EDR چیست؟ و چگونه کار می کند و چه تفاوتی با آنتی ویروس دارد؟
Endpoint detection and response یا به اختصار EDR، نوعی حفاظت از endpoint است که از دادههای جمعآوریشده از دستگاههای endpoint را برای درک نحوه رفتار تهدیدات سایبری و روشهای واکنش سازمانها به تهدیدات سایبری استفاده میکند. در حالی که برخی از اشکال حفاظت endpoint صرفاً بر روی مسدود کردن تهدیدات متمرکز هستند، تشخیص و پاسخ endpoint رویکردی جامعتر را انجام میدهد. از طریق نظارت مستمر بر endpoint و تجزیه و تحلیل دقیق دادهها، کسبوکارها میتوانند درک بهتری از اینکه چگونه یک تهدید، نقطه پایانی (endpoint) را آلوده میکند و مکانیسمهایی که توسط آن در سراسر شبکه پخش میشود، به دست آورند. سازمانها میتوانند بهجای رفع تهدیدات بیدرنگ، از بینشهای بهدستآمده از طریق EDR برای تقویت امنیت در برابر حملات آینده و کاهش زمان ماندن برای عفونت احتمالی استفاده کنند.
EDR را به عنوان یک ضبط کننده اطلاعات پرواز برای نقاط پایانی (اندپوینت) خود در نظر بگیرید. در طول یک پرواز، به اصطلاح “جعبه سیاه” ده ها نقطه داده را ثبت می کند. به عنوان مثال، ارتفاع، سرعت هوا، و مصرف سوخت. پس از سقوط هواپیما، محققان از داده های جعبه سیاه استفاده می کنند تا تعیین کنند چه عواملی ممکن است در سقوط هواپیما نقش داشته باشد. به نوبه خود، از این عوامل کمک کننده برای جلوگیری از تصادفات مشابه در آینده استفاده می شود. به همین ترتیب، در حین و پس از یک حمله سایبری (به عنوان مثال، فرآیندهای در حال اجرا، برنامه های نصب شده و اتصالات شبکه) EDR می تواند برای جلوگیری از حملات مشابه استفاده شود.
اصطلاح «endpoint threat detection and response» توسط نویسنده مشهور و کارشناس امنیت سایبری آنتون چاووکین در سال 2013 به عنوان راهی برای فراخوانی «ابزارهایی که عمدتاً بر روی شناسایی و بررسی فعالیتهای مشکوک (و ردپایی از این قبیل) مشکلات دیگر در میزبا یا نقاط پایانی ( endpoint ) متمرکز هستند، ابداع شد. ”
امروزه این اصطلاح به «endpoint detection and response.» کوتاه شده است. وقتی مردم در مورد EDR صحبت می کنند، احتمالاً به نوعی از محافظت نقطه پایانی اشاره می کنند که شامل قابلیت های EDR می شود. فقط به خاطر داشته باشید که این دو اصطلاح یکسان نیستند. یک ضبط کننده اطلاعات پرواز نمی تواند کنترل هواپیما را در دست بگیرد و در طول یک سناریوی سقوط از فاجعه جلوگیری کند. به همین ترتیب، EDR به تنهایی برای توقف یک حمله سایبری بدون آنتی ویروس یکپارچه، ضد بدافزار، ضد سوء استفاده و سایر قابلیت های کاهش تهدید کافی نیست.
EDR چگونه کار می کند؟
تشخیص و پاسخ نقطه پایانی به طور کلی با سه نوع رفتار تعریف می شود.
Endpoint management
این به توانایی EDR برای استقرار در یک نقطه پایانی، ثبت دادههای نقطه پایانی، سپس ذخیره آن دادهها در مکانی جداگانه برای تجزیه و تحلیل در حال حاضر یا در آینده اشاره دارد. EDR را می توان به عنوان یک برنامه مستقل مستقر کرد یا به عنوان بخشی از راه حل جامع حفاظت نقطه پایانی گنجانده شد. دومی، ترکیب قابلیت های متعدد در یک عامل نقطه پایانی واحد و ارائه یک صفحه شیشه ای را دارد که از طریق آن مدیران می توانند نقطه پایانی را مدیریت کنند.
Data analysis
در یک شبکه EDR می تواند ابردادههای نقطه پایانی را تولید کند که کاربران انسانی میتوانند از آن داده ها برای تعیین چگونگی کاهش حمله قبلی، چگونگی کاهش حملات آینده و اقداماتی که میتوان برای جلوگیری از آن حملات انجام داد، استفاده کنند.
Threat hunting
EDR برای برنامهها، فرآیندها و فایلهای مطابق با پارامترهای شناخته شده را برای شناسایی بدافزار اسکن میکند. Threat hunting همچنین شامل توانایی جستجو در تمام اتصالات شبکه برای یافتن دسترسی غیرمجاز می باشد.
Incident response
این ویژگی به توانایی EDR برای گرفتن تصاویر از یک نقطه پایانی در زمانهای مختلف و تصویربرداری مجدد یا بازگشت به حالت خوب قبلی در صورت حمله اشاره دارد. EDR همچنین به مدیران این امکان را می دهد که نقاط پایانی را جدا کرده و از گسترش بیشتر در سراسر شبکه جلوگیری کنند. اصلاح و بازگشت می تواند خودکار، دستی یا ترکیبی از این دو باشد.
تفاوت بین EDR و آنتی ویروس چیست؟
قبل از پرداختن به تفاوت بین EDR و آنتی ویروس، اجازه دهید تعاریف خود را به طور مستقیم بیان کنیم. می دانیم که EDR نوعی محافظت نقطه پایانی است، که از داده های نقطه پایانی و چیزهایی که از آن داده ها یاد می گیریم به عنوان سنگری در برابر خطرات آینده استفاده می کند. پس آنتی ویروس چیست؟
شرکت Malwarebytes آنتی ویروس را اینگونه تعریف می کند: «یک اصطلاحی قدیمی که برای توصیف نرم افزار امنیتی که بدافزارها را شناسایی و از بین می برد و همچنین از شما محافظت می کند.»
آنتی ویروس می تواند ویروس های کامپیوتری را متوقف می کند، همچنین تهدیدهای مدرن مانند باج افزار، ابزارهای تبلیغاتی مزاحم و تروجان ها را نیز متوقف کند. اصطلاح مدرنتر آن «ضد بدافزار» است. که تلاش میکند تا اصطلاحات را با آنچه که این فناوری در واقع انجام میدهد به روز کند. مردم تمایل دارند از این دو اصطلاح به جای یکدیگر استفاده کنند. برای اهداف این مقاله، ما از اصطلاح مدرن تر استفاده می کنیم و آنتی ویروس را «ضد بدافزار» می نامیم.
اکنون، برای درک تفاوت بین EDR و ضد بدافزار، باید موارد استفاده را بررسی کنیم. از یک طرف شما ضد بدافزاری را دارید که برای مصرف کننده ای طراحی شده است که به دنبال محافظت از چند دستگاه شخصی (مانند تلفن هوشمند، لپ تاپ و تبلت) در شبکه خانگی خود است.
از سوی دیگر، شما EDR را برای کاربر تجاری دارید که از صدها، احتمالاً هزاران دستگاه نقطه پایانی محافظت می کند. دستگاه ها می توانند ترکیبی از متعلق به کار و متعلق به کارمند (BYOD) باشند. و کارمندان ممکن است از هر تعداد از نقاط مهم WiFi عمومی ناامن به شبکه شرکت متصل شوند.
وقتی صحبت از تجزیه و تحلیل تهدید می شود، مصرف کننده معمولی فقط می خواهد بداند که دستگاه های آنها محافظت شده است. گزارش دهی فراتر از تعداد تهدیدها و نوع تهدیدهایی که در یک بازه زمانی مشخص مسدود شده اند، نمی خواهد. این برای یک کاربر تجاری کافی نیست.
سرپرستهای امنیتی باید بدانند «قبلاً در نقاط پایانی من چه اتفاقی افتاده است و در حال حاضر در نقاط پایانی من چه اتفاقی میافتد؟» ضد بدافزار در پاسخ به این سؤالات عالی نیست، اما این جایی است که EDR برتر است.
EDR پنجره ای به عملکردهای روزانه یک نقطه پایانی است. وقتی چیزی خارج از حد معمول اتفاق می افتد، به مدیران هشدار داده می شود، داده ها ارائه می شود و تعدادی گزینه به آنها داده می شود. به عنوان مثال، نقطه پایانی را جدا کنید، تهدید را قرنطینه کنید، یا اصلاح کنید.
چرا شرکت ها به EDR نیاز دارند؟
طبق گزارش Malwarebytes Lab در سال 2020، حملات به مشاغل از سال 2018 تا 2019 13 درصد افزایش یافته است. در همان زمان حملات مصرف کنندگان در واقع دو درصد کاهش یافته است. مجرمان سایبری در حال دور شدن از حملات مقطعی به مصرف کنندگان هستند و در عوض تلاش های خود را نه تنها بر مشاغل، بلکه بر مؤسسات آموزشی و نهادهای دولتی نیز متمرکز می کنند.
بزرگترین تهدید در حال حاضر باج افزار است. شناسایی باجافزارها در شبکههای تجاری در بالاترین حد خود قرار دارد که عمدتاً به دلیل باجافزارهای Ryuk، Phobos، GandCrab و Sodinokibi است. ناگفته نماند تروجان هایی مانند Emotet که بارهای باج افزار ثانویه را حمل می کنند. سازمانها در هر اندازهای مورد هدف باندهای تبهکار سایبری، هکرها و هکرهای تحت حمایت دولت قرار میگیرند که به دنبال امتیازهای بزرگ از شرکتهایی هستند، که دارای ذخیرهسازی دادههای ارزشمند در شبکههایشان هستند. باز هم، این ارزش داده ها است، نه اندازه شرکت. دولتهای محلی، مدارس، بیمارستانها و ارائهدهندگان خدمات مدیریتشده (MSP) به همان اندازه ممکن است قربانی نقض دادهها یا باجافزار شوند.
میانگین هزینه نقض داده را در نظر بگیرید. در سال 2019، شرکت IBM “گزارش هزینه نقض داده” این رقم را 3.92 میلیون دلار نشان می دهد. در ایالات متحده، این رقم حتی بالاتر از 8.19 میلیون دلار است.
با در نظر گرفتن این دادههای هشیارکننده، برای محافظت از نقاط پایانی، کارکنان، دادههای شما، مشتریانی که به آنها خدمات میدهید و کسبوکارتان در برابر مجموعهای خطرناک از تهدیدات سایبری و آسیبهایی که میتوانند ایجاد کنند، خرید EDR بسیار مهم است.
برای اطمینان از اورجینال بودن لایسنس و مناسب ترین قیمت ها، و دریافت مشاوره و خرید EDR از باما سافت باما تماس بگیرید.
ممنون که تا انتهای مقاله EDR چیست؟ همراه ما بودید، لطفاً سؤالات و نظرات خود را در قسمت دیدگاه ها، باما در میان بگذارید.