راهکار کنترل End Point (EDR , XDR , MDR)

در ذیل به توضیح و معرفی راه حل های مختلف راهکار کنترل End point می پردازیم.

برای درک اینکه آیا EDR برای سازمان شما مناسب است، باید اول مفهوم امنیت نقطه پایانی Endpoint  را درک کنید.

امنیت Endpoint  به معنی انضباط  در حفاظت از دستگاه های متصل در شبکه یک سازمان است. استفاده از امنیت Endpointمی تواند به کسب و کارها کمک کند امنیت چندین دستگاه را برقرار کنند و دید پیشرفته ای نسبت به رویدادهای در حال اتفاق در شبکه را بدست آورند.

این رویکرد امنیت سایبری در چند سال گذشته به طور تصاعدی در حال رشد است.

Endpoint چیست؟

Endpointبه دستگاه‌های متصل و رایانه‌های شخصی گفته میشود که کارکنان شما از آنها برای انجام کارهای خود استفاده می‌کنند. مانند(کامپیوترهای رومیزی، تلفن های همراه، لپ تاپ ها، تبلت ها، پرینتر هاو…)

چرا سازمان و شبکه شما نیازمند یک نرم افزار EDR است؟

امروزه سازمان ها زیر رگبار مداوم حملات هکر ها هستند. از حملات ساده و فرصت طلبانه، مثل یک کد مخرب که به پیوست ایمیلی ارسال شده،تا به این امید که Endpoint در برابر حمله آسیب پذیر باشد، تا حملات گسترده و پیچیده تر یک سازمان را تهدید میکند . در حملات پیشرفته‌تر، عوامل تهدید ممکن است از اکسپلویت‌های شناخته شده , اجرای بدافزار در حافظه یا استفاده از تکنیک‌های فرار سعی کنند آنها را از دید متخصصان امنیت پنهان کنند.

اگر مهاجمان اگاهی و تخصص بالایی داشته باشند، ممکن است یک حمله روز صفر Zero day ایجاد کنند که از آسیب‌پذیری‌های ناشناخته برنامه یا سیستم بهره ببرند. خوشبختانه، ابزارهای موثر پیشگیری از تهدید می توانند بیش از 99 درصد از تمام حملات را به طور خودکار متوقف کنند. آن‌ها می‌توانند چندین موتور تحلیل گر، را برای تایید اصالت منابع و تاییید کننده یک فایل، تا توزیع کد ها بایت توابع موجود در یک فایل اجرایی به برای جلوگیری از حملات به کار بگیرند. از آنجایی که بسیاری از حملات روز صفر از تکنیک های شناخته شده استفاده می کنند، ابزارهای امنیتی مناسب می توانند این حملات را شناسایی و متوقف کنند، حتی اگر قبلاً حمله خاصی شبیهش را ندیده باشند.

با این حال، پیچیده ترین و بالقوه ترین حملات آسیب رسان نیاز به شناسایی و پاسخ دارند. این حملات، مانند تهدیدات داخلی، حملات ضعیف و تهدیدات مداوم پیشرفته، ممکن است به تأیید دستی از یک تحلیلگر امنیتی نیاز داشته باشند. اغلب، تنها راه برای شناسایی این حملات، تجزیه و تحلیل فعالیت در طول زمان و بین حرکت داده ها با استفاده از یادگیری ماشین است.

این حملات پیشرفته به ندرت در زمان واقعی قابل شناسایی هستند. و اغلب یک تحلیلگر امنیتی باید سعی کند هدف فعالیت را درک کند تا مشخص کند که آیا مخرب است یا خیر. بنابراین، در حالی که تعداد کمی از حملات نیاز به شناسایی و پاسخ دارند، این حملات می توانند بسیار مخرب باشند. تیم های امنیتی برای یافتن، بررسی و توقف آنها به راه حل های راهکار کنترل End point مانند EDR نیاز دارند.

  • شناسایی تهدیدات پر تکرار و همیشگی
  • توقف حملات بدون فایل
  • تهدیدات zero-day را مسدود کنید
  • محافظت در برابر باج افزار ها
  • جلوگیری از نقض خط مشی شرکت

EDR چگونه کار میکند ؟

راه‌حل‌های امنیتی EDR رویدادها را از لپ‌تاپ‌ها، رایانه‌های شخصی رومیزی، دستگاه‌های تلفن همراه، سرورها و حتی داده های اینترنت اشیا و ابری تجزیه و تحلیل می‌کنند تا فعالیت‌های مشکوک را شناسایی کنند. آنها هشدارهایی را برای کمک به تحلیلگران عملیات امنیتی در کشف، بررسی و اصلاح مسائل ایجاد می کنند.

ابزارهای EDR همچنین داده‌های تله‌متری را در مورد فعالیت‌های مشکوک جمع‌آوری می‌کنند و ممکن است آن داده‌ها را با سایر اطلاعات زمینه‌ای از رویدادهای مرتبط ادغام کنند. از طریق این توابع، EDR در کوتاه کردن زمان پاسخ برای تیم‌های واکنش به حمله، و در حالت ایده‌آل، از بین بردن تهدیدات قبل از آسیب‌پذیری کمک می‌کند.

شناسایی Endpoint و پاسخ به انها برای اولین بار در سال 2013 برای کمک به تحقیقات بسیار دقیق فارنزیک که روی برای تجزیه و تحلیل بدافزار و درک دقیق آنچه که یک مهاجم با یک دستگاه در معرض خطر انجام داده است، به وجود آمد و با گذشت زمان تکامل یافت, تا مجموعه گسترده‌تری از ویژگی‌ها را در خود جای دهد و اکنون معمولاً قابلیت‌های محافظت Endpoint یا آنتی ویروس را نیز ارائه می‌دهد.

 

XDR چیست؟

XDR برای کمک به تیم های امنیتی طراحی شده است:

  • تهدیدهایی را که بسیار پیچیده یا پنهان هستند شناسایی کنید
  • ردیابی تهدیدها در چندین مؤلفه سیستم
  • بهبود تشخیص و سرعت پاسخ
  • تهدیدها را به طور مؤثرتر و کارآمدتر بررسی کنید

XDR یکی از راهکار کنترل End point به‌عنوان جایگزینی برای راه‌حل‌های امنیتی نقطه‌ای که فقط به یک لایه امنیتی محدود می‌شدند یا فقط می‌توانستند همبستگی رویداد را بدون پاسخ انجام دهند، توسعه داده شد. این تکامل راه حل هایی مانند تشخیص و پاسخ نقطه پایانی (EDR) و تجزیه و تحلیل ترافیک شبکه (NTA) است.

این ابزارهای لایه خاص در حالی که هنوز مفید هستند،  تمایل به تولید حجم بیشتری از هشدارها دارند، به زمان بیشتری برای بررسی و پاسخگویی به رویدادها نیاز دارند و به نگهداری و مدیریت بیشتری نیاز دارند. در مقابل، XDR ابزارها را ادغام می‌کند و تیم‌های امنیتی را قادر می‌سازد تا مؤثرتر و کارآمدتر کار کنند.

چرا به XDR نیاز دارید؟ 5 مزایای امنیتی XDR

یک پلت فرم XDR می تواند مزایای زیر را ارائه دهد:

  • قابلیت‌های پیشگیری بهبود یافته(Improved prevention capabilities)
  •  – گنجاندن اطلاعات تهدید و یادگیری ماشینی تطبیقی ​​می‌تواند اطمینان حاصل کند که راه‌حل‌ها قادر به اجرای حفاظت‌ها در برابر بیشترین انواع حملات هستند. علاوه بر این، نظارت مداوم همراه با پاسخ خودکار می تواند به جلوگیری از یک تهدید به محض شناسایی برای جلوگیری از آسیب کمک کند.
  • Granular visibility– داده های کامل کاربر را در نقطه پایانی در ترکیب با ارتباطات شبکه و برنامه ارائه می دهد. این شامل اطلاعاتی در مورد مجوزهای دسترسی، برنامه های کاربردی در حال استفاده و فایل های قابل دسترسی است. داشتن دید کامل در سراسر سیستم شما، از جمله در محل و در فضای ابری، شما را قادر می سازد تا حملات را سریعتر شناسایی و مسدود کنید.
  • پاسخ موثر – جمع آوری و تجزیه و تحلیل قوی داده ها به شما امکان می دهد مسیر حمله را ردیابی کنید و اقدامات مهاجم را بازسازی کنید. این اطلاعات مورد نیاز برای یافتن مهاجم در هر کجا که هستند را فراهم می کند. همچنین اطلاعات ارزشمندی را ارائه می دهد که می توانید برای تقویت دفاع خود از آنها استفاده کنید.
  • کنترل بیشتر — شامل توانایی قرار دادن ترافیک و فرآیندها در لیست سیاه و سفید است. این تضمین می کند که فقط اقدامات تایید شده و کاربران می توانند وارد سیستم شما شوند.
  • بهره وری بهتر – متمرکز کردن، تعداد هشدارها را کاهش می دهد و دقت هشدار را افزایش می دهد. این بدان معناست که نکات مثبت کاذب کمتری برای غربال کردن وجود دارد. همچنین، از آنجایی که XDR یک پلت فرم یکپارچه است و ترکیبی از راه حل های چند نقطه ای نیست، نگهداری و مدیریت آن آسان تر است و تعداد اینترفیس هایی که امنیت باید در طول پاسخ به آنها دسترسی داشته باشد را کاهش می دهد.

تفاوت بین EDR و آنتی ویروس چیست؟

در مورد تفاوت های اصلی بین EDR و راه حل های آنتی ویروس سنتی سردرگمی زیادی وجود دارد. اگرچه هم شما و هم شبکه شما را در برابر بدافزارها و تهدیدهای خارجی ایمن نگه می‌دارد، برخی از تفاوت‌های کلیدی ممکن است تعیین کند که کدام یک برای نیازهای شما بهتر است.

3 تفاوت اصلی بین EDR و آنتی ویروس وجود دارد:

  • سطح حفاظت

اولین و مهمترین تفاوت بین دو راه حل سایبری این است که EDR تهدیدات امنیتی یک شبکه را بررسی می کند، در حالی که آنتی ویروس فقط برای یک دیوایس قابل اعتماد است. نرم افزار آنتی ویروس بر تطابق مبتنی بر امضا متکی است، در حالی که EDR از تجزیه و تحلیل و داده ها برای پیش بینی تهدیدات پیشرفته استفاده می کند.

EDR بسیار مقیاس پذیرتر از آنتی ویروس است، برای زمانی که نقاط پایانی endpoint و شبکه های جدید به مرور زمان با رشد شرکت اضافه می شوند. آنتی ویروس برای مشاغل در مقیاس کوچک با کنترل بسیار کمتر مناسب است.

  • یادگیری

نرم‌افزار آنتی‌ویروس به قول معروف : «آن را تنظیم کنید و آن را فراموش کنید»  نهایتا از شما می‌خواهد در صورت نیاز نرم‌افزار را نصب و به‌روزرسانی کنید. هیچ نظارت امنیتی اضافی که باید توسط کاربر انجام شود وجود ندارد.

نرم افزار EDR رویکرد بسیار درگیرانه تری برای محافظت از کسب‌وکار شما ارائه میکند.

برای به حداکثر رساندن مزایای نرم افزار EDR، باید به طور منظم بر روی هشدار ها نظارت کنید. تشخیص زودهنگام به شما کمک می کند تا قبل از وارد شدن آسیب به سرعت پاسخ دهید.

می‌توانید از شرکت امنیت سایبری تکتاکام بخواهید شبکه شما را نصب و نظارت کند.

  • هزینه

برای مقایسه،نرم افزار EDR گرانتر از  آنتی ویروس های تجاری است. آنتی ویروس معمولاً به سادگی خرید، دانلود و نصب میشود. اگر می دانید چگونه نرم افزار را خودتان نصب کنید، این می تواند شما را از پرداخت هزینه به یک ارائه دهنده خارجی نجات دهد.

نرم افزار Endpoint Detection and Response EDR به دلیل ویژگی های مدیریت متمرکز و قابلیت های پیشرفته، هزینه بیشتری نسبت به آنتی ویروس ها دارد.

اگر نمی توانید خودتان نرم افزار را نصب و پیکربندی کنید، ممکن است هزینه ای را به یک شرکت خارجی بپردازید. تنظیمات برای EDR نسبت به آنتی ویروس های سنتی پیچیده تر هستند.

MDR چیست؟

Managed Detection and Response(MDR) یکی از راهکار کنترل End point یک سرویس برون سپاری (outsourcing) است که به سازمان ها خدمات شکار تهدیدات(Threat Hunting) را ارائه می دهد و پس از کشف به تهدیدات پاسخ می دهد.به اصطلاح دیگر MDR یک پلتفروم و مجموعه ای از خدمات امنیتی و افراد متخصص و راهکار های امنیتی میباشد.

Managed Detection and Response(MDR)به مشکلات مهمی که مشاغل مدرن را درگیر می کند ، پرداخته است.

بارزترین مسئله عدم وجود مهارت های امنیتی در سازمان ها است. در حالی که آموزش و راه اندازی تیم های امنیتی اختصاصی که تمام وقت که امور مربوط به شکار تهدیدات( Threat Hunting) را انجام می دهند، ممکن است برای سازمانهای بزرگتر امکان پذیر باشد ، اما اکثر شرکت ها با توجه به محدودیت منابع خود توانایی این کار را ندارند.این امر به ویژه در مورد سازمان های متوسط و بزرگ که اغلب خود را هدف حملات سایبری قرار می دهند اما فاقد منابع و نیروی انسانی برای چنین تیم هایی هستند، صحیح است.

Managed Detection and Response(MDR)قصد دارد تا این مشکل را نه تنها با شناسایی تهدیدها ، بلکه با تجزیه و تحلیل همه عوامل و شاخص های درگیر نیز برطرف سازد.

فرایند کار یک mdr چگونه است؟

در ابتدا جهت بررسی و تحلیل سریع تر داده ها نیاز است که اولویت بندی جهت اینکه کدام داده ها و رخداد اول مورد بررسی قرار بگیرند تعیین شود و سطح اولویت رخداد های هربخش مشخص باشد.

سپس فرایند شکارتهدیدات با استفاده از ماشین ها و نیروی انسانی صورت میپذیرد

درصورت رخدادن حملات با پرسش سوالاتی مانند چه حمله ایی چه زمانی و توسط چه کسی رخداده است؟ و این حمله روی کدام دستگاه های شرکت تاثیر گذاشته است ؟ و سپس پاسخگویی به حوادث مانند جداسازی سیستم آلوده از دیگر سیستم ها تا مراحل پیشرفته و پیچیده حذف تهدید را شامل میشود.

و در مرحله آخر از کار ما بهبودی و رفع تمام مشکلات و حذف بد افزارها و اعمال مکانیزم های امنیتی و بازگردانی شبکه به حالت اولیه خود را انجام میدهیم

توجه داشته باشید که سرویس MDR به صورت از راه دور فرآیند تحلیل، شناسایی و شکارت تهدیدات را برای شما انجام میدهد بدین شکل که اطلاعات مربوط به تهدیدات و حوادث و اطلاعات مربوط به جرم شناسی دیجیتال در اختیار متخصصین قرار میگیرد و پاسخ و راهکار نهایی مشخص و با استفاده از ترکیب راهکارهای ماشینی و انسانی تهدید برطرف میشود و ماشین آسیب دیده به حالت قبل خود برمی‌گردد.

Managed Detection and Response(MDR)همچنین بر اساس تفسیر رویدادهای امنیتی توصیه‌هایی را جهت تغییرات به سازمان ارائه می دهد. یكی از مهمترین مهارتهایی كه متخصصان امنیتی به آن احتیاج دارند ، توانایی متناسب سازی ، تحلیل شاخص های سازش به منظور موقعیت بهتر شركت در برابر حملات آینده است. فن آوری های امنیتی ممکن است توانایی مسدود کردن تهدیدات را داشته باشند ، اما حفره های عمیق تر در امنیت، نیاز به نیروی انسان دارند.

Managed Detection and Response(MDR)به منظور حل مشکل شکاف های امنیت سایبری سازمان طراحی شده است. این مسئله با تهدیدهای پیشرفته تری روبرو می شود که یک تیم فناوری اطلاعات داخلی نمی تواند بطور کامل و با هزینه ای کمتر از آنچه شرکت برای ساختن تیم امنیتی تخصصی خود خرج می کند ، بطور کامل بپردازد.

(Managed Detection and Response(MDR همچنین می تواند سازمان را قادر سازد تا به ابزار هایی دسترسی پیدا کند که در گذشته غیر قابل دسترسی بودند.

 

گروه تکتاکام یکی از معدود شرکت هایی است که خدمات راهکار کنترل End Point (EDR , XDR , MDR) را ارائه می نماید و تمامی مراحل کار را به صورت مستند شده در اختیار کار فرما قرار می دهد.

برای کسب اطلاعات بیشتر با ما تماس بگيرید