EDR چیست؟ تشخیص و پاسخ نقطه پایانی (EDR) در امنیت شبکه

سامانه تشخیص و پاسخ نقطه پایانی (EDR) یکی از راهکارهای ضروری برای امنیت شبکه است که هر سازمانی به آن نیاز دارد. در این مقاله، هر چیزی را که لازم باشد تا در رابطه با EDR بدانید، برای شما مخاطبان گرامی مجله امنیت سایبری سایبرنو توضیح خواهیم داد. با ما همراه باشید.

آنچه در ادامه می‌خوانید:

EDR چیست؟

 EDR چطور کار می‌کند؟

سامانه شناسایی و پاسخ نقطه پایانی (EDR) چه کارهایی انجام می‌دهد؟

چرا باید از EDR استفاده کنید؟

EDR چیست؟

سامانه تشخیص و پاسخ نقطه پایانی (EDR) که سامانه تشخیص و شناسایی تهدید نقطه پایانی (EDTR) نیز نامیده می‌شود، نوعی راهکار امنیت شبکه است که به طور پیوسته، دستگاه‌های نقطه پایانی (endpoints) در شبکه را تحت نظر دارد تا هر نوع تهدیدی را در این دستگاه‌ها شناسایی کند و به آن‌ها پاسخ دهد.

در واقع، می‌توان EDR را به عنوان سامانه‌ای تعریف کرد که رفتارهای نقاط پایانی شبکه را رصد و ثبت می‌کند و با استفاده از تکنیک‌های تحلیل داده، به شناسایی فعالیت‌های مشکوک احتمالی می‌پردازد، تهدیدات را خنثی می‌کند و راه حل‌هایی برای بازیابی سیستم‌های آلوده، پیشنهاد می‌دهد.

 EDR چطور کار می‌کند؟

راهکار EDR می‌تواند به صورت درون سازمانی (on-premise) یا به صورت ابری، نصب و به شبکه سازمان متصل شود. راهکارهای EDR، فعالیت‌ها و رویدادهایی را که در نقاط پایانی روی می‌دهند، ثبت و ضبط می‌کنند و به تیم‌های امنیتی این امکان را می‌دهند تا نقاط پایانی شبکه را تحت نظر داشته باشند تا هر رویداد امنیتی را به موقع شناسایی و خنثی‌سازی کنند. هر راهکار EDR باید بتواند رصد پیوسته و جامع نقاط پایانی شبکه و رویدادهای آن‌ها را در لحظه (به صورت real-time) برای تیم امنیتی امکان‌پذیر سازد.

راهکارهای EDR باید دارای قابلیت‌های پیشرفته شناسایی تهدیدات و پاسخ‌دهی به آن‌ها شامل «تریاژ هشدار بررسی و جستجوی داده‌های رویداد»، «تأیید فعالیت مشکوک»، «شکار تهدید» و «شناسایی و شکار فعالیت متخاصم» باشند.

مراحل کار EDR به شرح زیر است:

۱- رصد پیوسته نقاط پایانی: وقتی یک نقطه پایانی به شبکه اضافه می‌شود، سامانه EDR، نرم‌افزاری روی آن دستگاه نصب می‌کند تا بتواند به طور کامل، آن نقطه پایانی را تحت رصد داشته باشد. دستگاه‌هایی که این نرم‌افزار روی آن‌ها نصب باشد، «دستگاه‌های مدیریت‌شده» (managed devices) نامیده می‌شوند. این نرم‌افزار، به طور پیوسته، تمامی فعالیت‌های روی نقطه پایانی را لاگ می‌کند.

۲- گردآوری لاگ‌ها: سامانه EDR، به طور پیوسته، لاگ‌های دستگاه‌های مدیریت‌شده را گردآوری می‌کند.

۳- تحلیل و انطباق‌دهی داده‌ها: سامانه EDR دارای قابلیت‌هایی برای تحلیل رفتاری بر اساس لاگ‌های گردآوری‌شده از نقاط پایانی است که امکان شناسایی شاخص‌های نفوذ (IOCها) را فراهم می‌آورد. معمولا، سامانه‌های EDR از راهکارهای هوش مصنوعی و یادگیری ماشین برای تحلیل رفتاری براساس «اطلاعات تهدید جهانی» (global threat intelligence) مثل MITRE ATTACK استفاده می‌کنند.

۴- شناسایی و خنثی‌سازی تهدیدات: سامانه EDR پس از شناسایی هر تهدیدی، نه تنها هشدارهایی را به تیم امنیتی ارسال می‌کند، بلکه به صورت خودکار، اقداماتی برای خنثی‌سازی یا محدودسازی تهدید در نقطه پایانی انجام می‌دهد. بعضی تهدیدات شناسایی شده که نیازی به بررسی بیشتر ندارند، به صورت خودکار خنثی‌سازی می‌شوند اما تهدیداتی که سامانه EDR نسبت به آن‌ها مطمئن نیست، تا بررسی بیشتر توسط تیم امنیتی، در نقطه پایانی، قرنطینه می‌شوند.

۵- ذخیره‌سازی داده‌ها برای استفاده از آن‌ها در آینده: سامانه‌های EDR، داده‌های فارنزیک را ذخیره می‌کنند تا در آینده از آن‌ها برای شناسایی و پاسخ‌دهی سریع‌تر به تهدیدات استفاده کنند.

سامانه شناسایی و پاسخ نقطه پایانی (EDR) چه کارهایی انجام می‌دهد؟

اما نقش ERD چیست؟ فناوری EDR رصد جامع تمامی نقاط پایانی را با بکارگیری تحلیل رفتاری، میلیون‌ها رویداد را که به صورت همزمان در نقاط پایانی متصل به شبکه در حال رخ دادن هستند، تحلیل می‌کند و به صورت خودکار، فعالیت‌های مشکوک را شناسایی می‌کند. در حالی که پلتفرم‌های حفاظت نقطه پایانی (EPPها) مثل آنتی ویروس‌هایی که روی نقاط پایانی (کامپیوترهای متصل به شبکه) نصب می‌شوند، خط اول دفاع در مقابل بدافزارها و حملات سایبری محسوب می‌شوند، سامانه‌های EDR می‌توانند نقش لایه دومی را ایفا کنند تا در صورت شکست EPPها، همچنان شانس شناسایی و پاسخ به تهدیدات وجود داشته باشد.

سامانه‌های EDR می‌توانند تهدیدات ناشناخته را با تحلیل رفتارهای مشکوک شکار کنند. این سامانه‌ها، نظارت و خودکارسازی لازم را برای پاسخ به تهدیدات با سرعت بالا و جلوگیری از انتشار تهدیدات در شبکه را فراهم می‌آورند. در کل، می‌توان گفت که سامانه‌های EDR کارهای زیر را انجام می‌دهند:

• رصد نقاط پایانی و ثبت تمامی فعالیت‌ها و رویدادها در دستگاه‌های نقطه پایانی متصل به شبکه برای شناسایی فعالیت‌های مشکوک در لحظه
• تحلیل داده‌های ثبت شده برای شناسایی و خنثی‌سازی تهدیدات
• ارسال هشدارهای اولویت‌بندی شده به تیم امنیتی
• فراهم آوردن امکان رصد کامل نقاط پایانی برای تیم امنیتی
• خنثی‌سازی یا محدودسازی تهدیدات احتمالی برای جلوگیری از انتشار آن‌ها در شبکه

چرا باید از EDR استفاده کنید؟

سامانه‌های EDR، راهکار حفاظتی مهمی برای سازمان‌ها محسوب می‌شوند. آنتی ویروس‌ها به تنهایی نمی‌توانند حفاظت بالایی در مقابل حملات سایبری و تهدیدات بدافزاری علیه شبکه سازمان شما داشته باشند و مجرمین سایبری و هکرها نیز به طور پیوسته در حال توسعه تاکتیک‌هایی برای دور زدن لایه‌های دفاعی سازمان‌ها هستند.

بنابراین، تیم امنیتی سازمان شما نیازمند ابزارهایی قوی برای شکار آن درصد کوچکی از تهدیدات که از سازمان‌های دفاعی اولیه عبور می‌کنند و می‌توانند خسارت‌های سنگینی ایجاد کنند، هستند.

تهدیداتی مثل حمله دیداس، فیشینگ و باج‌افزارها می‌توانند برای سازمان شما فاجعه‌بار باشند و خسارت‌های مادی و معنوی سنگینی برجای بگذارند. هکرها روز به روز در استفاده از این ابزارها برای دور زدن سامانه‌های امنیتی سنتی مثل آنتی ویروس‌ها، توانمندتر می‌شوند بنابراین، ضرورت دارد که سازمان‌ها نیز روی توسعه ابزارهای نوینی مثل سامانه‌های EDR سرمایه‌گذاری کنند تا توان مقابله با این تهدیدات را داشته باشند.

با توجه به اینکه دورکاری در خیلی از سازمان‌ها رواج یافته و روز به روز نیز بیشتر می‌شود، استقرار سامانه‌های EDR روی شبکه‌های داخلی سازمان‌ها، ضرورت بیشتری پیدا می‌کند. این روزها، پرسنل سازمان‌ها از دستگاه‌های شخصی و بعضا ناامن خود مثل گوشی‌های موبایل، لپ تاپ‌ها و تبلت‌ها برای اتصال به شبکه‌های خصوصی سازمان خود استفاده می‌کنند و سطح حمله را به طور قابل توجهی افزایش می‌دهند.

در چنین شرایطی، نصب سامانه EDR روی شبکه سازمان برای نظارت بر نقاط پایانی و شناسایی و خنثی‌سازی هرگونه تهدیدی در هر کدام از این دستگاه‌ها، ضرورتی انکارناپذیر برای تأمین امنیت سایبری سازمان است.