تفاوت EDR با آنتی‌ویروس چیست؟

تشخیص و پاسخ اندپوینت (Endpoint Detection and Response) که به‌اختصار با EDR نشان داده می‌شود، یک راه‌حل جایگزین مدرن برای آنتی‌ویروس‌ها است. سال‌هاست سازمان‌ها و کسب‌وکارها به‌منظور حل چالش‌های امنیتی سازمانی، روی مجموعه‌های آنتی‌ویروس سرمایه‌گذاری می‌کنند. بااین‌حال، طی ۱۰ سال گذشته، افزایش پیچیدگی و شیوع روزافزون تهدیدات بدافزاری، کاستی‌های آنتی‌ویروس‌های قدیمی را کاملاً آشکار کرده است.

برای حل این مشکل، برخی از ارائه‌دهندگان آنتی‌ویروس، چالش‌های امنیت سازمانی را بازنگری کردند و راه‌حل‌های جدیدی ازجمله EDR را برای رفع نواقص آنتی‌ویروس‌ها ارائه دادند. در این مطلب می‌خواهیم ببینیم EDR چه تفاوتی با آنتی‌ویروس دارد و چرا از آن کارآمدتر است. همچنین، به این پرسش پاسخ خواهیم داد که برای جایگزینی آنتی‌ویروس با یک EDR پیشرفته چه مراحلی لازم است.

چه چیزی EDR را از آنتی‌ویروس متمایز می‌کند؟

برای محافظت از سازمان یا کسب‌وکارتان دربرابر تهدیدها، درک تفاوت بین EDR و آنتی‌ویروس‌های سنتی بسیار مهم است. این دو رویکرد امنیتی تفاوت‌های بنیادینی با هم دارند و فقط EDR برای مقابله با تهدیدهای مدرن کارآمد است.

ویژگی‌های آنتی‌ویروس

در گذشته، زمانی که تعداد تهدیدات جدید بدافزاری در هر روز، آن‌قدر کم بود که به‌راحتی می‌توانستیم آن را در یک فایل اکسل هم ثبت کنیم، آنتی‌ویروس‌ها راهکار مناسبی برای محافظت از سازمان‌ها بودند. آنتی‌ویروس با بررسی یا اسکن فایل‌هایی که روی دیسک رایانه ذخیره می‌شد، بدافزارهای شناخته‌شده را مسدود می‌کرد. اگر فایلی در پایگاه داده آنتی‌ویروس به‌عنوان فایل مخرب ثبت شده بود، این نرم‌افزار از اجرای آن فایل جلوگیری می‌کرد.

اما آنتی‌ویروس چطور کار می‌کند؟

پایگاه داده آنتی‌ویروس سنتی شامل مجموعه‌ای از امضاها است. این امضاها ممکن است حاوی هش‌های یک فایل بدافزار و/ یا مجموعه‌ای از قوانین باشند که مشخصات لازم برای شناسایی یک فایل مخرب تعریف می‌کنند. آنتی‌ویروس هر فایلی را که با این مشخصات مطابقت داشته باشد به‌عنوان بدافزار شناسایی می‌کند. برخی از این امضاها ممکن است شامل موارد زیر باشند:

• رشته‌هایی که برای انسان قابل‌خواندن است؛
• توالی مشخصی از بایت‌ها در فایل اجرایی بدافزار؛
• نوع فایل؛
• اندازه فایل؛
• سایر اطلاعات متادیتا.

آنتی‌ویروس‌های جدیدتر با قابلیت‌های تحلیل اکتشافی

برخی موتورهای آنتی‌ویروس می‌توانند تحلیل‌های اکتشافی اولیه را روی فرایندهای درحال‌اجرا انجام دهند و بررسی کنند که آیا فایل‌های مهم سیستم به‌درستی کار می‌کنند یا نه. این بررسی‌های «پس از وقوع» یا «پس از آلودگی» زمانی به محصولات آنتی‌ویروس اضافه شدند که شرکت‌های ارائه‌دهنده آنتی‌ویروس دیدند حجم بدافزارهای جدید در هر روز با چنان سرعتی افزایش می‌یابد که آن‌ها از به‌روزرسانی پایگاه داده خود عقب می‌مانند.

با افزایش تهدیدات و کاهش اثربخشی آنتی‌ویروس‌های قدیمی، برخی از ارائه‌دهندگان تلاش کرده‌اند برای تکمیل آنتی‌ویروس‌ها، یک‌سری خدمات اضافی ازجمله کنترل فایروال، رمزنگاری داده‌ها، فهرست‌های مجاز و غیرمجاز و سایر ابزارها را در آن‌ها بگنجانند. همه این‌ها در قالب «مجموعه‌های امنیتی» ارائه می‌شوند.

این راهکارها که به‌طور کلی EPP یا پلتفرم حفاظت از اندپوینت (Endpoint Protection Platform) نامیده می‌شوند، همچنان با روش مبتنی بر امضا کار می‌کنند و رویکردشان تغییری نکرده است.

ویژگی‌های EDR

درحالی‌که تمرکز آنتی‌ویروس‌ها روی فایل‌های احتمالاً مخربی است که وارد سیستم می‌شوند، یک EDR بر جمع‌آوری داده‌ها از اندپوینت و تحلیل آن‌ها برای شناسایی الگوهای مخرب یا غیرعادی به‌صورت آنی تمرکز دارد. بنابراین، هدف سیستم EDR آن است که آلودگی را شناسایی کند و بلافاصله به آن پاسخ دهد. هرچه این فرایند سریع‌تر و بدون دخالت انسان انجام شود، EDR کارآمدتر خواهد بود.

یک EDR خوب توانایی مسدودکردن فایل‌های مخرب را هم خواهد داشت؛ اما ویژگی ارزشمندتر EDRها این است که می‌توانند تشخیص دهند که حملات مدرن همیشه مبتنی بر فایل نیستند. علاوه بر آن، EDRهای پیشرفته قابلیت‌هایی را ارائه می‌دهند که در آنتی‌ویروس‌ها وجود ندارد. برای مثال، آنتی‌ویروس‌ها نمی‌توانند پاسخ خودکارسازی‌شده و دید عمیق از تغییرات فایل، فرایندهای غیرعادی و اتصالات شبکه‌ای که در اندپوینت رخ داده است ارائه دهند. همان‌طور که می‌دانیم، این قابلیت‌ها برای شکار تهدید، پاسخ به حادثه و فارنزیک دیجیتال شبکه حیاتی‌اند.

نقاط ضعف آنتی‌ویروس

دلایل زیادی وجود دارد که چرا آنتی‌ویروس‌ها نمی‌توانند همگام با تهدیدات امروزی پیش بروند. اول از همه، تعداد نمونه‌های جدید بدافزار در هر روز آن‌قدر زیاد است که تیم انسانی قادر به ثبت آن‌ها و گنجاندن مشخصاتشان (همان امضاها) در پایگاه داده آنتی‌ویروس نیست.

دوم اینکه، بیشتر مهاجمان امروزی می‌توانند «تشخیص مبتنی بر امضا»ی آنتی‌ویروس را به‌راحتی دور بزنند؛ بدون اینکه حتی مجبور باشند بدافزارشان را بازنویسی کنند. ازآنجاکه امضاها فقط روی چند ویژگی محدود فایل تمرکز دارند، نویسندگان بدافزار یاد گرفته‌اند چگونه بدافزارهایی با ویژگی‌های متغیر تولید کنند؛ چیزی که به آن بدافزار چندریختی یا پلی‌مورفیک (Polymorphic Malware) می‌گویند. برای نمونه، هش‌های فایل یکی از ساده‌ترین ویژگی‌هایی است که می‌توان آن را تغییر داد. حتی رشته‌ها و داده‌های داخلی فایل را هم می‌توان طوری تنظیم کرد که حالت تصادفی یا مبهم داشته باشند یا در هر نسخه از بدافزار با الگوریتم متفاوتی رمزگذاری شوند. آنتی‌ویروس چگونه می‌تواند چنین داده‌های متفاوتی را هر بار شناسایی کند؟

سومین دلیل به رویکرد نوین مهاجمان برمی‌گردد. عوامل تهدید امروزی به‌ویژه باج‌افزارها، دیگر فقط از حملات مبتنی بر فایل استفاده نمی‌کنند. بسیاری از حملات رایج مدرن، درون‌حافظه‌ای یا بدون فایل هستند. حملات باج‌افزاری که انسان آن‌ها را کنترل می‌کند (مثل Hive) و حملات اخاذی دوگانه (مثل Ryuk و Maze)، اغلب با دسترسی به حساب‌های لو رفته، گذرواژه‌های ضعیف قابل‌حدس‌زدن یا سوءبهره‌برداری (اکسپلویت) از آسیب‌پذیری‌های اجرای کد از راه دور کار خود را آغاز می‌کنند. این حملات می‌توانند به نفوذ، سرقت داده‌ها و ازدست‌رفتن دارایی‌های فکری سازمان شوند، بدون اینکه حتی یک‌بار امضاهای آنتی‌ویروس را فعال کنند.

مزایای EDR

ازآنجاکه EDR تمام تمرکز خود را برای ارائه دید گسترده به تیم‌های امنیتی سازمان‌ها و تشخیص و پاسخ خودکار قرار داده است، برای مقابله با تهدیدات امروزی و چالش‌های امنیتی، بسیار مجهزتر و پیشرفته‌تر از آنتی‌ویروس‌ها است.

EDR تلاش می‌کند فعالیت‌های غیرعادی را شناسایی کند و به آن‌ها پاسخ دهد. این سیستم فقط به تهدیدهای شناخته‌شده و مبتنی بر فایل محدود نیست و برخلاف آنتی‌ویروس‌ها، برای شناسایی تهدیدات نیازی به تعریف دقیق الگوی حمله ندارد. خودش می‌تواند الگوهای رفتاری غیرمنتظره، نامعمول یا مشکوک را تشخیص دهد و هشدارهایی به تحلیلگران امنیتی ارسال کند که این الگوها را دقیق‌تر بررسی کنند.

علاوه بر آن، ازآنجاکه EDR حجم گسترده‌ای از داده‌ها را از تمام اندپوینت‌ها جمع‌آوری می‌کند، به تیم‌های امنیتی فرصت می‌دهد که این داده‌ها را در یک رابط کاربری راحت و متمرکز به‌شکل بصری مشاهده کنند. تیم‌های فناوری اطلاعات می‌توانند بعد از دریافت داده‌ها، برای تجزیه‌وتحلیل عمیق‌تر آن‌ها را با ابزارهای دیگر ترکیب کنند و ضمن تعریف ماهیت حملات احتمالی در آینده، درباره وضعیت کلی امنیت سازمان به مقامات ارشد اطلاع‌رسانی کنند. داده‌های جامع حاصل از EDR می‌تواند امکان شکار تهدید و تجزیه‌وتحلیل گذشته‌نگر را فراهم کند.

شاید بتوان یکی از بزرگ‌ترین مزایای EDR پیشرفته را توانایی آن در تحلیل و زمینه‌سازی داده‌های جمع‌آوری‌شده در همان دستگاه و خنثی‌کردن تهدید بدون دخالت انسان دانست. البته همه EDRها چنین قابلیتی را ندارند؛ زیرا بسیاری از آن‌ها داده‌ها را برای تحلیل به سرورهای ابری می‌فرستند که با تأخیر انجام می‌شود.

آیا EDR می‌تواند مکمل آنتی‌ویروس باشد؟

بله. با وجود محدودیت‌های موتورهای آنتی‌ویروس، خواه مستقل باشند یا به‌عنوان بخشی از راه‌حل‌های EPP، این راهکارها همچنان می‌توانند مکمل خوبی برای EDR باشند. بسیاری از EDRها هنوز بخشی از قابلیت مسدودسازی مبتنی بر امضا و هش را در قالب استراتژی دفاع در عمق ارائه می‌دهند.

با ادغام موتورهای آنتی‌ویروس در راهکار EDR که کارآمدتر عمل می‌کند، تیم‌های امنیتی سازمان می‌توانند از مزایای شناسایی و مسدودکردن سریع بدافزارهای شناخته‌شده با آنتی‌ویروس هم بهره‌مند شوند و آن را با قابلیت‌های پیشرفته EDR ترکیب کنند.

ارتقای امنیت سازمان با EDR

حالا که مزایای آشکار سیستم EDR را نسبت به آنتی‌ویروس دیدیم، گام بعدی انتخاب یک EDR مناسب است که به درک نیازهای سازمان شما و قابلیت‌های محصول ارائه‌شده بستگی دارد.

برای انتخاب یک EDR خوب باید بررسی کنید که:

• تیم امنیتی شما قرار است چگونه از این محصول در عملیات روزانه استفاده کند؟
• یادگیری آن برای تیم امنیتی دشوار است یا آسان؟
• درصورتی‌که هریک از سرویس‌های ابری که EDR به آن متکی است آفلاین یا غیرقابل‌دسترس شوند، بازهم این سیستم از سازمان شما محافظت خواهد کرد؟
• آیا امکان پیاده‌سازی خودکار آن در سراسر سازمان وجود دارد؟
• آیا با پلتفرم‌های شما سازگار است؟ یعنی EDR انتخابی شما به اندپوینت‌های مبتنی بر ویندوز، لینوکس یا مک به یک اندازه اهمیت می‌دهد؟ توجه کنید اگر این‌طور نباشد، اندپوینت‌هایی که نادیده گرفته شوند، می‌توانند به شبکه شما بک‌دور (در پشتی) ایجاد کنند.
• آیا EDR انتخابی شما می‌تواند به‌سادگی با سایر خدماتی که از آن‌ها استفاده می‌کنید ادغام شود؟ بیشتر سازمان‌ها یک پشته نرم‌افزاری پیچیده دارند و باید بدانید که این EDR قرار است چطور با این نرم‌افزارها ادغام شود.

فراتر از EDR؛ راه‌حل XDR برای ادغام بهتر و ارائه دید گسترده‌تر

EDR برای سازمان‌هایی است که هنوز از آنتی‌ویروس عبور نکرده‌اند؛ اما کسب‌وکارهایی هم هستند که به دید گسترده‌تر و ادغام قدرتمندتری نیاز دارند. آن‌ها باید به تشخیص و پاسخ گسترده (XDR) فکر کنند.

XDR تمام ابزارهای دید و کنترل‌های امنیتی را در یک نمای جامع از آنچه در محیط سازمان شما رخ می‌دهد ادغام می‌کند و درنتیجه، یک سطح فراتر از EDR است. با داشتن یک مجموعه واحد از داده‌های خام شامل اطلاعات موجود در کل اکوسیستم، امکان تشخیص و پاسخ سریع‌تر، عمیق‌تر و کارآمدتری را نسبت به EDR فراهم می‌کند.

سخن پایانی

عوامل تهدید مدت‌هاست زیروبم سازوکار آنتی‌ویروس‌ها و EPP را می‌شناسند. بنابراین، باید بدانید که این محصولات دیگر برای تهدیدهای مدرن کارآمد نیستند. نگاهی گذرا به سرخط خبرها نشان می‌دهد که چگونه سازمان‌های بزرگ و بدون آمادگی، حتی با وجود سرمایه‌گذاری در راه‌حل‌های امنیتی پیشرفته، با حملات مدرن ازجمله باج‌افزارها غافلگیر می‌شوند. بنابراین، با یک راه‌حل EDR اطمینان حاصل کنید که نرم‌افزار امنیتی شما نه‌تنها دربرابر حملات قدیمی که در مواجهه با حملات امروز و آینده هم از کسب‌وکارتان محافظت خواهد کرد.