راهکار Endpoint Detection and Response چیست ؟
تعریف موسسهی Gartner از Endpoint Detection and Response یا EDR، راهکاری است که رفتارها در سطح سیستم و Endpoint را ضبط و ذخیره کرده تا با استفاده از تکنیکهای مختلف تجزیهوتحلیل داده، رفتار مشکوک را در سیستم شناسایی کند. اطلاعات متنی و محتوایی فراهم کرده، فعالیت مخرب را مسدود و پیشنهاداتی را برای اصلاح مطرح میکند تا سیستمهای آسیبدیده بازیابی شوند.
EDR مخفف سه واژه است:
- Endpoint – یک Endpoint دستگاهی مثل رایانههای کاری یا سرور یک کاربر است.
- Detection (شناسایی) – تکنولوژی EDR به شناسایی حملات روی دستگاههای Endpoint کمک کرده و برای تیمهای امنیتی دسترسی به اطلاعاتی را فراهم مینماید که بتوانند به بررسی یک حمله کمک کنند.
- Response (پاسخ) – راهکارهای EDR میتوانند با انجام کارهایی مثل قرنطینه کردن Endpoint یا مسدود کردن فرایندهای مخرب، در سطح دستگاه بهطور خودکار به حملات پاسخ دهند.
کاربرد اصلی راهکار Endpoint Detection and Response این است که به تیمهای امنیتی نسبت به فعالیتهای مخرب روی Endpointها هشدار داده تا تجزیهوتحلیل Real-Time را نسبت به منشأ اصلی و وسعت حمله انجام دهند. EDR دارای سه مکانیزم اصلی میباشد:
- جمعآوری داده از Endpoint – دادههای مربوط به رخدادهایی مثل اجرای فرایند، ارتباطات و لاگین کاربران را تجمیع میکند.
- موتور شناسایی – تجزیهوتحلیل رفتاری را انجام میدهد تا مبنایی از فعالیتهای معمول در Endpoint را ایجاد نماید، ناهنجاریها را کشف کرده و تعیین کند که کدام ناهنجاریها نشانگر فعالیت مخرب روی Endpoint هستند.
- ضبط داده – دادههایی Real-Time در مورد حوادث امنیتی روی Endpointها فراهم میکند که تیمهای امنیتی میتوانند با استفاده از آنها یک حادثه را بهصورت Real-Time بررسی کرده و آن را تحت کنترل درآورند.
یک راهکار Endpoint Detection and Response حقیقی باید قابلیتهای زیر را داشته باشد:
- جستجو و بررسی دادههای رخداد
- اولویتبندی هشدارها یا بررسی فعالیت مشکوک
- شناسایی فعالیت مشکوک
- تشخیص تهدیدات یا بررسی دادهها
- متوقف کردن فعالیت مخرب
ویژگیهای مهم راهکار Endpoint Detection and Response
درک جنبههای کلیدی امنیت EDR و دلیل اهمیت آنها به کاربران جهت تشخیص ویژگیهای ضروری در راهکار Endpoint Detection and Response کمک میکند. مهم است که راهکار امنیت EDR بتواند بالاترین سطح از حفاظت را فراهم کند، درحالیکه به کمترین میزان تلاش و سرمایهگذاری نیاز داشته باشد و بدین ترتیب بدون اتلاف منابع برای تیم امنیتی مفید واقع شود.
در ادامه شش ویژگی کلیدی که باید در راهکار Endpoint Detection and Response وجود داشته باشد معرفی میگردد:
1. قابلیت دید
قابلیت دید Real-Time در تمام Endpointها به کاربر توانایی مشاهده فعالیتهای مخرب را حتی در مراحل اولیه نفوذ داده و امکان توقف بالافاصله آنها را فراهم میکند.
2. دیتابیس تهدیدات
یک راهکار Endpoint Detection and Response کارآمد نیازمند جمعاوری دادهها از Endpointها و غنیسازی آنها با توجه به ساختار است تا بتوان با انواع مختلفی از تکنیکهای تجزیهوتحلیل از این دادهها برای دیدن نشانههای حمله استفاده کرد.
3. حفاظت رفتاری
تکیه به روشهایی که صرفاً مبتنی بر Signature یا نشانههای تهدیدات امنیتی (IOCها) هستند منجر به «خرابی خاموش[1]» شده که امکان رخ دادن نقضهای امنیتی را فراهم میکند. همچنین یک راهکار Endpoint Detection and Response کارآمد نیازمند رویکردهای رفتاری است که به دنبال نشانههای حمله (IOAها) باشد تا کاربر همیشه پیش از رخ دادن نقض امنیتی، از فعالیتهای مشکوک آگاه باشد.
4. بینش و هوش
یک راهکار EDR که هوش تهدیدات را یکپارچهسازی کند امکان فراهم کردن ساختاری شامل جزئیاتی در مورد مهاجم یا اطلاعات دیگری در مورد حمله را دارد.
5. پاسخ سریع
اگر EDR پاسخ سریع و دقیقی را به رخدادها ارائه دهد، میتواند پیش از اینکه یک حمله تبدیل به نقض امنیتی شود، آن را متوقف کرده و به سازمان توانایی بازگشت سریع به کسبوکار خود را بدهد.
6. راهکار مبتنی بر Cloud
داشتن راهکار EDR مبتنی بر Cloud تنها راهی است که بتوان تضمین کرد هیچ تأثیری روی Endpointها گذاشته نمیشود و درهمینحال از انجام قابلیتهایی مثل جستجو، تجزیهوتحلیل و بررسی بهصورت Real-Time و دقیق اطمینان حاصل کرد.
اجزای کلیدی امنیت راهکار Endpoint Detection and Response
امنیت EDR فضایی یکپارچه را برای جمعآوری، همبستگی و تجزیهوتحلیل دادههای Endpoint و همچنین هماهنگسازی هشدارها و پاسخها به تهدیدات فوری فراهم میکند. ابزار EDR دارای سه جزء اصلی است:
- Agentهای جمعآوری داده از Endpoint: با استفاده از Agentهای نرمافزاری مانیتورینگ Endpoint را انجام داده و دادههایی را از جمله فرایندها، اتصالات، حجم فعالیت و انتقال داده، در یک دیتابیس مرکزی جمعآوری میکنند.
- پاسخ خودکار: قواعد[2] از پیش تعیینشده در یک راهکار EDR میتوانند تشخیص دهند که دادههای ورودی چه زمانی نشاندهندهی نوعی نقض امنیتی هستند و یک پاسخ خودکار را فعال کنند. مثلاً خارج کردن کاربر نهایی یا ارسال هشدار به یکی از اعضای تیم امنیت.
- تجزیهوتحلیل و جرمشناسی[3]: یک راهکار Endpoint Detection and Response میتواند هم تجزیهوتحلیل Real-Time را برای تشخیص سریع تهدیداتی که در قواعد از پیش تعیین شده جای نمیگیرند به کار بگیرد و هم از ابزار جرمشناسی برای شناسایی تهدیدات یا تجزیهوتحلیل پس از یک حمله استفاده کند.
- موتور تجزیهوتحلیل Real-Time از الگوریتمها استفاده میکند تا حجمهای زیادی از داده را ارزیابی و همبسته کرده و الگوهایی را پیدا کند.
- ابزار جرمشناسی به متخصصان امنیت توانایی بررسی نقضهای امنیتی گذشته را میدهد تا درک دقیقتری از نحوه کار یک بهرهبرداری[4] و چگونگی نفوذ به دیوار امنیتی پیدا کنند. همچنین متخصصان فناوری اطلاعات از ابزار جرمشناسی استفاده میکنند تا تهدیداتی مانند بدافزار یا بهرهبرداریهای دیگری که شاید روی یک Endpoint شناسایی نشده باشند را در سیستم جستجو کنند.
حملات پیشرفتهی متداول
حملات هدفدار و پیشرفته یک کسبوکار یا سازمان بهخصوص را هدف قرار داده و برای یک محیط خاص طراحی میشوند که آنها را نسبت به راهکارهای امنیت سایبری استاندارد مقاومتر میکند.
بهرهبرداری از آسیبپذیری: نقاط ضعف امنیتی متداول در سیستمهای عمومی شیوهی جذابی برای حمله هستند و 57 درصد از نقضهای امنیتی از آسیبپذیریهای شناختهشده حاصل میشوند که میشد آنها را وصله[5] کرد.
فیشینگ نیزهای[6]: فیشینگ نیزهای که بسیار تأثیرگذار و بسیار متداول است یعنی ارتباطات هدفدار و فریبدهنده که طراحی شدهاند تا با فریب دادن افراد در سازمان، اطلاعات حساسی را از آنها گرفته یا آنها را برای اجرای یک فایل ترغیب کنند.
حملات Watering Hole: مهاجم در وبسایتهایی که بین کارمندان محبوب هستند به دنبال آسیبپذیری میگردد و یک یا چند مورد از آنها را به بدافزار آلوده میکند.
حملات مرد میانی[7]: مهاجم جلوی ارتباطات افراد یک سازمان را گرفته و پس از بررسی یا حتی ایجاد تغییر در این پیامها آنها را منتقل میکند، در حالیکه افراد تصور میکنند که مستقیماً با همتای مورد اعتماد خود صحبت میکنند.
خرید دسترسی: سازمانهای مجرم بسیاری از حملات روی بسیاری از سیستمها را جمعسپاری[8] میکنند و درصدی از آن سسیتمها همیشه دچار نقض امنیتی هستند.
راهکار Endpoint Detection and Response چگونه کار میکند
ایدهی اصلی پشت EDR این است که به تیمهای امنیت فناوری اطلاعات قدرت دهد تا بین رفتارهای عادی کاربران، فعالیت مخرب را شناسایی کنند. برای دستیابی به این مهم، این تیمها میتوانند دادههای رفتاری را جمعآوری کرده و آنها را برای تجزیهوتحلیل به یک دیتابیس مرکزی بفرستند. راهکارهای EDR میتوانند با استفاده از ابزار تجزیهوتحلیل مبتنی بر هوش مصنوعی الگوها را شناسایی کرده و ناهنجاریها را تشخیص دهند. سپس میتوان این موارد را برای بررسی بیشتر و اصلاح به مراجع مربوط تحویل داد.
راهکارهای مورد استفاده در امنیت Endpoint
یک راهکار برای امنیت Endpoint چندین جزء دارد و واژگان مختلفی وجود دارند که معمولاً باعث سردرگمی میشوند. در این بخش میخواهیم تعاریف دقیقی از مفاهیم EDR، EPP[9]، [10]AV/NGAV و SIEM ارائه دهیم.
تفاوت بین EDR و EPP
بنا به گفتهی موسسهی Gartner، پلتفرم حفاظت Endpoint یا EPP یک راهکار امنیتی است که برای شناسایی فعالیت مخرب روی Endpointها، پیشگیری از حملات بدافزار و بررسی و اصلاح حوادث امنیتی پویا طراحی شده است. این تعریف EDR را بخش مهمی از راهکارهای EPP به شمار میآورد.
عملکرد پلتفرم EPP را میتوان از لحاظ عملیاتی به دو دستهی کلی تقسیم کرد:
- پیشگیری – یک EPP فراتر از آنتیویروسهای قدیمی کار میکند و تکنولوژیهای آنتیویروس نسل بعد یا NGAV را فراهم مینماید که میتواند بدافزارها و بهرهبرداریها را شناسایی کند، حتی اگر با Signature فایل شناخته شده، تطبیق نداشته باشند. این جنبه از EPP روی شناسایی درصد بالایی از حملات روی Endpointها و مسدود کردن آنها تمرکز دارد.
- شناسایی و پاسخ – این بخش توسط تکنولوژیهای EDR فراهم میگردد. تمرکز این بخش روی شناسایی حملاتی است که از اقدامات دفاعی Endpoint عبور میکنند و تلاش میکند که جلوی گسترش حمله را بگیرد و به تحلیلگران امنیتی اطلاعرسانی کند.
تفاوت بین EDR و آنتیویروس
افراد زیادی قابلیتهای EDR و آنتیویروس را با هم اشتباه گرفته و تصور میکنند که فقط لازم است از یکی از آنها استفاده کنند. اما این دو تکنولوژی مکمل یکدیگر هستند. آنتیویروس یک ابزار پیشگیرانه است که به شناسایی مبتنی بر Signature اتکا میکند و قابلیت دیدی را به نحوهی اجرا شدن حمله ارائه نمیدهد. آنتیویروس میتواند جلوی بدافزار را بگیرد، اما مشخص نمیکند که از کجا آمده و چطور در شبکه گسترش پیدا میکند.
از طرف دیگر EDR تصویر کاملی را در مورد اینکه مهاجم چطور به سیستم دسترسی پیدا کرده و وقتی وارد سیستم شد چه کاری انجام داده، ارائه میدهد. EDR میتواند فعالیتهای مخرب رویEndpoint که بر اثر بهرهبرداریهای Zero-Day، تهدیدات پیشرفتهی مداوم، حملات بدون فایل[11] یا بدافزارهایی که از خود Signature به جا نمیگذارند و درنتیجه میتوانند از AV و حتی NGAV قدیمی عبور کنند را شناسایی کند.
تفاوت بین EDR و SIEM
مدیریت وقایع و امنیت اطلاعات[12] یا SIEM دادههای رخداد و Log را از سراسر شبکه جمعآوری میکند تا به شناسایی الگوهای رفتاری، شناسایی تهدیدات و بررسی حوادث امنیتی کمک کند. این راهکار گستردهتر از Endpoint Detection and Response است که بهطور خاص به فعالیت Endpoint میپردازد.
در یک سازمان بزرگ، EDR احتمالاً یکی از ورودیهای داده به SIEM باشد. SIEM میتواند اطلاعات درمورد حوادث امنیتی Endpoint که از سیستم EDR میآیند را با اطلاعاتی از بخشهای دیگر محیطهای امنیتی مثل مانیتورینگ شبکه و هشدارها از ابزار امنیتی دیگر ترکیب کند.
SIEM همچنین مسئول جمعآوری دادههای قدیمی است، مثلاً ضبط دادههای Endpoint در طول چندین سال که به تحلیلگران توانایی میدهد ببینند آیا این نوع حمله قبلاً اتفاق افتاده است یا خیر.
[1] Silent Failure
[2] Rule
[3] Forensics
[4] Exploit
[5] Patch
[6] Spear Phishing
[7] Man-in-the-Middle
[8] Crowdsource
[9] Endpoint Protection Platform
[10] Antivirus/Next-Generation Antivirus
[11] Fileless or Malware-Free Attack
[12] Security Information and Event Management
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.