EDR

آنتی ویروس یا EDR

آنتی ویروس یا EDR
(Endpoint Detection and Response)  EDR  یک جایگزین مدرن برای مجموعه های امنیتی آنتی ویروس است. برای چند دهه، سازمان‌ها و کسب‌وکارها به امید حل چالش‌های امنیت سازمانی، روی مجموعه‌های آنتی‌ویروس سرمایه‌گذاری کرده‌اند. اما همانطور که پیچیدگی و شیوع تهدیدات بدافزار در ده سال گذشته افزایش یافته است. کاستی های آنتی ویروسی که اکنون از آن به عنوان “میراث” یاد می شود بسیار معلوم شده است.
در پاسخ، برخی از فروشندگان دوباره به چالش های امنیت سازمانی فکر کردند و راه حل های جدیدی برای شکست آنتی ویروس ارائه کردند. EDR چه تفاوتی با آنتی ویروس دارد؟ چگونه و چرا EDR موثرتر از AV  (Antivirus) است؟ و پیچیدگی های جایگزینی AV با یک EDR پیشرفته در چیست؟ پاسخ تمام این سوالات و موارد دیگر را در این پست خواهید یافت.

 

چه چیزی EDR را با آنتی ویروس متفاوت می کند؟

برای اینکه به اندازه کافی از کسب و کار یا سازمان خود در برابر تهدیدات محافظت کنید، مهم است که تفاوت بین EDR و آنتی ویروس سنتی یا قدیمی را درک شود. این دو رویکرد امنیتی، اساساً متفاوت هستند و تنها یکی برای مقابله با تهدیدات مدرن مناسب است.

 

ویژگی های آنتی ویروس:

در روزهایی که تعداد تهدیدات بدافزار جدید در روز را می‌توان به راحتی در یک سند Excel شمارش کرد، آنتی‌ویروس ابزاری برای مسدود کردن بدافزارهای شناخته‌شده با بررسی – یا اسکن – فایل‌هایی که روی دیسک روی یک دستگاه کامپیوتری نوشته شده بودند را به شرکت‌ها ارائه داد. اگر فایل موردنظر در پایگاه داده فایل های مخرب اسکنر AV «شناخته شده» بود، نرم افزار از اجرای فایل بدافزار جلوگیری می کرد.

پایگاه داده آنتی ویروس سنتی از مجموعه ای از امضاها تشکیل شده است. این امضاها ممکن است حاوی هش‌های یک فایل بدافزار و/یا قوانینی باشند که حاوی مجموعه‌ای از ویژگی‌هایی هستند که فایل میبایست با آنها مطابقت داشته باشد. چنین ویژگی‌هایی معمولاً شامل مواردی مانند: رشته‌های قابل خواندن توسط انسان یا دنباله‌هایی از بایت‌های موجود در فایل اجرایی بدافزار، نوع فایل، اندازه فایل و انواع دیگر فراداده‌های مربوط به فایل است.

برخی از موتورهای آنتی ویروس همچنین می توانند تجزیه و تحلیل اکتشافی اولیه را روی فرآیندهای در حال اجرا (Running processes) انجام دهند و یکپارچگی فایل های مهم سیستم را بررسی کنند. این بررسی‌های «بعد از واقعیت» یا پس از آلودگی پس از سیل نمونه‌های بدافزار جدید به طور روزانه به بسیاری از محصولات AV اضافه شد. که به دلیل حجم بالا،اینکار از توانایی فروشندگان AV برای به‌روز نگه‌داشتن پایگاه‌های داده‌شان خارج شد.

با توجه به تهدیدات رو به رشد و کاهش کارایی رویکرد آنتی ویروس، برخی از فروشندگان قدیمی سعی کرده اند آنتی ویروس را با سرویس های دیگری مانند کنترل فایروال (firewall control)، رمزگذاری داده ها (dataencryption)، مجوز فرآیند (process allows) و لیست های مسدود (Blocklists) ، و سایر ابزارهای مجموعه AV تکمیل کنند. چنین راه حل هایی که به طور کلی به عنوان “EPP” (Endpoint Protection Platforms) یا پلتفرم های محافظت نقطه پایانی شناخته می شوند، مبتنی بر رویکرد امضاء هستند.

ویژگی های EDR:

در حالی که تمرکز همه راه‌حل‌های AV بر روی فایل‌های (بالقوه مخرب) است که به سیستم معرفی می‌شوند، یک EDR به صورت بلادرنگ بر جمع‌آوری داده‌ها از نقطه پایانی و بررسی آن داده‌ها برای الگوهای غیرعادی عمل می‌کند. همانطور که از نام EDR پیداست، ایده این سیستم تشخیص عفونت و شروع پاسخ است. هرچه EDR سریعتر بتواند این کار را بدون دخالت انسان انجام دهد، موثرتر خواهد بود.

یک EDR خوب همچنین شامل قابلیت هایی برای مسدود کردن فایل های مخرب است، اما مهمتر از همه EDR ها تشخیص می دهند که همه حملات مدرن مبتنی بر فایل نیستند. علاوه بر این، EDR‌های فعال ویژگی‌های مهمی را که در آنتی‌ویروس یافت نمی‌شوند به تیم‌های امنیتی ارائه می‌دهند. از جمله پاسخ خودکار و دید عمیق در مورد تغییرات فایل، ایجاد فرآیند و اتصالات شبکه در نقطه پایانی: برای شکار تهدیدات (threat hunting)، پاسخ به حادثه (incident response)، و جرم شناسی دیجیتال (digital forensics) حیاتی است.

دلایل زیادی وجود دارد که چرا راه‌حل‌های آنتی ویروس نمی‌توانند با تهدیداتی که امروزه شرکت‌ها با آن مواجه هستند، هماهنگی داشته باشند. اول، همانطور که در بالا اشاره شد، تعداد نمونه‌های بدافزار جدیدی که روزانه مشاهده می‌شوند، بیشتر از تعداد افرادی است که روی فایل های مخرب اثر انگشت میگذارند (توضیح مترجم: یک سری افراد در تیم های امنیتی روی فایل های مخرب یک امضا قرار میدهند که امکان شناسایی، حذف و قرنطینه را به آنتی ویروس میدهد. به این ترتیب کسانی که این اثر انگشت هارا روی ویروس ها میگذارند team of signature writers میگویند . این لینک توضیحات مناسبی دارد).

دوم، شناسایی از طریق امضاهای آنتی ویروس اغلب می‌تواند به راحتی توسط عوامل تهدید حتی بدون بازنویسی بدافزار آنها دور زده (Bypass) شود. از آنجایی که امضاها فقط بر روی چند مشخصه از فایل تمرکز دارند، نویسندگان بدافزار یاد گرفته‌اند که چگونه بدافزاری ایجاد کنند که ویژگی‌های متغیری داشته باشد که به عنوان بدافزار چند شکلی (polymorphic malware)نیز شناخته می‌شود. برای مثال، هش‌های فایل یکی از ساده‌ترین ویژگی‌های یک فایل برای تغییر هستند، اما رشته‌های داخلی (internal strings) نیز می‌توانند به‌طور تصادفی، با تولید هر نسخه از بدافزار رمزگذاری شوند.

سوم، عوامل تهدید با انگیزه مالی مانند سازندگان باج افزار، فراتر از حملات بدافزار مبتنی بر فایل عمل کرده اند. حملات درون حافظه یا بدون فایل رایج شده‌اند، و حملات باج‌افزاری که توسط انسان انجام می‌شود، مانند Hive – همراه با حملات «اخاذی مضاعف» مانند Maze، Ryuk  و موارد دیگر – که ممکن است با اعتبار اجباری به خطر افتاده یا بی‌رحمانه یا سوءاستفاده از RCE (اجرای کد از راه دور) (Remote code execution)شروع شود. آسیب‌پذیری‌ها، می‌توانند منجر به به خطر افتادن و از دست دادن مالکیت شود. و دیگر با استفاده از آنتی ویروس و شناسایی امضای دیجیتال نمیشود کاری کرد.

مزایای EDR:

EDR  با تمرکز بر روی ارائه دید همراه با پاسخ‌های تشخیص خودکار به تیم‌های امنیتی سازمانی، برای مقابله با عوامل تهدید امروزی و چالش‌های امنیتی که آنها ارائه می‌کنند بسیار مجهزتر است.

EDR با تمرکز بر شناسایی فعالیت غیرمعمول و ارائه پاسخ، تنها به شناسایی تهدیدهای شناخته شده و مبتنی بر فایل محدود نمی شود. برعکس، ارزش اصلی EDR این است که مثل آنتی ویروس نیست و تهدید نیازی به تعریف دقیق ندارد،. یک راه حل EDR می تواند الگوهای فعالیت غیرمنتظره، غیرمعمول و ناخواسته را جستجو کند و هشداری را برای تحلیلگر امنیتی صادر کند تا آن را بررسی کند.

علاوه بر این، از آنجایی که EDR ها با جمع آوری طیف وسیعی از داده ها از تمام نقاط پایانی محافظت شده کار می کنند، به تیم های امنیتی این فرصت را می دهند تا آن داده ها را در یک رابط راحت و متمرکز گرد هم آورند. تیم‌های فناوری اطلاعات می‌توانند آن داده‌ها را گرفته و آن‌ها را با ابزارهای دیگر برای تجزیه و تحلیل عمیق‌تر ادغام کنند و به اطلاع‌رسانی وضعیت امنیتی کلی سازمان در هنگام حرکت برای تعریف ماهیت حملات احتمالی آینده کمک کنند. داده های جامع از یک EDR همچنین می تواند شکار و تجزیه و تحلیل تهدیدات گذشته نگر را امکان پذیر کند.

علاوه بر این، از آنجایی که EDR ها با جمع آوری طیف وسیعی از داده ها از تمام نقاط پایانی محافظت شده کار می کنند، به تیم های امنیتی این فرصت را می دهند تا آن داده ها را در یک رابط راحت و متمرکز تجسم کنند. تیم‌های فناوری اطلاعات می‌توانند آن داده‌ها را گرفته و آن‌ها را با ابزارهای دیگر برای تجزیه و تحلیل عمیق‌تر ادغام کنند و به اطلاع‌رسانی وضعیت امنیتی کلی سازمان در هنگام حرکت برای تعریف ماهیت حملات احتمالی آینده کمک کنند. همچنین می تواند شکار و تحلیل تهدیدات گذشته نگر را فعال کند.

چگونه EDR آنتی ویروس را تعریف میکند:

موتورهای آنتی ویروس علیرغم محدودیت‌هایشان وقتی به تنهایی یا به‌عنوان بخشی از راه‌حل EPP مستقر می‌شوند، می‌توانند تمجیدهای مفیدی برای راه‌حل‌های EDR باشند، و بیشتر EDR‌ها شامل برخی از عناصر مسدودسازی مبتنی بر امضا و هش به عنوان بخشی از استراتژی «دفاع در عمق» هستند.

با ترکیب موتورهای آنتی ویروس در یک راه حل موثرتر EDR، تیم های امنیتی سازمانی می توانند از مزایای مسدود کردن ساده بدافزارهای شناخته شده بهره ببرند و آن را با ویژگی های پیشرفته ای که EDR ها ارائه می دهند ترکیب کنند.

اجتناب از خستگی هشدار با Active EDR:

همانطور که قبلاً اشاره کردیم، EDR ها امنیت سازمانی و تیم های فناوری اطلاعات را در تمام نقاط پایانی در سراسر شبکه سازمان دید عمیقی ارائه می دهند و  تعدادی از مزیت ها را امکان پذیر می کند. با این حال، علی‌رغم این مزایا، بسیاری از راه‌حل‌های EDR تأثیری را که تیم‌های امنیتی سازمانی امیدوار بودند، نداشته باشند، زیرا به منابع انسانی زیادی برای مدیریت نیاز دارند: منابعی که اغلب به دلیل محدودیت‌های کارکنان یا بودجه در دسترس نیستند یا به دلیل کمبود مهارت‌های امنیت سایبری، غیرقابل دسترسی هستند.

بسیاری از سازمان‌هایی که در EDR سرمایه‌گذاری کرده‌اند، به‌جای لذت بردن از امنیت بیشتر و کار کمتر برای تیم‌های امنیتی و IT خود، به سادگی منابع را از یک وظیفه امنیتی به دیگری تخصیص داده‌اند: به دور از تریاژ دستگاه‌های آلوده تا تریاژ کوهی از هشدارهای EDR.

و با این حال لازم نیست اینطور باشد. شاید ارزشمندترین پتانسیل EDR توانایی آن در کاهش مستقل تهدیدات بدون نیاز به دخالت انسان باشد. با استفاده از قدرت یادگیری ماشین و هوش مصنوعی، Active EDR بار را از دوش تیم SOC برمی‌دارد و می‌تواند به طور مستقل رویدادها را در نقطه پایانی بدون تکیه بر منابع ابری کاهش دهد.

EDR فعال برای تیم شما چه معنایی دارد:

این سناریوی معمولی را در نظر بگیرید: کاربر یک برگه را در Google Chrome باز می کند، فایلی را که معتقد است امن است دانلود می کند و آن را اجرا می کند. این برنامه از PowerShell برای حذف پشتیبان‌گیری‌های محلی استفاده می‌کند و سپس شروع به رمزگذاری تمام داده‌های روی دیسک می‌کند.

کار یک تحلیلگر امنیتی با استفاده از راه حل های EDR  غیرفعال می تواند سخت باشد. با وجود هشدارها، تحلیلگر باید داده ها را در یک گزارش معنادار جمع کند. با EDRفعال ، این کار در عوض توسط عامل در نقطه پایانی انجام می شود.  EDR فعال گزارش کامل را می داند، بنابراین در زمان اجرا، قبل از شروع رمزگذاری، این تهدید را کاهش می دهد.

هنگامی که داستان کمرنگ میشود، تمام عناصر موجود در آن داستان، تا برگه کروم که کاربر در مرورگر باز کرده است،  مورد مراقبت قرار داده می‌شود. با دادن شناسه TrueContext به هر یک از عناصر داستان کار می کند. این داستان‌ها سپس به کنسول مدیریت ارسال می‌شوند و امکان مشاهده و جستجوی آسان تهدید را برای تحلیلگران امنیتی و مدیران فناوری اطلاعات فراهم می‌کنند.

فراتر از EDR | XDR برای حداکثر دید و یکپارچگی:

در حالی که Active EDR گام بعدی برای سازمان‌هایی است که هنوز آنتی ویروس را پشت سر نمی‌گذارند، شرکت‌هایی که به حداکثر دید و یکپارچگی در کل دارایی خود نیاز دارند، باید به تشخیص و پاسخ گسترده یا XDR فکر کنند.

XDR ، EDR را با ادغام تمامی کنترل‌های دید و امنیت در یک نمای کاملاً جامع از آنچه در محیط شما اتفاق می‌افتد به سطح بعدی می‌برد. XDR با یک مجموعه واحد از داده‌های خام شامل اطلاعات از کل اکوسیستم، امکان شناسایی و پاسخ سریع‌تر، عمیق‌تر و مؤثرتر تهدید را نسبت به EDR می‌دهد و داده‌ها را از طیف وسیع‌تری از منابع جمع‌آوری و جمع‌آوری می‌کند.

نتیجه گیری:

عوامل تهدید مدت‌هاست که فراتر از آنتی‌ویروس و EPP فراتر رفته اندو سازمان‌ها باید در نظر داشته باشند که چنین محصولاتی با تهدیداتی که امروزه فعال هستند همخوانی ندارند. حتی نگاهی گذرا به سرفصل‌ها نشان می‌دهد که سازمان‌های بزرگ و ناآماده با وجود اینکه روی کنترل‌های امنیتی سرمایه‌گذاری کرده‌اند، توسط حملات مدرن مانند باج‌افزار گرفتار شده‌اند. وظیفه ما، به عنوان مدافع، این است که اطمینان حاصل کنیم که نرم افزار امنیتی ما نه تنها برای حملات دیروز، بلکه برای امروز و فردا مناسب است.