حفاظت از اندپوینت و پاسخ به تهدیدات (Endpoint Detection and Response) (EDR) چیست؟

حفاظت از اندپوینت و پاسخ به تهدیدات (Endpoint Detection and Response) (EDR) راه‌حلی برای شناسایی تهدیدات در سراسر محیط‌تان است. این ابزار چرخه حیات تهدیدات را به طور کامل بررسی می‌کند و اطلاعاتی مفید در مورد آنچه اتفاق افتاده، نحوه ورود تهدید به سیستم، منبع آن، طرز کار آن، و نحوه‌ی جلوگیری از آن ارائه می‌دهد. با محدود کردن تهدید به اندپوینت، EDR از گسترش آن در شبکه‌ی شما جلوگیری می‌کند.

پلتفرم حفاظت از اندپوینت (EPP) با حفاظت از اندپوینت و پاسخ به تهدیدات (EDR) چه فرقی دارد؟

در درجه‌ی اول، EDR بر روی شناسایی تهدیدهای پیشرفته تمرکز می‌کند. تهدیدهایی که برای عبور از خطوط دفاعی اولیه‌ی شما طراحی و با موفقیت وارد محیط شما شده‌اند. در حالی که EPP  Endpoint Protection Platform صرفاً بر روی پیشگیری تمرکز می‌کند. مسدود کردن100٪ تهدیدات برای هر EPP ممکن است سخت یا حتی غیر ممکن باشد. به همین دلیل یک سیستم امنیت اندپوینت جامع باید هم ازEPP و هم از EDR بهره ببرد.

چگونه Endpoint Detection and Response می تواند به من کمک کند؟

تهدیدهای پیچیده‌تر که از خطوط دفاعی اولیه‌ی شما عبور می‌کنند، می‌توانند در سراسر شبکه شما اختلال ایجاد کنند. باج‌افزارها داده‌های حساس شرکت را رمزنگاری می‌کنند تا زمانی که شرکت باج مالی درخواست شده را پرداخت کند، آن‌ها را گروگان می‌گیرند. در همین حال، برنامه‌‌های کریپوتوماینینگ (cryptomining) مخرب مخفیانه در شبکه باقی می‌مانند و منابع کامپیوتری شما را به هدر می‌دهند. EDR می تواند به شما کمک کند که چنین تهدیدها را به سرعت پیدا، مهار، و پاکسازی کنید تا بتوانید از امنیت داده‌ها در اندپوینت‌های واقع در سراسر محیط خود اطمینان حاصل کنید.

چرا باید از Endpoint Detection and Response استفاده کنم؟

اکثر ابزارEPP (یا آنتی‌ ویروس‌های سنتی) ادعا می کنند که بیشتر تهدیدها را مسدود می‌کنند. اما تهدیداتی که مخفیانه‌تر عمل می‌کنند چه؟ داشتن EDR به شما این امکان را می‌دهد که تهدیدات مدرن و پیشرفته را شناسایی، بررسی، و پاکسازی کنید. تهدیداتی که به اندازه‌ای پیشرفته و پایدار هستند که می‌توانند به راحتی از خطوط دفاعی اولیه‌ و سنتی شما عبور کنند.

چه روش‌های استقرار و مدیریت در دسترس من هستند؟

به طور کلی دو روش استقرار و مدیریت EDR وجود دارد:

1. EDR‌ که مستقیماً توسط تیم امنیتی شما مستقر و مدیریت می شود.

2. EDR که توسط تیم امنیتی، فروشنده امنیتی، یا شریک امنیتی شما مستقر شده است اما توسط فروشنده یا شریک امنیتی‌تان مدیریت می شود (این نوع EDR به عنوان «EDR مدیریت شده» (Managed EDR) (MEDR) نیز شناخته می شود). این روش نسبت به روش دیگر چند مزیت دارد که می‌توانید برای مشاهده‌ی کامل آن‌ها این مطلب را مطالعه کنید.

    

EDR مدیریت شده (Managed EDR) (MEDR) چیست؟

MEDR به فروشنده یا شریک امنیتی شما این امکان را می‌دهد که EDR تان را مدیریت و به سازمان شما تحویل دهد. این ابزار به‌ عنوان یک سرویس مدیریت‌ شده ارائه داده می‌شود. این یعنی فروشنده یا شریک امنیتی شما EDR‌ ‌تان را مستقر، اجرا، و پشتیبانی می‌کند. اغلب شامل تیم‌هایی از کارشناسان امنیت سایبری می‌شود که از طرف شما تهدیدهای شناسایی شده در محیط‌تان را تعقیب، بررسی، و پاکسازی می‌کنند. ابزار MEDR می‌توانند زمان شناسایی و پاسخ را کاهش دهد و به شما این امکان را می‌دهد که بر روی مهم‌ترین تهدیدات سازمان خود تمرکز کنید.

قابلیت‌های کلیدی Endpoint Detection and Response

1.شناسایی یا  Detection

شناسایی تهدید یکی  از قابلیت‌های اساسی EDR است. مسئله این نیست که آیا یک تهدید پیشرفته به شما حمله می‌کند یا نه، بلکه این است که چه زمانی آن تهدید از خطوط دفاعی اولیه‌‌ی شما عبور می‌کند. پس از اینکه تهدید وارد محیط شما شد، باید بتوانید آن را به سرعت و به طور دقیق شناسایی کنید تا بتوانید آن را به درستی مهار، ارزیابی، و خنثی کنید. متأسفانه این کار، کار آسانی نیست چرا که بدافزاری‌های پیشرفته می‌توانند بسیار مخفیانه عمل کنند و هنگام عبور از خطوط دفاعی شما چیزی بی‌آزار به نظر برسند اما پس از عبور از خطوط دفاعی، می‌توانند به چیزی بسیار مخرب تبدیل شوند.

با تحلیل و بررسی دائم فایل، EDR قادر خواهد بود که فایل‌های متخلف را در اولین نشانه از رفتار مخرب علامت‌گذاری کند. اگر فایلی ایمن تلقی شود، اما پس از چند هفته شروع به نمایش فعالیت‌های کریپتوماینینگ یا باج‌افزاری کند، EDR فرآیند ارزیابی و تحلیل را شروع می‌کند و به سیستم‌تان هشدار می‌دهد تا سیستم بتواند عملیات لازم را انجام دهد.

علاوه بر تجزیه و تحلیل مداوم فایل، توجه به این نکته نیز مهم است: قدرت شناسایی یک EDR به قدرت هوش تهدیدی که آن را حمایت می‌کند، بستگی دارد. هوش تهدید از داده‌های مقیاس بزرگ (Large-scale Data)، یادگیری ماشینی (Machine Learning)، و تجزیه و تحلیل پیشرفته‌ی فایل‌ها برای کمک به شناسایی تهدیدها استفاده می‌کند. هرچه هوش تهدید بیشتر باشد، احتمال اینکه EDR بتواند تهدیدها را به سرعت و به درستی شناسایی کند نیز بیشتر می‌شود. EDR‌ که هوش تهدید ندارد بی اثر است.

2.مهار یا Containment

پس از شناسایی یک فایل مخرب، EDR باید بتواند تهدید را مهار کند. هدف فایل‌های مخرب این است که تا آنجایی که ممکن است فرآیندها، برنامه‌ها، و کاربران را آلوده کنند. بخش‌بندی (segmentation) مرکز داده‌ می‌تواند دفاعی عالی برای جلوگیری از حرکت جانبی تهدیدات پیشرفته باشد. بخش‌بندی مفید است، اما یک EDR قوی می‌تواند قبل از آزمایش لبه‌های مناطق بخش‌بندی شده‌ی شبکه، فایل مخرب را مهار کند. باج‌افزار‌ها مثالی عالی برای این هستند که چرا نیاز به مهار تهدیدات دارید. حذف با‌ج‌افزارها ممکن است مشکل باشد. باج‌افزار‌ها اطلاعاتی که پیدا می‌کنند را رمزنگاری می‌کنند بنابراین EDR شما باید بتواند به طور کامل آن را مهار کند تا میزان آسیب‌ به اطلاعات شبکه را کاهش دهد. همچنین EDR قابلیت جداسازی از شبکه را فراهم می‌کند و بدین ترتیب از رمزنگاری بیشتر شبکه توسط باج‌افزار جلوگیری می‌کند.

3. تحقیق و بررسی Investigation با کمک Sandboxing

پس از اینکه فایل مخرب شناسایی و مهار شد، EDR باید آن را بررسی کند. اگر که فایل از خطوط دفاعی اولیه عبور کرده‌ است، یعنی به وضوح یک آسیب‌پذیری در آن وجود دارد. شاید تیم هوش تهدید تا به حال این نوع تهدید پیشرفته را ندیده است. ممکن است دستگاه یا برنامه‌ای قدیمی در سیستم وجود داشته باشد که باید به روز رسانی شود. بدون قابلیت‌های تحقیقاتی مناسب، شبکه شما اطلاعات مورد نیاز در مورد اینکه چگونه تهدید مورد نظر وارد سیستم شده است، به دست نمی‌آورد. در نتیجه، احتمال اینکه شبکه‌تان دوباره با همان تهدیدات و مشکلات روبرو شود بیشتر می‌شود. EDR قابلیت‌های بررسی مورد نیاز برای چنین موارد را ارائه می‌دهد و جلوی ورود مجدد تهدیدات با استفاده از روش‌های بررسی ‌شده‌ی قبلی را می‌گیرد.

در فرآیند بررسی، سندباکس کردن (sandboxing) قابلیتی حیاتی است. از sandboxing می‌توان در نقطه‌ی ورود و خطوط دفاعی اولیه استفاده کرد تا اجازه‌ی دسترسی به فایل‌های مناسب داده شود. اما این قابلیت استفاده‌های دیگری نیز دارد. قابلیت sandboxing این امکان را می‌‌دهد که فایل‌های مورد نظر را در محیطی شبیه سازی شده و جدا از سیستم اصلی تست و بررسی کرد. EDR می‌تواند قابلیت sandboxing را با استفاده از Cisco Secure Malware Analytics ارائه دهد.

در این محیط شبیه سازی شده و ایزوله، EDR سعی می‌کند که ماهیت اصلی فایل را بدون به خطر انداختن ایمنی محیط اصلی پیدا کند. در این فرآیند، EDR می تواند ویژگی‌ها و ماهیت این فایل مخرب را پیدا کند و از آن درس بگیرد. با ارزیابی کامل فایل، EDR می‌تواند با تیم هوش تهدیداتی که EDR را اجرا و مدیریت می‌کند ارتباط برقرار کند و جلوی تهدیدات مشابه را در آینده بگیرد.

4. پاکسازی یا Elimination

واضح‌ترین جزء یک EDR  توانایی آن در از بین بردن تهدید است. اگر تهدیدی را شناسایی، مهار، و بررسی کنید، عالی است. اما اگر نتوانید آن را حذف کنید، باید با دانش اینکه سیستم شما به طور مداوم در خطر است زندگی کنید که این مورد غیر قابل قبول است! برای اینکه EDR بتواند به درستی تهدیدات را از بین ببرد، به اطلاعاتی حیاتی نیاز دارد، مانند:

• منشا فایل کجا بوده؟

• این فایل با چه داده‌ها و برنامه‌ها تعامل داشته؟

• آیا فایل در سیستم تکرار شده؟

چنین اطلاعاتی برای پاکسازی حیاتی هستند. بررسی کل تاریخچه‌‌ و طول عمر فایل بسیار مهم است. پاکسازی به سادگی حذف فایلی که شناسایی شده است، نیست. هنگامی که فایل را حذف می کنید، ممکن است که نیاز به اصلاح خودکار بخش‌های مختلفی از شبکه باشد. به همین دلیل، EDR باید داده‌هایی عملی در مورد طول عمر فایل ارائه دهد. اگر EDR دارای قابلیت‌های پس‌نگرانه است، این داده‌های عملی باید برای اصلاح خودکار سیستم‌ها و بازگرداندن آن‌ها به وضعیت قبل از آلودگی مورد استفاده قرار بگیرند.

در نهایت، درک این نکته بسیار مهم است که بهترین ابزار امنیت اندپوینت هر دو قابلیت EPP و EDR را ترکیب و از آن‌ها استفاده می‌کند. یک ابزار امنیت اندپوینت نسل بعدی و مدرن، از خطوط دفاعی اولیه محافظت می‌کند (یعنی EPP) و به طور مداوم محیط داخلی سیستم را بررسی می‌کند (یعنی EDR) تا امنیت شبکه را فراهم کند و همچنین امنیت فایل‌ها را در کل طول عمرشان مدیریت می‌کند.