EDR در برابر EPP ؛ مقایسه دو محصول از کسپرسکی (قسمت اول)
1399/06/02
اهمیت ندادن به آپدیتهای امنیتی در ایران دردسرساز شد
1399/07/28
در مطلب قبلی در رابطه با تفاوتها و ویژگیهای EDR و EPP صحبت کردیم. در این مطلب راهحلهای امنیتی این دو محصول را با هم مقایسه کرده و در انتها گفته شد که کدامیک را باید انتخاب کنید.
مقایسه راهحلهای امنیتی EDR و EPP
EPP به دنبال ویژگیها و مشخصات تهدیدات شناخته شده میگردد تا متوجه نفوذ آنها شود. اما راهحلهای EDR با استفاده از ابزارهای شکار تهدید (threat hunting tools)، برای تشخیص تهدیدات سیستمها براساس رفتار، یک لایه دفاعی اضافه میکند.
استفاده کردن از EDR دلیل مناسبی برای کنار گذاشتن EPP نیست! حتی اگر EDR راهحل قدرتمندی باشد، کسبوکارها برای دستیابی به امنیت قوی در سیستمها و مقابله با تهدیدات امنیتی سنتی و پیشرفته باید از EDR و EPP به طور همزمان استفاده کنند.
EDR و EPP هر دو نیاز به بخشهایی از عملکرد یکدیگر دارند که به عنوان یک راهحل امنیتی جامع و نهایی به کار گرفته شوند. در نتیجه، بازار حفاظت از سیستمها تا حدودی مبهم شده است. این موضوع باعث شده است که برخی از فروشندگان EPP، قابلیتهای EDR را به این محصول اضافه کنند و یا بالعکس.
EDR برای پاسخگویی صحیح به تهدیدات نیاز به تحقیق، تجزیه و تحلیل فعال توسط کارشناسان امنیتی دارد. در مقابل، EPP پس از نصب و پیکربندی اولیه با حداقل نظارت موردنیاز اجرا میشود.
این دو محصول برای حفاظت از سیستمها، مکمل همدیگر هستند و جایگزین یکدیگر نمیشوند. کسبوکارها و شرکتهای مدرن باید هر دو را در استراتژی امنیت سایبری خود ترکیب کنند.
EPP یا EDR؛ کدامیک را باید انتخاب کرد؟
بسیاری از کارشناسان امنیتی استفاده ترکیبی از EDR و EPP را برای محافظت از سیستمها توصیه میکنند. شما نباید تصور کنید که کسبوکارتان کاملا محافظت شده است. باید برای پاسخگویی موثر به حمله همیشه وسیلهای داشته باشید.
اما اگر مجبور باشید یکی از آنها را انتخاب کنید، انتخاب شما کدام است؟!
- EPP مانع از حملات نمیشود – اما نفوذ در محیط شما برای هکرها را بسیار دشوارتر میکند. هکرها ترجیح میدهند اهداف سادهتری را مورد حمله قرار دهند و از تلاش برای غلبه بر حفاظت EPP خودداری میکنند.
- EDR قابلیت مشاهده و ابزار عملیاتی را فراهم میکند – که تیمهای امنیتی را قادر میسازد تا در برابر حمله واکنش نشان دهند. حملات پیشرفته مانند APTها بر روی سیستمها به عنوان پیوند ضعیف در محیط امنیتی متمرکز میشوند. EDR میتواند با شناسایی آنها و از بین بردن کامل زنجیرهها، زمان مورد نیاز برای شناسایی موفقیت آمیز حملات سیستمها را کاهش دهد.
نتیجهگیری
ابزارهای EPP قابلیتهای امنیتی مانند اسکن ضدبدافزار را فراهم میکنند در حالی که ابزارهای EDR ویژگیهای پیشرفتهتری مانند شناسایی و بررسی حادثه امنیتی را ارائه میدهند. راهحلهای EDR همچنین میتوانند سیستمها را به حالت قبل از آلوده شدن بازیابی کنند. کسبوکارها میتوانند هر دو ابزار را با هم ترکیب کنند تا یک راهحل جامعتری برای امنیت ارائه دهند.
منبع: پارس تدوین
