EDR

به دنبال راهکار EDR هستید؟ کدام راهکار EDR برای کسب و کار شما مناسب است؟

مروزه بسیاری از شرکت‌ها در خصوص راهکار EDR فکر می‌کنند تا از کسب و کار خود در مقابل تهدیدات محافظت کنند. اما کدام راهکار مناسب کسب و کار شماست؟

هر کسب و کاری بر اساس نوع خود در مقابل یک اتفاق امنیتی یکسان ممکن است واکنش متفاوتی داشته باشد در نتیجه آمادگی و برنامه ریزی برای پاسخ دهی به رخدادهای امنیتی و انتخاب ابزارهای مناسب و پیاده سازی آن ها، یک مسیر طولانی برای تقویت لایه‌های دفاعی یک سازمان است. انتخاب درست ترین راهکار که شما و کسب و کارتان را در مقابل این تهدیدات محافظت کند، یک گام مهم به شمار می‌آید.

Endpoint Protection Platform یا Endpoint Detection & Response
آیا همیشه از Endpoint Security برای محافظت از کسب و کارتان استفاده کرده اید؟‌ آیا ممکن است در بین لایه‌های دفاعی که در نظر گرفته‌اید فواصلی موجود داشته باشد تا به آن‌ها رسیدگی کنید؟

امروزه راهکارهای Endpoint Protection Platform (EPP) که توسط تولیدکنندگان برتر امنیت سایبری ارائه می شوند،‌ توانایی توقف اکثر بدافزارها و تهدیدات متنوع را فراهم می‌کنند. هوش مصنوعی، یادگیری ماشین و رفتارشناسی باعث شده تا آن‌ها نسبت به گذشته عملکرد بهتری داشته باشند.

شناسایی پیش از اجرا (Pre-Execution)، جلوگیری از تهدیدات در زمان اجرا (On-execution) و حتی توقف آن‌ها پس از اجرا (Post-Execution) از قابلیت های متداول راهکارهای EPP امروز هستند. همچنین نرخ شناسایی اشتباه پایین، سرعت و دقت بالا در شناسایی نیز از قابلیت های EPPهای امروز به شمار می‌آیند. اما EPP به عنوان یک دسته‌بندی محصول یک سری محدودیت‌هایی را به همراه دارد که هر شرکت امنیتی باید در نظر داشته باشد.

چه زمانی Endpoint Protection ممکن است با محدودیت مواجه شود؟
شناسایی و توقف حملات در زمان ابتدایی وقوع آن‌ها به عنوان یک ایده‌آل برای هر تیم امنیتی است. اما همیشه جلوگیری از تهدیدات ممکن است به صورت ۱۰۰درصد اتفاق نیافتد. حملات بدون فایل (File-less Attacks) و حملات مبتنی بر مرورگرهای وب، بدون وجود هیچ فایل مخربی شروع به اقدامات خود کرده و حملات پیچیده و چندمرحله‌ای را انجام داده که به راحتی توسط راهکارهای EPP قابل شناسایی و جلوگیری نیستند. اما این محدودیت های EPPها چیست؟ به برخی از این محدودیت‌ها در زیر اشاره شده است:

خیلی کم و خیلی دیر
شناسایی توسط EPPها ممکن است زمانی رخ دهد که بدافزارها به قسمتی با به طور کامل به هدف خود دست یافته و سیستم‌های هدف خود را تحت تاثیر قرار داده باشند و فقط بخشی از جنبه های حمله متوقف شود.

عدم ارتباط بین رخدادها

بسیاری از رخدادهایی که توسط EPPها تولید می‌شود، معمولا ارتباط معنایی با یکدیگر نداشته و تحلیگران امنیت اطلاعات امکان بررسی زنجیره یک حمله و دیدن رخدادهای مرتبط با هم را ندارند.

EDRها دیگر یک راهکار لاکچری نیستند. امروزه یک نیاز هستند!

EPPها برای شناسایی بدافزارها و تهدیدات معمولی و روزانه مناسب و لازم هستند. اما برای شناسایی و محافظت در مقابل حملات پیشرفته، پیچیده و هدفمند کافی نیستند. اگر شما یک سری دارایی‌ها، مشتریان و اطلاعات باارزش دارید، به صورت بالقوه در ریسک بوده و EDR برای شما یک ضرورت است و به عنوان یک راهکار لاکچری در نظر گرفته نمی‌شود!

ناکافی برای محافظت در مقابل تهدیدات پیشرفته

در بسیاری از مواقع EPPها برای شناسایی تهدیدات پیشرفته که عموما از طریق یک رفتار نرمال فاز ابتدایی حمله را آغاز می‌کنند، ناکافی هستند. رفتارهایی مانند باز شدن یک سند، شروع یک ارتباط شبکه‌ای به صورت ریموت، دانلود از اینترنت و …. اما ممکن است رفتار مخرب در زمان آینده بروز کرده و فازهای بعدی اتفاق بیافتد.

کمبود ایجاد رخدادهای ضروری و قابلیت‌های پاسخ‌دهی

EPPها رخدادهای زیادی را تولید می‌کنند، اما این رخداد‌ها همه قسمت‌های یک حمله را شامل نمی‌شوند. اگرچه که این ابزار رخداد‌هایی را برای اعمالی که متوقف کرده است تولید می‌کند، اما ممکن است برای بررسی و تحقیقات بیشتر در خصوص یک حمله، نیاز به اقداماتی به صورت دستی وجود داشته باشد تا عملیات مخرب به صورت کامل شناسایی شود. اما واقعا از کجا برای این تحقیق باید شروع کرد؟

پاسخ دهی به حملات زمانی که شناسایی می‌شوند

راهکارهای EPP معمولا رخدادهای کمی در خصوص فازهای ابتدایی حملات تولید می کنند و اطلاعات کمی در خصوص آن‌ها ارائه می‌دهند. یک کاربر ممکن است یک رفتار نامتعارف در کامپیوتر،‌ ترافیک شبکه یا … را مشاهده کرده ولی جزییات بیشتری در خصوص این مورد را، برای بررسی بیشتر، در احتیار نداشته باشد.

عدم توانایی در شناسایی دلایل اصلی و جلوگیری از اتفاق مجدد حملات

بله، راهکارهای EPP شما یک سری چیزها را متوقف می‌کند. آیا می‌توان مطمئن شد که کل حم یا فقط یک بخشی از آن متوقف شده است؟ آیا بقیه قسمت‌های حمله فرار کرده و موفق شد؟ کدام قسمت نقطه ورود است؟ از کدام قسمت وارد شد؟ جطور این نقاظ را محافظت کرده و جلوی چنین تهدیداتی را بگیریم؟ این‌ها سوالاتی هستند که راهکارهای EDR برای آن‌ها پاسخهای مناسبی ارائه می‌دهند.

هیج دیدی نسبت به Technique,Tactic,Procedure (TTP)های مربوطه و Indicator of Compromise (IoC)های یک حمله ارائه نمی‌دهند
آیا این رخداد فقط برای همین یک بار است یا به صورت سیستماتیک است و بر روی سایر دستگاه‌ها نیز در حال وقوع است؟ آیا حملات مشابهی در زمان های دیگر رخ داده است؟ آیا این حمله در سایر دستگاه‌های سازمانی نیز مشاهده شده و وجود دارد؟ آیا از نشانه‌‌های یافته شده در حلمه می‌توان بر روی تمام دستگاه‌های سازمان جستو انجام داد؟

عدم وجود توصیه‌ها برای بهبود استقرار سیستم‌های امنیتی

چگونه وضعیت امنیتی خود را بهبود و لایه‌های امنیتی خود را در مقابل نفوذ مجرمان سایبری مقاوم می‌کنید. آیا تنظیمات سیستم‌عامل، نرم‌افزارها و فاکتورهای رفتاری افراد که ریسک را به سازمان اضافه ‌می‌کنند، صحیح بوده و به درستی بررسی می‌شود؟ اگر این ریسک‌ها شناسایی شد، چگونه خود را در مقابل آنها محاظت می‌کنیم؟

مطمئنا در یک راهکار EDR در کنار یک راهکار EPP امکانات بینظیری را برای مواجهه با تهدیدات سایبری در اختیار تیم‌های امنیتی می‌گذارد. در این زمینه راه‌کارهای ULTRA SECURITY بیت‌دیفندر به عنوان یک راهکار یکپارچه این قابلیت‌ها را ارائه می‌دهند اما برای سازمان‌ها و کسب و کارهایی که فقط و فقط نیاز به بهرهمندی از قابلیت‌های EDR هستند، این راهکار به صورت جداگانه و در کنار سایر محصولات امنیتی ممکن بوده و شما را یک قدم به بهبود وضعیت امنیتی‌تان نزدیک‌تر می‌کند.

0 پاسخ

دیدگاه خود را ثبت کنید

تمایل دارید در گفتگوها شرکت کنید؟
در گفتگو ها شرکت کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *