شما باید سیستمهای خود را در برابر حملات هکرها به شبکه داخلی خود محافظت کنید. خوشبختانه راهحلهای زیادی در بازار وجود دارد که بدون ایجاد بار اضافی بر روی بخش IT و به صورت خودکار به حفاظت از اطلاعات و شبکه داخلی، آپدیت در برابر تهدیدات و پاسخ به آنها کمک کند.
به گفته گارتنر، دو تکنولوژی در فضای امنیتی پیشرفته سیستمها، EDR و Endpoint protection هستند. پس ابتدا در مورد اینکه EDR و EPP چیست صحبت میکنیم و براساس آن، بررسی میکنیم که چگونه از آنها برای کمک به امنیت سیستمها استفاده کنید و در آخر، به شما میگوئیم که به کدامیک از آنها نیاز دارید؟
Endpoint Detection and Response، نوعی از راهحلهای امنیتی است که قابلیت بررسی فعالیت سیستمها در لحظه را ارائه میکند. این کار با تشخیص رفتار مخرب، نظارت و ضبط اطلاعات سیستمها بههمراه پاسخ به تهدیدات انجام میشود. تیمهای امنیتی با تجزیه و تحلیل دستی اطلاعات سیستمها که از راهحلهای EDR دریافت میکنند، از تهدیدات جلوگیری میکنند.
تهدیداتی مانند تهدیدات مداوم پیشرفته (APT) و حملات Fileless تهدیدی برای آسیب به شبکههای سازمانی هستند. Endpoint به تنهایی نمیتواند با این حملات پیشرفته مقابله کند. اما محصولات تجاری و open source برای EDR وجود دارد. مانند محصولات کسپرسکی، بیتدیفندر، Symantec و …. وجود دارد.
بیشتر محصولات EDR دارای ۴ قابلیت اصلی هستند:
راهحل EDR مانع از گسترش حوادث در شبکه و آلوده شدن دیگر سیستمها میشود که در حالت عادی و با استفاده تنها از EPP امکان پذیر نیست.
امکان شناسایی فعالیتهای مخرب و ناهنجاریها در سیستمها بهجای این که فقط به دنبال بدافزارهای مبتنی بر فایل باشد.
EDR، قابلیت واکنش به حادثه (incident response) ارائه میدهد. مانند اولویتبندی رویدادهای امنیتی جهت کمک به تیمهای امنیتی برای پاسخ سریعتر به حملات.
EDR با ساخت دیتابیس مرکزی از اطلاعات سیستمها تسهیل تحقیقات را قانونی کرده و آن را برای تجزیه و تحلیل آماده میکند.
هدف Endpoint، جلوگیری از تهدیدات سنتی مانند بدافزارهای شناخته شده و تهدیدات پیشرفته مانند حملات fileless، باجافزارها و آسیبپذیریهای zero-day است.
برخی از راهحلهای EPP موجود در بازار شامل قابلیتهای EDR میشوند. این مقاله به قابلیتهای امنیتی خالص EPP بدون استفاده از EDR میپردازد.
تشخیص تهدیدات با استفاده از ویژگیهای شناخته شده آنها
آزمایش رفتارهای مخرب فایلها در محیط مجازی کنترل شده قبل از اینکه به آنها اجازه اجرا داده شود.
راهحلهای EPP میتوانند بر اساس رفتار عادی هر سیستم را تشخیص دهد و به تبع آن نسبت به ناهنجاریهای رفتاری سیستم واکنش نشان دهد حتی اگر هیچ مشخصه شناخته شدهای از تهدیدات وجود نداشته باشد.
تجزیه و تحلیل باینری و جستجوی ویژگیهای مخرب قبل از اجرا و با استفاده از الگوریتم machine learning
محدود کردن دسترسیها یا ایجاد دسترسی به IPهای مشخص، URLها و برنامههای کاربردی مجاز
بسیاری EPP و EDR را با یک سیستم ترکیب میکنند. با این حال هنوز تفاوتهایی بین قابلیتهای آنها وجود دارد:
EDR |
EPP |
تشخیص فعال تهدیدات |
نیازی به نظارت مستمر ندارد |
پاسخ فوری به حوادثی که EPP نتوانسته شناسایی کند |
از تهدیدات شناخته شده و برخی تهدیدات ناشناخته جلوگیری میکند |
کمک به بررسی و جلوگیری از تهدیداتی که قبلا رخ داده است |
پیشگیری از تهدیدات غیرفعال |
کمک به تیم امنیتی برای جمعآوری اطلاعات واقعه در تمامی سیستمها |
امکان مشاهده فعالیت در سیستمها را فراهم نمیکند |
استفاده از EDR توسط تیم امنیتی جهت پاسخ به حوادث |
اولین خط دفاعی در برابر تهدیدات |
تهیه اطلاعات از حملات در چندین سیستم |
از هر سیستم به وسیله ایزوله کردن محافظت میکند |
منبع: پارس تدوین