سایبرنو
سامانه تشخیص و پاسخ نقطه پایانی (EDR) یکی از راهکارهای ضروری برای امنیت شبکه است که هر سازمانی به آن نیاز دارد. در این مقاله، هر چیزی را که لازم باشد تا در رابطه با EDR بدانید، برای شما مخاطبان گرامی مجله امنیت سایبری سایبرنو توضیح خواهیم داد. با ما همراه باشید.
آنچه در ادامه میخوانید:
سامانه شناسایی و پاسخ نقطه پایانی (EDR) چه کارهایی انجام میدهد؟
EDR چیست؟
سامانه تشخیص و پاسخ نقطه پایانی (EDR) که سامانه تشخیص و شناسایی تهدید نقطه پایانی (EDTR) نیز نامیده میشود، نوعی راهکار امنیت شبکه است که به طور پیوسته، دستگاههای نقطه پایانی (endpoints) در شبکه را تحت نظر دارد تا هر نوع تهدیدی را در این دستگاهها شناسایی کند و به آنها پاسخ دهد.
در واقع، میتوان EDR را به عنوان سامانهای تعریف کرد که رفتارهای نقاط پایانی شبکه را رصد و ثبت میکند و با استفاده از تکنیکهای تحلیل داده، به شناسایی فعالیتهای مشکوک احتمالی میپردازد، تهدیدات را خنثی میکند و راه حلهایی برای بازیابی سیستمهای آلوده، پیشنهاد میدهد.
EDR چطور کار میکند؟
راهکار EDR میتواند به صورت درون سازمانی (on-premise) یا به صورت ابری، نصب و به شبکه سازمان متصل شود. راهکارهای EDR، فعالیتها و رویدادهایی را که در نقاط پایانی روی میدهند، ثبت و ضبط میکنند و به تیمهای امنیتی این امکان را میدهند تا نقاط پایانی شبکه را تحت نظر داشته باشند تا هر رویداد امنیتی را به موقع شناسایی و خنثیسازی کنند. هر راهکار EDR باید بتواند رصد پیوسته و جامع نقاط پایانی شبکه و رویدادهای آنها را در لحظه (به صورت real-time) برای تیم امنیتی امکانپذیر سازد.
راهکارهای EDR باید دارای قابلیتهای پیشرفته شناسایی تهدیدات و پاسخدهی به آنها شامل «تریاژ هشدار بررسی و جستجوی دادههای رویداد»، «تأیید فعالیت مشکوک»، «شکار تهدید» و «شناسایی و شکار فعالیت متخاصم» باشند.
مراحل کار EDR به شرح زیر است:
۱- رصد پیوسته نقاط پایانی: وقتی یک نقطه پایانی به شبکه اضافه میشود، سامانه EDR، نرمافزاری روی آن دستگاه نصب میکند تا بتواند به طور کامل، آن نقطه پایانی را تحت رصد داشته باشد. دستگاههایی که این نرمافزار روی آنها نصب باشد، «دستگاههای مدیریتشده» (managed devices) نامیده میشوند. این نرمافزار، به طور پیوسته، تمامی فعالیتهای روی نقطه پایانی را لاگ میکند.
۲- گردآوری لاگها: سامانه EDR، به طور پیوسته، لاگهای دستگاههای مدیریتشده را گردآوری میکند.
۳- تحلیل و انطباقدهی دادهها: سامانه EDR دارای قابلیتهایی برای تحلیل رفتاری بر اساس لاگهای گردآوریشده از نقاط پایانی است که امکان شناسایی شاخصهای نفوذ (IOCها) را فراهم میآورد. معمولا، سامانههای EDR از راهکارهای هوش مصنوعی و یادگیری ماشین برای تحلیل رفتاری براساس «اطلاعات تهدید جهانی» (global threat intelligence) مثل MITRE ATTACK استفاده میکنند.
۴- شناسایی و خنثیسازی تهدیدات: سامانه EDR پس از شناسایی هر تهدیدی، نه تنها هشدارهایی را به تیم امنیتی ارسال میکند، بلکه به صورت خودکار، اقداماتی برای خنثیسازی یا محدودسازی تهدید در نقطه پایانی انجام میدهد. بعضی تهدیدات شناسایی شده که نیازی به بررسی بیشتر ندارند، به صورت خودکار خنثیسازی میشوند اما تهدیداتی که سامانه EDR نسبت به آنها مطمئن نیست، تا بررسی بیشتر توسط تیم امنیتی، در نقطه پایانی، قرنطینه میشوند.
۵- ذخیرهسازی دادهها برای استفاده از آنها در آینده: سامانههای EDR، دادههای فارنزیک را ذخیره میکنند تا در آینده از آنها برای شناسایی و پاسخدهی سریعتر به تهدیدات استفاده کنند.
سامانه شناسایی و پاسخ نقطه پایانی (EDR) چه کارهایی انجام میدهد؟
اما نقش ERD چیست؟ فناوری EDR رصد جامع تمامی نقاط پایانی را با بکارگیری تحلیل رفتاری، میلیونها رویداد را که به صورت همزمان در نقاط پایانی متصل به شبکه در حال رخ دادن هستند، تحلیل میکند و به صورت خودکار، فعالیتهای مشکوک را شناسایی میکند. در حالی که پلتفرمهای حفاظت نقطه پایانی (EPPها) مثل آنتی ویروسهایی که روی نقاط پایانی (کامپیوترهای متصل به شبکه) نصب میشوند، خط اول دفاع در مقابل بدافزارها و حملات سایبری محسوب میشوند، سامانههای EDR میتوانند نقش لایه دومی را ایفا کنند تا در صورت شکست EPPها، همچنان شانس شناسایی و پاسخ به تهدیدات وجود داشته باشد.
سامانههای EDR میتوانند تهدیدات ناشناخته را با تحلیل رفتارهای مشکوک شکار کنند. این سامانهها، نظارت و خودکارسازی لازم را برای پاسخ به تهدیدات با سرعت بالا و جلوگیری از انتشار تهدیدات در شبکه را فراهم میآورند. در کل، میتوان گفت که سامانههای EDR کارهای زیر را انجام میدهند:
- رصد نقاط پایانی و ثبت تمامی فعالیتها و رویدادها در دستگاههای نقطه پایانی متصل به شبکه برای شناسایی فعالیتهای مشکوک در لحظه
- تحلیل دادههای ثبت شده برای شناسایی و خنثیسازی تهدیدات
- ارسال هشدارهای اولویتبندی شده به تیم امنیتی
- فراهم آوردن امکان رصد کامل نقاط پایانی برای تیم امنیتی
- خنثیسازی یا محدودسازی تهدیدات احتمالی برای جلوگیری از انتشار آنها در شبکه
چرا باید از EDR استفاده کنید؟
سامانههای EDR، راهکار حفاظتی مهمی برای سازمانها محسوب میشوند. آنتی ویروسها به تنهایی نمیتوانند حفاظت بالایی در مقابل حملات سایبری و تهدیدات بدافزاری علیه شبکه سازمان شما داشته باشند و مجرمین سایبری و هکرها نیز به طور پیوسته در حال توسعه تاکتیکهایی برای دور زدن لایههای دفاعی سازمانها هستند.
بنابراین، تیم امنیتی سازمان شما نیازمند ابزارهایی قوی برای شکار آن درصد کوچکی از تهدیدات که از سازمانهای دفاعی اولیه عبور میکنند و میتوانند خسارتهای سنگینی ایجاد کنند، هستند.
تهدیداتی مثل حمله دیداس، فیشینگ و باجافزارها میتوانند برای سازمان شما فاجعهبار باشند و خسارتهای مادی و معنوی سنگینی برجای بگذارند. هکرها روز به روز در استفاده از این ابزارها برای دور زدن سامانههای امنیتی سنتی مثل آنتی ویروسها، توانمندتر میشوند بنابراین، ضرورت دارد که سازمانها نیز روی توسعه ابزارهای نوینی مثل سامانههای EDR سرمایهگذاری کنند تا توان مقابله با این تهدیدات را داشته باشند.
با توجه به اینکه دورکاری در خیلی از سازمانها رواج یافته و روز به روز نیز بیشتر میشود، استقرار سامانههای EDR روی شبکههای داخلی سازمانها، ضرورت بیشتری پیدا میکند. این روزها، پرسنل سازمانها از دستگاههای شخصی و بعضا ناامن خود مثل گوشیهای موبایل، لپ تاپها و تبلتها برای اتصال به شبکههای خصوصی سازمان خود استفاده میکنند و سطح حمله را به طور قابل توجهی افزایش میدهند.
در چنین شرایطی، نصب سامانه EDR روی شبکه سازمان برای نظارت بر نقاط پایانی و شناسایی و خنثیسازی هرگونه تهدیدی در هر کدام از این دستگاهها، ضرورتی انکارناپذیر برای تأمین امنیت سایبری سازمان است.
