خلاصه شده توسط هوش مصنوعی:
امنیت سایبری امروزه به نوعی مبارزه بیپایان بین هکرها و کسبوکارها در اندازه کوچک تا متوسط تبدیل شده است. اقدامات امنیتی سنتی نظیر آنتیویروسها و فایروالها همواره از محیطهای کسبوکار دفاع کردهاند. بااینحال، در حال حاضر، حملات سایبری به اندپوینتها کشیده شده است. به همین دلیل است که راهحلهای تشخیص و پاسخ اندپوینت (Endpoint Detection and Response) که بهاختصار با EDR نشان داده میشود، بهعنوان سلاحهای بسیار ضروری در این مبارزه عمل میکنند و به سازمان شما امکان میدهند تهدیدهای شناختهشده و ناشناخته را شناسایی کنید، بهسرعت به آنها پاسخ دهید و در تمام مراحل حمله از این راهحلهای امنیتی استفاده کنید.
با توجه به ضرورت محافظت از دستگاههایتان در برابر تهدیدهای سایبری امروزی، انتخاب یک راهحل EDR که مناسب کسبوکار شما باشد، بسیار مهم و در عین حال چالشبرانگیز است. به این دلیل که گزینهها و ویژگیهای زیادی برای انتخاب وجود دارد و بهعلاوه، اینطور نیست که هر EDR برای هر کسبوکار و تیم IT مناسب باشد. درنتیجه، باید آن را که برای نیازهای شما بهترین است، انتخاب کنید.
چرا استفاده از EDR برای کسبوکار شما ضروری است؟
راهحلهای EDR قابلیتهای زیادی برای پایش فعالیتهای مخرب و هشدار دادن درباره آنها به شما دارند، در نتیجه، یکی از قدرتمندترین ابزارها برای تأمین امنیت سایبری سیستمهای سازمانتان به شمار میروند. این راهحلها، میتوانند حتی پیشرفتهترین تهدیدهای سایبری را در اندپوینتها شناسایی کنند و امکان پاسخ سریع به آنها را برای تیم IT فراهم آورند. با کمک آنها میتوانید بهشکل بصری این تهدیدها را مشاهده و شناسایی کنید. این بدان معناست که آنها اغلب تهدیدهایی را که از چشم اقدامات امنیتی محیطی از جمله آنتیویروس و فایروالها پنهان میمانند، بهخوبی تشخیص میدهند.
راهحلهای EDR باید توانایی ردیابی و تجزیهوتحلیل فعالیتهایی را که در اندپوینتها صورت میگیرند، داشته باشند. با کمک این راهحلها، تحلیلگران میتوانند بهموقع به فعالیتهای مشکوک پاسخ دهند. نسخههای مدرنتر و کارآمدتر EDR، میتوانند مزایای زیادی برای کسبوکار شما داشته باشند. بیایید به برخی از آنها اشاره کنیم:
مزایای استفاده از EDR
- افزایش قدرت مشاهده فعالیتهای اندپوینت در حد بسیار دقیق، بهطوریکه پنهانکردن آنها برای هکرها بسیار سخت میشود.
- محافظت در برابر تهدیدات شناختهشده و ناشناخته، ازجمله آسیبپذیریهای روز صفر یا تهدیداتی که میتوانند تشخیصهای مبتنی بر امضا را دور بزنند.
- هوش تهدید دقیق و تحلیل عمقی تهدیدها و نیز فراهمکردن زمینهای برای بررسی عمیقتر تمام فعالیتهای تهدیدآمیز، زنجیرههای حمله و تایملاینهای حمله که به پاسخدهی سریع، واضح و هدفمند کمک میکند.
- واکنش سریعتر به حادثه که میتواند در بهحداقلرساندن تأثیر احتمالی تهدیدها مؤثر باشد.
راهحلهای EDR چگونه عمل میکنند؟
اگر بخواهیم ساده توضیح دهیم، راهحلهای EDR رویدادها را در تمام اندپوینتها ردیابی و ثبت میکنند. آنها هر ورود به سیستم (Login)، هر عملیات در حال اجرا و هر بار روشن و خاموششدن سیستم را بررسی میکنند. همه این رویدادها پایش و در لاگها ثبت میشوند تا تصویری کامل از آنچه در سطح اندپوینت اتفاق میافتد، به دست آید. چنین فرایند دقیقی به تحلیلگران امنیتی یا الگوریتمهای یادگیری ماشین کمک میکند قوانینی را برای رفتارهای عادی و غیرعادی در سازمان تعیین کنند.
بهعنوان مثال، فرض کنید یکی از کارمندان شما یک ایمیل فیشینگ را باز کرده و سند پیوستشده به آن را دانلود میکند. آن سند برنامهای مخرب را اجرا میکند و سیستم شما در معرض تهدید قرار میگیرد. در چنین شرایطی، EDR بلافاصله وارد عمل میشود تا آن رفتار را بهعنوان غیرعادی نشانهگذاری کند. سپس بهصورت خودکار یک هشدار ایجاد میکند که به تیم شما اطلاع میدهد مشکلی وجود دارد.
راهحلهای EDR بهشدت به جمعآوری دادهها متکی هستند. این ویژگی، اطلاعات مفید زیادی درباره اینکه یک حمله چطور، چه زمانی و کجا اتفاق افتاده است، چه کسی در آن دخیل است و چه چیزی را تغییر داده است به تحلیلگران ارائه میدهد. بسته به نوع پیکربندی، برخی از راهحلهای EDR توانایی ایزولهکردن هاستها را زمانی که یک فعالیت مخرب در آنها اتفاق میافتد دارند. ویژگی مهمی که باعث جلوگیری از حرکت آن فعالیتها و سرایت به سراسر شبکه میشود.
این دقیقاً همان چیزی است که EDR را از آنتیویروسها متمایز میکند. فناوری EDR میتواند میلیاردها رویداد را بهشکل آنی تجزیهوتحلیل کند. مقایسه شاخصهای خطر (IOC)، اسکن تهدیدهای شناختهشده با استفاده از نشانههای مشخص بدافزارهای سنتی و استفاده از تشخیص رفتار برای تهدیدهایی که ممکن است ناشناخته باشند، فقط برخی از عملکردهای این فناوری هستند. البته راهحلهای EDR پاسخ به تهدید را هم امکانپذیر میکند که امری بسیار ضروری در امنیت سایبری است.
به خاطر داشته باشید با اینکه EDRها در علامتگذاری فعالیت عامل تهدید و هشدار سریع درباره آن عالی عمل میکنند، ابزاری نیستند که فقط تنظیمش کنید و بعد آن را رها کنید. تحلیلگران امنیتی باید بهطور مداوم برای بررسی هشدارها و تأیید تهدیدهای واقعی از تهدیدهای کاذب، این ابزار را تنظیم و مدیریت کنند.
چگونه نیازهای کسبوکارمان به EDR را ارزیابی کنیم؟
خواه اولین بار است از EDR استفاده میکنید یا قبلاً هم آن را در کسبوکار خود داشتهاید و اکنون بهدنبال EDR مناسبتری میگردید، با پاسخدادن به یکسری پرسشها، میتوانید ارزیابی کنید که دقیقاً چه نیازهایی دارید و کدام EDR برایتان مناسب است.
مرحله اول: تعیین نیازهای سازمان
- بیشتر نگران چه نوع تهدیداتی هستم؟
- چه تعداد اندپوینت دارم که باید آنها را مدیریت کنم؟
- آیا EDR جایگزین محصولات امنیت اندپوینت فعلی سازمان من میشود یا آنها را تکمیل خواهد کرد؟
- برای اجرای EDR، چقدر زمان یا تخصص میتوانم اختصاص دهم؟
- به چه سطحی از پشتیبانی برای EDR نیاز دارم؟
مرحله دوم: مشخص کردن نیازهای فنی سازمان
- این راهحل چقدر در تشخیص تهدیدهایی که بیشتر نگران آن هستم مؤثر است؟
- آیا باید بهشکل مداوم قوانین تشخیصی در EDR را بازبینی، تنظیم و مدیریت کنم؟
- این EDR از چه سیستمعاملهایی پشتیبانی میکند؟
- فرایند بهروزرسانی آن چگونه است؟
- آیا تأثیر قابلتوجهی بر عملکرد دستگاههای اندپوینت من خواهد داشت؟
- مراحل استقرار و نصب آن چگونه است؟ آیا به تعمیر و نگهداری مداوم نیاز دارد؟
- آیا با ابزارهای دیگر سیستم من تداخل خاصی ایجاد میکند؟
- آیا فراتر از تشخیص و هشدار، قابلیت پاسخ و اصلاحی را که نیاز دارم فراهم میکند؟
مرحله سوم: درنظرگرفتن منابع داخلی
- آیا به پشتیبانی شبانهروزی در همه روزهای هفته نیاز دارم؟
- تیم من میتواند برای استفاده از EDR و تنظیم دقیق آن، زمان کافی اختصاص دهد؟
- آیا تیم من تخصص لازم برای رسیدگی به تحقیقات درباره تهدید و پاسخ به حادثه را دارد؟
- آیا میتوانم در حال حاضر از پس هزینه یک راهحل EDR مناسب برآیم؟
توجه به این نکته مهم است که پیادهسازی EDR بهتنهایی همه قابلیتهای لازم را به شما نمیدهد. برای مدیریت EDR اغلب باید تیم متخصصان امنیت سایبری هم داشته باشید. بدون تیم مناسب و زمان کافی، راهحلهای EDR دادهها و هشدارهای بیش از حد جمعآوری میکنند و به شما ارائه میدهند که بسیاری از آنها غیرضروری هستند و بار اضافی بر دوش تحلیلگران شما قرار میدهند. علاوه بر آن، هزینههای اضافی هم به شما تحمیل خواهد کرد.
در صورتی که تیم شما حداقل یک کارمند تماموقت برای تریاژ، تحقیق و پاسخگویی به هشدارها ندارد، احتمالاً EDR مدیریتشده برایتان مناسبتر است.
EDR مدیریتشده چه تفاوتی با EDR مدیریتنشده دارد؟
راهحلهای EDR شامل دو نوع مدیریتشده و مدیریتنشده هستند و هریک مزایا و معایب خاص خود را دارند.
نوع مدیریت نشده EDR، کنترل و سفارشیسازی بیشتری را ارائه میکند؛ اما اغلب خودتان مسئول راهاندازی، پیکربندی و مدیریت راهحل هستید.
مزایای نوع مدیریتنشده
- قابلیتهای EDR را به شما ارائه میدهد؛ اما به مدیریت خودتان هم نیاز دارد.
- سطح بالایی از کنترل و سفارشیسازی را ارائه میدهد.
- دید عمیق و دادههای مفید را برای تیمهای امنیتی فراهم میکند تا براساس آنها اقدامات لازم را انجام دهند.
معایب نوع مدیریتنشده
- به منابع داخلی برای راهاندازی، پیکربندی و مدیریت نیاز دارد.
- برای تجزیهوتحلیل هشدارها و بررسی نشانههای یک تهدید واقعی، به تخصص امنیتی نیاز دارد.
- در صورت تنظیمنشدن یا مدیریت ناصحیح، اطلاعات اضافی و غیرضروری زیادی را جمعآوری میکند.
راهحلهای مدیریتشده EDR، همه مزایای راهحل EDR را بدون نیاز به مدیریت داخلی آن ارائه میکنند. این نوع EDR از روش برونسپاری استفاده میکند. به این صورت که یک نهاد شخص ثالث آن را اداره کرده و تیمی از کارشناسان را در اختیارتان قرار میدهد که در مدیریت، تحقیق و هشدارهای روزانه به شما کمک میکنند.
مزایای نوع مدیریتشده
- دسترسی به تیمی از کارشناسان امنیت سایبری را میسر میکند.
- هشدارهای کاذب را که باعث میشوند تیم امنیتی نتوانند بهاندازه کافی به تهدیدهای واقعی توجه کنند، کاهش میدهد.
- به تخصیص منابع داخلی برای راهاندازی، پیکربندی یا مدیریت نیاز ندارد.
معایب نوع مدیریتشده
- کنترل و سفارشیسازی کمتری نسبت به راهحلهای مدیریتنشده در اختیار شما قرار میدهد.
- شرکت شخص ثالث ارائهدهنده، امکان مشاهده دادههای داخلی و شبکههای شما خواهد داشت.
انتخاب درست بین این دو مورد، به نیازها و منابع خاصی که در اختیار دارید بستگی دارد. اگر منابع داخلی شما برای رسیدگی به EDR کافی است، مدل مدیریتنشده آن را انتخاب کنید. اگر نمیتوانید زمان، مهارت یا تعداد کار اضافهشده را پشتیبانی کنید، راهحل EDR مدیریتشده گزینه ایدئالی برای شماست.
معیارهایی که باید بهدنبال آنها باشید
هنگام ارزیابی انواع EDR، چند معیار را در نظر بگیرید:
قابلیت مشاهده
راهحلهای EDR باید بتوانند اطلاعات مهم را در اندپوینتها جمعآوری کنند و تصویر واضحی از آنچه در هر زمان روی میدهد ارائه دهند. این فرایند شامل پایش مداوم فعالیتهای مرتبط در دستگاههای اندپوینت، رویدادهای احتمالی در اپلیکیشنها و فرایندهایی است که در حال اجرا هستند. یک EDR قوی باید کل چرخه عمر یک حمله را، از لحظهای که سیستم را تهدید میکند تا زمانی که به استخراج دادهها مشغول میشود، به شما نشان دهد.
تشخیص و هشدار آنی
راهحل EDR باید توانایی کافی برای شناسایی فعالیتهای تهدید و ارائه دادههای مناسب در کوتاهترین زمان ممکن را داشته باشد تا تیم امنیتی زمان کافی برای پاسخ به تهدیدها داشته باشند و تأثیرات احتمالی آنها را به حداقل برسانند. به این منظور، EDR باید بتواند از یک سو، ناهنجاریها و فعالیتهای مشکوک را تشخیص دهد و از سوی دیگر، تهدیدهای شناختهشده را با استفاده از تشخیص مبتنی بر امضا (Signature-based Detection) شناسایی کند.
پاسخ و بازیابی
معیار مهم بعدی، توانایی پاسخ بهموقع و اصلاح خرابیها است. این ویژگی بخشی جداییناپذیر از هر EDR است. EDR انتخابی شما باید بتواند بهشکل دقیق تهدیدها را شناسایی و طبقهبندی کند و اطلاعاتی کاربردی و مفید ارائه دهد. همچنین، باید آسانترین راه برای مقابله با تهدید را پس از کشف آن به شما پیشنهاد کند. در برخی موارد، ممکن است لازم باشد یکسری فرایندها را لغو و برخی فایلها را قرنطینه کند و به حذف مکانیزمهای مخرب مقاوم (که بهسادگی از بین نمیروند) یا جداسازی و قطع ارتباط اندپوینتها بپردازد.
تطبیقپذیری و ادغام
راهحل EDR شما باید بهطور یکپارچه با ابزارهای امنیتی فعلی که دارید، ادغام شود؛ بدون اینکه نیاز باشد پیکربندیهای زیادی انجام دهید. تطبیقپذیری آن را هم بررسی کنید؛ زیرا اگر با سیستم شما سازگار باشد، به شما اطمینان میدهد که کمترین تأثیر را بر عملکرد اندپوینتها خواهد داشت. در نتیجه، بهدنبال راهحلی باشید که بهخاطر آن مجبور نشوید تغییرات زیادی در سیستمهایتان اعمال کنید.
اتوماسیون و تجزیه و تحلیل
یک راهحل EDR خوب آن است که به شما امکان دهد جستجوها و قوانین خود را سفارشی کنید تا از هشدارهای غیرمرتبط و نویزهای مزاحم دور بمانید. علاوه بر آن، باید دادهها و تحلیلهای ارزشمند را درباره فعالیت دربرابر اندپوینتها جمعآوری کند و قابلیت تنظیم خودکار و بهینهسازی الگوریتمهای تشخیص تهدید را داشته باشد؛ در غیر این صورت، باید خود را برای شکست در حفظ امنیت شبکه و اندپوینتها آماده کنید.
شکار تهدید
راهحل EDR باید فراتر از قابلیتهای تشخیص تهدید عادی، بهدنبال شکار زودهنگام تهدیدها باشد تا از آنها پیشگیری به عمل آید. بدین معنا که EDR باید یک کتابخانه بزرگ از روشهای ازپیشآماده تشخیصی ارائه دهد یا اینکه دارای تیمی اختصاصی از کارشناسان پشتیبانی باشد که فعالیتهای مخرب احتمالی را از طرف شما ردیابی کنند.
استفاده آسان
اگر نصب و راهاندازی راهحل EDR شما و روش استفاده از آن آسان نباشد، بابت خرید چیزی بیهوده هزینه کردهاید که نمیتوانید با آن کار کنید. رابط EDR باید کاربرپسند و شامل ارائه دادهها بهصورت بصری باشد. باید بتوانید آن را بهروشی مقیاسپذیر و مقرونبهصرفه در اندپوینتهای متعدد به کار بگیرید.
قیمت
راهحلهای EDR در قیمتهای مختلفی موجود هستند. میتوانید یکی از آنها را متناسب با بودجه خود انتخاب کنید. فراموش نکنید EDR گرانتر بهمعنای آن نیست که برای شما بهترین است. اصلاً ممکن است مناسب کسبوکار شما نباشد. از آن سو، هر EDR که ارزان است، لزوماً بهمعنای بیارزش بودن آن نیست.
مدیریت و پشتیبانی
ازآنجاکه راهحلهای EDR نیاز به زمان و توجه زیادی دارند، کسبوکارها بیشتر بهدنبال راهحلهای کاملاً مدیریتشده هستند. با راهحلهای مدیریتشده EDR، تمام قابلیتهای تشخیص و پاسخ اندپوینت را بدون دردسر دریافت خواهید کرد. این EDRها معمولاً شامل تیمی از کارشناسان امنیتی هستند که میتوانند به کاهش هشدارهای کاذب کمک کنند و توانایی مشاهده دقیق و شکار تهدید را بهبود بخشند.
رسیدگی به تهدیدهای واقعی، به کارشناسان امنیت سایبری تخصصی نیاز دارد
امروزه کسبوکارها و تیمهای فناوری اطلاعات بهجای رویکرد سنتی خود مدیریتی در EDR، راهحلهای EDR مدیریتشده را ترجیح میدهند. این راهحلها نیاز به کارکنان و متخصصان بیشتر و اختصاص منابع اضافی را از بین میبرند. راهحل مدیریتشده EDR معمولاً بهعنوان یک سرویس ارائه میشود و ارائهدهنده آن، علاوه بر مدیریت زیرساخت EDR، در پایش، تجزیهوتحلیل و پاسخ مستمر به شما یاری میرساند.
یکی از مزایای اصلی راهحل مدیریتشده EDR، توانایی سپارش مدیریت راهحل به تیمی از کارشناسان امنیتی است. هکرها فقط در ساعات اداری فعالیت نمیکنند؛ بنابراین این روش به شما پوشش ۲۴ ساعته ارائه میدهد. تیم امنیتی به جز کمک به مدیریت روزانه مانند هشدار، تحقیق درباره تهدید و پاسخ به حادثه، دانش فنی لازم را برای بررسی فعالیتهای مشکوک و ارائه راهنمایی برای مقابله با تهدید را بهصورت آنی دارند. به این ترتیب، میتوانید از طریق برونسپاری به تخصص آنها دسترسی مستقیم داشته باشید.
درباره Huntress Managed EDR
راهحل مدیریتشده تشخیص و پاسخ اندپوینت هانترس، شامل قابلیتهای تجزیه و تحلیل پیشرفته با تأیید تیمی از تحلیلگران است که به کاهش هشدارهای کاذب و اولویتبندی مهمترین هشدارها کمک میکند. تیمهای امنیتی شما با کمک آن میتوانند تهدیدها را بهشکل مؤثرتری شناسایی کرده و به آنها پاسخ دهند و نگران ازدستدادن تهدیدها بهخاطر وجود هشدارهای مزاحم نباشند.
این راهحل هدفمند روش مؤثر و کارآمدی را برای شناسایی و پاسخ به تهدیدات برای کسبوکارها فراهم میکند و چالشها و مشکلات رایج مرتبط با راهحلهای مدیریتنشده EDR را نیز مرتفع میسازد.
مرکز عملیات امنیتی (SOC) هانترس بهصورت شبانهروزی و هر روز هفته از این EDR پشتیبانی میکند. با ترکیب فناوری شناسایی گسترده با کارشناسان واقعی امنیت سایبری، این راهحل به کشف، جداسازی و مهار تهدیداتی که کسبوکار شما را هدف قرار میدهند کمک میکند. از همه بهتر اینکه، تمامی این کارها را بدون تحمیل هزینههای گزاف و فشارکاری برای کارکنان انجام میدهد.
شرکت سازنده هانترس بر این باور است که راهحلهای امنیت سایبری باید بزرگترین موانع کسبوکار را کاهش دهند؛ نه اینکه خودشان موانع بیشتری ایجاد کنند. به همین دلیل، Huntress Managed EDR با در نظر گرفتن نیازها و چالشهای منحصربهفرد کسبوکار شما طراحی شده است.
منبع: TheHackerNews
