امروزه بسیاری از شرکتها در خصوص راهکار EDR فکر میکنند تا از کسب و کار خود در مقابل تهدیدات محافظت کنند. اما کدام راهکار مناسب کسب و کار شماست؟
هر کسب و کاری بر اساس نوع خود در مقابل یک اتفاق امنیتی یکسان ممکن است واکنش متفاوتی داشته باشد در نتیجه آمادگی و برنامه ریزی برای پاسخ دهی به رخدادهای امنیتی و انتخاب ابزارهای مناسب و پیاده سازی آن ها، یک مسیر طولانی برای تقویت لایههای دفاعی یک سازمان است. انتخاب درست ترین راهکار که شما و کسب و کارتان را در مقابل این تهدیدات محافظت کند، یک گام مهم به شمار میآید.
Endpoint Protection Platform یا Endpoint Detection & Response
آیا همیشه از Endpoint Security برای محافظت از کسب و کارتان استفاده کرده اید؟ آیا ممکن است در بین لایههای دفاعی که در نظر گرفتهاید فواصلی موجود داشته باشد تا به آنها رسیدگی کنید؟
امروزه راهکارهای Endpoint Protection Platform (EPP) که توسط تولیدکنندگان برتر امنیت سایبری ارائه می شوند، توانایی توقف اکثر بدافزارها و تهدیدات متنوع را فراهم میکنند. هوش مصنوعی، یادگیری ماشین و رفتارشناسی باعث شده تا آنها نسبت به گذشته عملکرد بهتری داشته باشند.
شناسایی پیش از اجرا (Pre-Execution)، جلوگیری از تهدیدات در زمان اجرا (On-execution) و حتی توقف آنها پس از اجرا (Post-Execution) از قابلیت های متداول راهکارهای EPP امروز هستند. همچنین نرخ شناسایی اشتباه پایین، سرعت و دقت بالا در شناسایی نیز از قابلیت های EPPهای امروز به شمار میآیند. اما EPP به عنوان یک دستهبندی محصول یک سری محدودیتهایی را به همراه دارد که هر شرکت امنیتی باید در نظر داشته باشد.
چه زمانی Endpoint Protection ممکن است با محدودیت مواجه شود؟
شناسایی و توقف حملات در زمان ابتدایی وقوع آنها به عنوان یک ایدهآل برای هر تیم امنیتی است. اما همیشه جلوگیری از تهدیدات ممکن است به صورت ۱۰۰درصد اتفاق نیافتد. حملات بدون فایل (File-less Attacks) و حملات مبتنی بر مرورگرهای وب، بدون وجود هیچ فایل مخربی شروع به اقدامات خود کرده و حملات پیچیده و چندمرحلهای را انجام داده که به راحتی توسط راهکارهای EPP قابل شناسایی و جلوگیری نیستند. اما این محدودیت های EPPها چیست؟ به برخی از این محدودیتها در زیر اشاره شده است:
خیلی کم و خیلی دیر
شناسایی توسط EPPها ممکن است زمانی رخ دهد که بدافزارها به قسمتی با به طور کامل به هدف خود دست یافته و سیستمهای هدف خود را تحت تاثیر قرار داده باشند و فقط بخشی از جنبه های حمله متوقف شود.
عدم ارتباط بین رخدادها
بسیاری از رخدادهایی که توسط EPPها تولید میشود، معمولا ارتباط معنایی با یکدیگر نداشته و تحلیگران امنیت اطلاعات امکان بررسی زنجیره یک حمله و دیدن رخدادهای مرتبط با هم را ندارند.
EDRها دیگر یک راهکار لاکچری نیستند. امروزه یک نیاز هستند!
EPPها برای شناسایی بدافزارها و تهدیدات معمولی و روزانه مناسب و لازم هستند. اما برای شناسایی و محافظت در مقابل حملات پیشرفته، پیچیده و هدفمند کافی نیستند. اگر شما یک سری داراییها، مشتریان و اطلاعات باارزش دارید، به صورت بالقوه در ریسک بوده و EDR برای شما یک ضرورت است و به عنوان یک راهکار لاکچری در نظر گرفته نمیشود!
ناکافی برای محافظت در مقابل تهدیدات پیشرفته
در بسیاری از مواقع EPPها برای شناسایی تهدیدات پیشرفته که عموما از طریق یک رفتار نرمال فاز ابتدایی حمله را آغاز میکنند، ناکافی هستند. رفتارهایی مانند باز شدن یک سند، شروع یک ارتباط شبکهای به صورت ریموت، دانلود از اینترنت و …. اما ممکن است رفتار مخرب در زمان آینده بروز کرده و فازهای بعدی اتفاق بیافتد.
کمبود ایجاد رخدادهای ضروری و قابلیتهای پاسخدهی
EPPها رخدادهای زیادی را تولید میکنند، اما این رخدادها همه قسمتهای یک حمله را شامل نمیشوند. اگرچه که این ابزار رخدادهایی را برای اعمالی که متوقف کرده است تولید میکند، اما ممکن است برای بررسی و تحقیقات بیشتر در خصوص یک حمله، نیاز به اقداماتی به صورت دستی وجود داشته باشد تا عملیات مخرب به صورت کامل شناسایی شود. اما واقعا از کجا برای این تحقیق باید شروع کرد؟
پاسخ دهی به حملات زمانی که شناسایی میشوند
راهکارهای EPP معمولا رخدادهای کمی در خصوص فازهای ابتدایی حملات تولید می کنند و اطلاعات کمی در خصوص آنها ارائه میدهند. یک کاربر ممکن است یک رفتار نامتعارف در کامپیوتر، ترافیک شبکه یا … را مشاهده کرده ولی جزییات بیشتری در خصوص این مورد را، برای بررسی بیشتر، در احتیار نداشته باشد.
عدم توانایی در شناسایی دلایل اصلی و جلوگیری از اتفاق مجدد حملات
بله، راهکارهای EPP شما یک سری چیزها را متوقف میکند. آیا میتوان مطمئن شد که کل حم یا فقط یک بخشی از آن متوقف شده است؟ آیا بقیه قسمتهای حمله فرار کرده و موفق شد؟ کدام قسمت نقطه ورود است؟ از کدام قسمت وارد شد؟ جطور این نقاظ را محافظت کرده و جلوی چنین تهدیداتی را بگیریم؟ اینها سوالاتی هستند که راهکارهای EDR برای آنها پاسخهای مناسبی ارائه میدهند.
هیج دیدی نسبت به Technique,Tactic,Procedure (TTP)های مربوطه و Indicator of Compromise (IoC)های یک حمله ارائه نمیدهند
آیا این رخداد فقط برای همین یک بار است یا به صورت سیستماتیک است و بر روی سایر دستگاهها نیز در حال وقوع است؟ آیا حملات مشابهی در زمان های دیگر رخ داده است؟ آیا این حمله در سایر دستگاههای سازمانی نیز مشاهده شده و وجود دارد؟ آیا از نشانههای یافته شده در حلمه میتوان بر روی تمام دستگاههای سازمان جستو انجام داد؟
عدم وجود توصیهها برای بهبود استقرار سیستمهای امنیتی
چگونه وضعیت امنیتی خود را بهبود و لایههای امنیتی خود را در مقابل نفوذ مجرمان سایبری مقاوم میکنید. آیا تنظیمات سیستمعامل، نرمافزارها و فاکتورهای رفتاری افراد که ریسک را به سازمان اضافه میکنند، صحیح بوده و به درستی بررسی میشود؟ اگر این ریسکها شناسایی شد، چگونه خود را در مقابل آنها محاظت میکنیم؟
مطمئنا در یک راهکار EDR در کنار یک راهکار EPP امکانات بینظیری را برای مواجهه با تهدیدات سایبری در اختیار تیمهای امنیتی میگذارد. در این زمینه راهکارهای ULTRA SECURITY بیتدیفندر به عنوان یک راهکار یکپارچه این قابلیتها را ارائه میدهند اما برای سازمانها و کسب و کارهایی که فقط و فقط نیاز به بهرهمندی از قابلیتهای EDR هستند، این راهکار به صورت جداگانه و در کنار سایر محصولات امنیتی ممکن بوده و شما را یک قدم به بهبود وضعیت امنیتیتان نزدیکتر میکند.
کدام آنتی ویروس ایرانی EDR دارد؟
اگر به دنبال یک سامانه کشف تهدیدات EDR بومی هستید که علاوه بر کارایی مناسب از قیمت مناسبی هم برخوردار باشد، آنتی ویروس پادویش گزینه مناسبی می باشد. آنتی ویروس پادویش نسخه EDR با امکانات زیاد در سازمان های بزرگی در کشور پیاده سازی شده است.