مقاله

EDR چیست؟ هر آنچه که باید درباره‌ی EDR بدانید.

2483599 - it office

اندپوینت‌ها از اهداف محبوب هکرها هستند. چون زمینه‌ی آسیب‌پذیری امنیت را فراهم می‌کنند و حفاظت از آن‌ها مشکل است. طبق گزارش‌ها، بدافزار معروف Wannacry در سال 2017، بر بیشتر از 230 هزار اندپوینت سراسر جهان اثر گذاشت.

ردیابی و حفاظت اندپوینت یا همان EDR چیست؟

پلتفرم‌های EDR در واقع نوعی رویکرد هستند برای دیده‌بانی کردن کامپیوترهای متصل به یک اینترنت (نه خود اینترنت) جهت ردیابی هر اقدام و فعالیت مشکوک.

رویکردهای EDR – Endpoint Detection and Response، اختراع Anton Chuvakin تحلیلگر Gartner در ۲۰۱۳، که روی دیوایس‌های End-user (مانند لپ‌تاپ‌ها و تلفن‌های همراه) تمرکز دارند، هر نوع رفتار مشکوک مثل ورود بدافزارها و حمله‌های سایبری را شناسایی می‌کنند.

 

چرا EDR اهمیت دارد؟

همانطور که میدانید، هر دیوایس متصل به اینترنت یک هدف برای حمله‌های سایبری به حساب می‌آید. با افزایش BYOD (Bring your own devices)، تعداد حمله به موبایل‌ها و تکنیک‌های پیشرفته‌ی هک کردن هم بیشتر شده است.

EDR با دیده‌بانی دیوایس‌ها به شما کمک می‌کند نقاط اتصال به دستگاه‌تان ایمن شوند و برتری آن نسبت به آنتی‌ویروس‌ها این است که آنتی‌ویروس‌ها توانایی ردیابی تهدیدهای جدید و پیشرفته‌تر را ندارند ولی EDR می‌تواند.

EDR همچنین قابلیت تشخیص و دفاع مقابل APT – Advanced Persistent Threats را که از تکنیک‌های هک بدون بدافزار و با استفاده از ضعف‌های سیستم به نقطه‌ی اتصال دسترسی پیدا می‌کند داراست.

آنتی‌ویروس‌های قدیمی تنها از طریق مقایسه‌ی علائم قادر به تشخیص بدافزارها هستند؛ و تشخیص اینکه یک هکر به کامپیوتر دسترسی پیدا کرده است یا نه، از طریق دیده‌بانی کردن، برایش ناممکن است.

البته باید بدانید که کاربرد EDR تنها این نیست. از EDR ورژن مخصوص مصرف‌کننده‌ها نیز وجود دارد. در واقع بین نسخه‌ی مخصوص مصرف‌کننده و شرکت‌ها تفاوت‌هایی وجود دارد.

 

کنترل از راه دور و حافظه‌ی مرکزی

  • شرکت ها معمولا گزینه های مدیریت از راه دور را ارائه می دهند تا مدیران امنیتی بتوانند تنظیمات مناسب را پیکربندی کنند. هر اندپوینت اطلاعات حسابرسی را به یک حافظه مرکزی برای تجزیه و تحلیل ارسال می کند.
  • مصرف کنندگان نیازی به مدیریت متمرکز ندارند.

 

آپدیت‌های اتوماتیک مقابل پچ‌های توزیع شده

  • شرکت‌ها باید به فرایندهای تغییر مدیریتی‌ای بپردازند، که نیازمند سازمانی است که در ویندوزها توزیع پچ می کند.
  • مصرف کنندگان معمولا EDR را به صورت خودکار به روز رسانی می‌کنند.

 

۹ اصل رویکردهای EDR

رویکردهای ردیابی و حفاظت اندپوینت‌ها، می‌توانند محدوده‌ای گسترده از ویژگی‌های مفید داشته باشند. اما این نه ویژگی که در ادامه معرفی می‌کنیم، از مهمترین ویژگی‌های EDR هستند.

EDR

  • گزارش دادن کنسول: یک کنسول مبتنی بر کارایی که دید کلی را در وضعیت امنیتی اندپوینت سازمان نشان می دهد.
  • پاسخ پیشرفته EDR: توانایی تجزیه و تحلیل و پاسخ پیشرفته راه حل‌های EDR، از جمله اتوماسیون و جزئیات قانونی در مورد حوادث امنیتی.
  • نقش اصلی EDR: قابلیت شناسایی و گزارش تهدیدها و آسیب پذیری‌های امنیتی اندپوینت.
  • EPP Suite: قابلیت‌های عمومی که نسل قبل نرم‌افزار آن‌ها را دارا بود؛ مثل آنتی‌بدافزار، آنتی فیشینگ و غیرقابل نفوذ بودن.
  • پشتیبانی جغرافیایی: قابلیت فروش EDR برای حمایت از یک شرکت جهانی. (چون امنیت اطلاعات حیاتی است)
  • خدمات مدیریت: توانایی EDR برای انتقال اطلاعات به Managed Security Serviceیا  Managed Detection and Response برای افزایش قابلیت های تیم امنیتی.
  • پشتیبانی سیستم عامل: برای اینکه EDR موثر واقع شود، باید تمامی سیستم عامل‌های مورد استفاده در شرکت را پشتیبانی کند.
  • پیشگیری: شناسایی تهدید خیلی ساده نیست. EDR موثر باید اقدامات پیشگیرانه‌ای را نیز انجام دهد تا به کاهش خطر کمک کرده و به تیم فرصت عمل کردن نیز بدهد.
  • یکپارچگی شخص ثالث: استراتژی امنیت اطلاعات اغلب نیاز به ادغام با چندین محصول دارد: EDR ها باید با API ها ادغام شده و با راه حل‌های دیگر یک امنیت چند لایه‌ای و قوی‌تر ایجاد کنند.

 

امنیت اندپوینت یا آنتی‌ویروس؟

همانطور که گفته شد، آنتی ویروس ها جزئی از رویکردهای امنیتی EDR‌ها هستند. آنتی‌ویروس‌ها برای شناسایی یک ویروس نیاز به یک علامتی دارند که قبلاً آن ‌را داشته اند؛ که از طریق تطابق تشخیص دهند ویروس است یا نه. اما نسل بعدی EDRها قابلیت‌های بسیار پیشرفته برای شناسایی و پیشگیری تهدیدهای جدید، جهت افزایش بسیار مطلوب‌تر سطح امنیتی کاربران ارائه خواهد داد.

 

قابلیت‌های دیگر EDR:

  • از بین بردن بدافزارها براساس تطابق و تحلیل علامت‌های یافت شده.
  • ضد جاسوس‌افزار
  • مجهز به فایروال
  • ردیابی هر اقدامی جهت نفوذ و مجهز به سیستم‌های هشدار دهنده
  • کنترل برنامه و مدیریت کاربر
  • کنترل داده ها و خصوصاً دستگاه‌های قابل حمل
  • رمزگذاری کامل دیسک
  • پیشگیری از افشای اطلاعات
  • Whitelisting

مادامی که EDR از اندپوینت‌های شبکه حفاظت می‌کند، آزادی عمل کامل ندارد. مثلاً در دیده‌بانی فعالیت‌های سیستم، ردیابی و تشخیص بدافزارها و حملات سایبری محدودیت دارد.

بعضی از رفتارهایی که ممکن است برای اندپوینت بدون مشکل به نظر برسند (مثل لاگ‌این شدن با پسورد درست اگر آن شخص خود اطلاعی نداشته باشد) دلیل بر این نیستند که همان موقع اعلام خطر کند. اما اگر لاگ‌این در مدت زمان کوتاهی از جاهای دور از هم اتفاق افتد، رفتاری شک برانگیر به حساب می‌آید.

 

گزارش گارتنر در خصوص سیستم های EDR

 

مطالب مرتبط:

 

 


EDR چیست؟ هر آنچه که باید درباره‌ی EDR بدانید.


پانته‌آ ستوده

دیدگاهتان را بنویسید