آیا با امنیت نقطه پایانی (Endpoint Security) آشنایی دارید؟

راهکارهای Endpoint Security از نقطه‌های پایانی شبکه همانند دستگاه‌های سیار، رایانه‌های رومیزی، لپ‌تاپ‌ها و حتی دستگاه‌های پزشکی و اینترنت اشیاء (IoT) در مقابل سو استفاده و ورود برنامه‌های مخرب محفاظت می‌کنند. کاربران نهایی، بردار حمله‌ی (attack vector) محبوبی برای مهاجمان هستند و هدف مهاجم نه تنها به مخاطره انداختن کاربر بلکه دسترسی به شبکه و دارایی‌های باارزش درون آن شبکه نیز می‌باشد.

علت نیاز به راهکارهای Endpoint Security چیست؟

Endpoint Security مؤلفه‌ی جدایی ناپذیر پشته‌ی امنیتی (security stack) مدرن است. مواردی مانند ابتکارعمل‌های تحول دیجیتال (Digital transformation)، حرکت به سوی محیط ابری، و سطح مستعد حمله‌‌ی به سرعت در حال توسعه سبب نیاز به دسته‌ی جدیدی از امنیت نقطه‌ی پایانی شده‌اند؛ دسته‌ی جدیدی که بتواند از سازمان‌ها در برابر چشم‌انداز تهدید (threat landscape) متنوع‌تر و پیچیده‌تر دفاع کند.

Endpoint Security چیست؟

راهکار ایمن سازی کاربر نهایی شبکه یا نقطه پایانی، حفاظت پیشگیرانه (preventative protection) را با نسل جدیدی از قابلیت‌های تشخیص (detection) و پاسخ‌دهی (response) مستمر ترکیب می‌کند. همچنین، با استفاده از تحلیل مبتنی بر سرویس ابری، سازه‌های بیش از حد بزرگ و دارای حجم بالا (bloated) را از مصرف منابع باارزش CPU خارج می‌کند تا کارمندان بتوانند کارشان را انجام دهند و کسب‌و‌کارها حفاظت شوند.

سیستم‌های حفاظت از کاربر نهایی شبکه برای انجام اموری مانند تشخیص سریع، تجزیه و تحلیل، مسدودسازی و مهار حملات در حال انجام، طراحی شده‌اند. این سیستم‌ها برای انجام این امر به همکاری با یکدیگر و سایر تکنولوژی‌های امنیتی نیاز دارند. آنها از این طریق قدرت دیدی نسبت به تهدیدها در اختیار مدیران قرار می‌دهند که می‌توانند زمان‌های پاسخ‌دهی و تشخیص را تسریع کنند.

راهکار Endpoint Security چطور عمل می‌کند؟

راهکار Endpoint Security شامل موارد زیر است: نظارت مستمر، سرعت در تشخیص، و ادغام‌های معماری (architectural integrations). از آنجاکه پیچیدگی و فراوانی تهدیدها همواره در حال افزایش است بنابراین استفاده از یک راهکار Endpoint Security کارآمد و قابل اجرا نسبت به گذشته اهمیت بیشتری پیدا کرده است.

راهکار‌های ایمن سازی کاربرنهایی (Endpoint Security)، رویکرد مبتنی بر ابر را برای امنیت نقطه‌ی پایانی شبکه اتخاذ می‌کنند تا بدون نیاز به به‌روزرسانی‌های دستی از سوی ادمین‌های امنیتی مستقیماً به آخرین اطلاعات تهدیدها دسترسی داشته باشند. این امر امکان پاسخ‌دهی‌های سریع‌تر و خودکارتر را فراهم می‌کند. آنها تمامی فایل‌ها و برنامه‌هایی که وارد شبکه‌ی شما می‌شوند را به طور مستمر پایش می‌کنند و توانایی توسعه و ادغام در محیط موجود شما را دارند.

راهکارهای ابری، مقیاس‌پذیری (scalability) و انعطاف‌پذیری (flexibility) را عرضه می‌کنند؛ علاوه‌براین ادغام و مدیریت آنها بسیار آسان‌تر و راحت‌تر است. همچنین، پردازش سربار (overhead) کمتری وجود دارد چون زیرساختی برای ابقاء و نگهداری وجود ندارد و فرآیند نصب نیز سریع‌تر و ساده‌تر است.

انواع Endpoint Security

مهاجمان برای ایجاد حملات پنهان‌تر همواره اطلاعات خود در خصوص روندهای امنیتی را به‌روز نگه می‌دارند و موجب منسوخ شدن آنتی‌ویروس قدیمی می‌شوند. Endpoint Security، حفاظت پیشگیرانه‌ی راهکار EPP و نیز مشخصه‌های تشخیص و بررسی EDR را ترکیب می‌کند.

• پلتفرم حفاظت نقطه‌ی پایانی (Endpoint protection platform یا EPP) 

راهکار پلتفرم حفاظت نقطه‌ی پایانی (EPP)، ابزاری پیشگیرانه است که کار حفاظت نقطه در زمان یا حفاظت در لحظه (point-in-time protection) را انجام می‌دهد. در واقع به محض ورود فایل‌ها به شبکه آنها را بررسی و اسکن می‌کند. راهکار آنتی‌ویروس (AV) مرسوم، متداول‌ترین حفاظت نقطه‌ی پایانی است. راهکار آنتی‌ویروس (AV) شامل قابلیت‌های ضدبدافزاری (antimalware) است که بیشتر برای حفاظت در برابر حملات مبتنی بر امضاء طراحی شده است. وقتی فایلی به شبکه‌ی شما وارد می‌شود، راهکار آنتی‌ویروس (AV) این فایل را اسکن می‌کند تا مشخص شود که آیا امضاء با تهدیدات مخرب موجود در پایگاه‌داده‌ی هوش تهدید (threat intelligence) مطابقت دارد یا خیر. 

• تشخیص و پاکسازی نقطه‌ی پایانی (Endpoint detection and remediation یاEDR) 

راهکار تشخیص و پاکسازی نقطه‌ی پایانی (EDR) از مکانیسم‌های ساده‌ی تشخیص نقطه‌ در زمان فراتر می‌رود. این راهکار تمامی فایل‌ها و برنامه‌هایی که وارد دستگاه می‌شوند را به طور مستمر پایش می‌کند. یعنی راهکارهای تشخیص و پاکسازی نقطه‌ی پایانی (EDR) می‌توانند دید و تحلیل دقیق‌تری برای بررسی تهدید ارائه نمایند. همچنین، راهکارهای تشخیص و پاکسازی نقطه‌ی پایانی (EDR) می‌توانند تهدیدهایی فراتر از حملات مبتنی بر امضاء را شناسایی کنند. بدافزارهای بدون فایل (File less malware)، باج‌افزارها(ransomware)، حملات چندریختی یا پُلی‌مورفیک (polymorphic attacks) و موارد دیگر را می‌توان با استفاده از راهکارهای تشخیص و پاکسازی نقطه‌ی پایانی (EDR) شناسایی کرد. 

• تشخیص و پاسخ‌دهی گسترده (Extended detection and response یاXDR)

تشخیص و پاکسازی نقطه‌ی پایانی (EDR) در مقایسه با قابلیت‌های آنتی‌ویروس، پیشرفت‌هایی در تشخیص بدافزارها داشته است. از این رو، تشخیص و پاسخ‌دهی گسترده (XDR)، محدوده‌ی تشخیص و پاکسازی نقطه‌ی پایانی (EDR) را گسترش می‌دهد تا بتواند راهکارهای امنیتی مستقر بیشتری را در بر بگیرد. راهکار تشخیص و پاسخ‌دهی گسترده (XDR) قابلیت جامع‌تری نسبت به راهکار تشخیص و پاکسازی نقطه‌ی پایانی (EDR) دارد. این راهکار جدیدترین و امروزی‌ترین تکنولوژی‌ها را برای ارائه‌ی دید عالی‌تر و گردآوری و مرتبط کردن اطلاعات تهدید به کار می‌برد، و در عین حال از تحلیل و اتوماسیون برای کمک به تشخیص حملات امروز و آینده استفاده می‌کند.