغلب یک تحلیلگر امنیتی باید سعی کند هدف فعالیت را درک کند تا مشخص کند که آیا مخرب است یا خیر. بنابراین، در حالی که تعداد کمی از حملات نیاز به شناسایی و پاسخ دارند، این حملات می توانند بسیار مخرب باشند. تیم های امنیتی برای یافتن، بررسی و توقف آنها به راه حل های EDR نیاز دارند.
4 ویژگی اساسی در مورد نحوه عملکرد تشخیص و پاسخ نقطه پایانی EDR
اگرچه ویژگیها و رابط راهحلهای مختلف EDR ممکن است متفاوت باشد، اما همه آنها از یک رویکرد جامع برای مدیریت تهدیدات سایبری پیروی میکنند. پلتفرمهای امنیتی Endpoint Detection و Response از فرآیندی استفاده میکنند که برای شناسایی، مهار، بررسی و حذف تهدیدات سایبری مخرب مانند باجافزار و بدافزار کار میکند. راه حل های EDR یک روش متمرکز را ارائه می دهند که در آن یک سازمان می تواند نقاط پایانی را نظارت کند و مطابق با آن پاسخ دهد تا آنها را ایمن نگه دارد.
1. تشخیص
حیاتی ترین مرحله هر راه حل EDR توانایی آن در شناسایی و تشخیص زمانی است که یک تهدید ورودی به شبکه و نقاط پایانی متصل شما وجود دارد. این علائم هشدار اولیه یک زنگ هشدار ایجاد می کند و قبل از اینکه بدافزار آسیب بیشتری وارد کند، از ورود بدافزار جلوگیری می کند.
راه حل EDR چگونه متوجه می شود که بدافزار ورودی به شبکه وجود دارد؟
پلتفرمهای Endpoint Detection and Response از هوش تهدید استفاده میکنند که به نرمافزار کمک میکند پیشرفتهترین و مدرنترین تهدیدات بدافزار را یاد بگیرد و به آنها پاسخ دهد.
در مورد یک ایست بازرسی امنیتی در فرودگاه و نحوه استفاده آنها از داده ها، حقایق و شواهد مربوط به حوادث قبلی برای بهتر و ایمن تر کردن فرآیندهای خود برای سایر مسافران فکر کنید.
این دسته داده ها به مقاوم شدن سیستم در برابر تهدیدات و بهبود آن کمک می کند. با درک دقیق انواع تهدیدها و نحوه تأثیر آنها بر نقاط پایانی شما، نرم افزار می تواند به جلوگیری از خطر مشابه در هنگام مشاهده آن کمک کند.
راه حل EDR شما متکی به قدرت متخصصان امنیتی و اطلاعاتی خوب تهدید است که سیستم را طراحی می کنند.
2. مهار
نویسندگان بدافزار در کاری که انجام می دهند پیچیده تر و بهتر می شوند. نرمافزار مخربی که آنها طراحی میکنند، گاهی اوقات میتواند در مرحله شناسایی به صورت مخفیانه نفوذ کند و با باجافزار، نقاط پایانی را هدف قرار دهد، جایی که فایلها میتوانند رمزگذاری شوند.
اگر بدافزار شبکه شما را تحت تأثیر قرار دهد، مرحله مهار EDR تا حد ممکن آسیب را کاهش می دهد. بدافزار با محدود کردن تهدید به نقاط پایانی کمتر، شانس کمتری برای تخریب گسترده دادههای شرکت دارد.
راه حل های EDR گسترش باج افزارها و تهدیدات سایبری را کنترل می کنند. از آنجایی که نقاط پایانی به صورت پشت سر هم با هم ارتباط برقرار می کنند، به طور موثری از انتشار بدافزار به سایر بخش های شبکه جلوگیری می کنند.
سازمانها میتوانند با اطمینان از تقسیمبندی شبکهشان و وجود کنترلهای دسترسی مناسب، ریسک خود را بیشتر کاهش دهند.
3. تحقیق و بررسی
راهحلهای EDR از یک تکنیک امنیتی به نام sandboxing استفاده میکنند که به نرمافزار اجازه میدهد تا نسخهای از یک فایل مشکوک را در خارج از شبکه برای صحت آزمایش کند. اگر مشخص شود که ایمن است، فایل دوباره در شبکه آزاد می شود.
4. حذف
محافظت از نقطه پایانی شما را در جایی که بیشترین اهمیت را دارد پشت سر میگذارد… از بین بردن تهدید سایبری به طور مؤثر و مؤثر. هنگامی که نرم افزار EDR به این نتیجه رسید که فایل های مخرب برای امنیت سایبری نقاط انتهایی شما خطری هستند، بدافزار را از بین می برد.
تفاوت بین EDR و آنتی ویروس چیست؟
در مورد تفاوت های اصلی بین EDR و راه حل های آنتی ویروس سنتی سردرگمی زیادی وجود دارد. اگرچه هم شما و هم شبکه شما را در برابر بدافزارها و تهدیدهای خارجی ایمن نگه میدارد، برخی از تفاوتهای کلیدی ممکن است تعیین کند که کدام یک برای نیازهای شما بهتر است.
3 تفاوت اصلی بین EDR و آنتی ویروس وجود دارد:
- سطح حفاظت
اولین و مهمترین تفاوت بین دو راه حل سایبری این است که EDR تهدیدات امنیتی یک شبکه را بررسی می کند، در حالی که آنتی ویروس فقط برای یک دیوایس قابل اعتماد است. نرم افزار آنتی ویروس بر تطابق مبتنی بر امضا متکی است، در حالی که EDR از تجزیه و تحلیل و داده ها برای پیش بینی تهدیدات پیشرفته استفاده می کند.
EDR بسیار مقیاس پذیرتر از آنتی ویروس است، برای زمانی که نقاط پایانی endpoint و شبکه های جدید به مرور زمان با رشد شرکت اضافه می شوند. آنتی ویروس برای مشاغل در مقیاس کوچک با کنترل بسیار کمتر مناسب است.
- یادگیری
نرمافزار آنتیویروس به قول معروف : «آن را تنظیم کنید و آن را فراموش کنید» نهایتا از شما میخواهد در صورت نیاز نرمافزار را نصب و بهروزرسانی کنید. هیچ نظارت امنیتی اضافی که باید توسط کاربر انجام شود وجود ندارد.
نرم افزار EDR رویکرد بسیار درگیرانه تری برای محافظت از کسبوکار شما ارائه میکند.
برای به حداکثر رساندن مزایای نرم افزار EDR، باید به طور منظم بر روی هشدار ها نظارت کنید. تشخیص زودهنگام به شما کمک می کند تا قبل از وارد شدن آسیب به سرعت پاسخ دهید.
میتوانید از شرکت امنیت سایبری تکتاکام بخواهید شبکه شما را نصب و نظارت کند.
- هزینه
برای مقایسه،نرم افزار EDR گرانتر از آنتی ویروس های تجاری است. آنتی ویروس معمولاً به سادگی خرید، دانلود و نصب میشود. اگر می دانید چگونه نرم افزار را خودتان نصب کنید، این می تواند شما را از پرداخت هزینه به یک ارائه دهنده خارجی نجات دهد.
نرم افزار Endpoint Detection and Response EDR به دلیل ویژگی های مدیریت متمرکز و قابلیت های پیشرفته، هزینه بیشتری نسبت به آنتی ویروس ها دارد.
اگر نمی توانید خودتان نرم افزار را نصب و پیکربندی کنید، ممکن است هزینه ای را به یک شرکت خارجی بپردازید. تنظیمات برای EDR نسبت به آنتی ویروس های سنتی پیچیده تر هستند.
شما میتوانید با شرکت امنیت سایبری تکتا کام قرارداد جهت خرید و پشتیبانی محصول EDR ببندید تا با خیال راحت از دیوایس های خود محافظت کنید.
www.fortinet.com
محمد شاکری
جمع آورنده و مترجم