Endpoint detection and response یا به اختصار EDR، نوعی حفاظت از endpoint است که از داده‌های جمع‌آوری‌شده از دستگاه‌های endpoint را برای درک نحوه رفتار تهدیدات سایبری و روش‌های واکنش سازمان‌ها به تهدیدات سایبری استفاده می‌کند. در حالی که برخی از اشکال حفاظت endpoint صرفاً بر روی مسدود کردن تهدیدات متمرکز هستند، تشخیص و پاسخ endpoint رویکردی جامع‌تر را انجام می‌دهد. از طریق نظارت مستمر بر endpoint و تجزیه و تحلیل دقیق داده‌ها، کسب‌وکارها می‌توانند درک بهتری از اینکه چگونه یک تهدید، نقطه پایانی (endpoint) را آلوده می‌کند و مکانیسم‌هایی که توسط آن در سراسر شبکه پخش می‌شود، به دست آورند. سازمان‌ها می‌توانند به‌جای رفع تهدیدات بی‌درنگ، از بینش‌های به‌دست‌آمده از طریق EDR برای تقویت امنیت در برابر حملات آینده و کاهش زمان ماندن برای عفونت احتمالی استفاده کنند.

EDR را به عنوان یک ضبط کننده اطلاعات پرواز برای نقاط پایانی (اندپوینت) خود در نظر بگیرید. در طول یک پرواز، به اصطلاح “جعبه سیاه” ده ها نقطه داده را ثبت می کند. به عنوان مثال، ارتفاع، سرعت هوا، و مصرف سوخت. پس از سقوط هواپیما، محققان از داده های جعبه سیاه استفاده می کنند تا تعیین کنند چه عواملی ممکن است در سقوط هواپیما نقش داشته باشد. به نوبه خود، از این عوامل کمک کننده برای جلوگیری از تصادفات مشابه در آینده استفاده می شود. به همین ترتیب، در حین و پس از یک حمله سایبری (به عنوان مثال، فرآیندهای در حال اجرا، برنامه های نصب شده و اتصالات شبکه) EDR می تواند برای جلوگیری از حملات مشابه استفاده شود.

اصطلاح «endpoint threat detection and response» توسط نویسنده مشهور و کارشناس امنیت سایبری آنتون چاووکین در سال 2013 به عنوان راهی برای فراخوانی «ابزارهایی که عمدتاً بر روی شناسایی و بررسی فعالیت‌های مشکوک (و ردپایی از این قبیل) مشکلات دیگر در میزبا یا نقاط پایانی ( endpoint ) متمرکز هستند، ابداع شد. ”

امروزه این اصطلاح به «endpoint detection and response.» کوتاه شده است. وقتی مردم در مورد EDR صحبت می کنند، احتمالاً به نوعی از محافظت نقطه پایانی اشاره می کنند که شامل قابلیت های EDR می شود. فقط به خاطر داشته باشید که این دو اصطلاح یکسان نیستند. یک ضبط کننده اطلاعات پرواز نمی تواند کنترل هواپیما را در دست بگیرد و در طول یک سناریوی سقوط از فاجعه جلوگیری کند. به همین ترتیب، EDR به تنهایی برای توقف یک حمله سایبری بدون آنتی ویروس یکپارچه، ضد بدافزار، ضد سوء استفاده و سایر قابلیت های کاهش تهدید کافی نیست.

EDR چگونه کار می کند؟

تشخیص و پاسخ نقطه پایانی به طور کلی با سه نوع رفتار تعریف می شود.

Endpoint management

این به توانایی EDR برای استقرار در یک نقطه پایانی، ثبت داده‌های نقطه پایانی، سپس ذخیره آن داده‌ها در مکانی جداگانه برای تجزیه و تحلیل در حال حاضر یا در آینده اشاره دارد. EDR را می توان به عنوان یک برنامه مستقل مستقر کرد یا به عنوان بخشی از راه حل جامع حفاظت نقطه پایانی گنجانده شد. دومی، ترکیب قابلیت های متعدد در یک عامل نقطه پایانی واحد و ارائه یک صفحه شیشه ای را دارد که از طریق آن مدیران می توانند نقطه پایانی را مدیریت کنند.

Data analysis

در یک شبکه EDR می تواند ابرداده‌های نقطه پایانی را تولید کند که کاربران انسانی می‌توانند از آن داده ها برای تعیین چگونگی کاهش حمله قبلی، چگونگی کاهش حملات آینده و اقداماتی که می‌توان برای جلوگیری از آن حملات انجام داد، استفاده کنند.

تصویر Data analysis در مقاله EDR

Threat hunting

EDR برای برنامه‌ها، فرآیندها و فایل‌های مطابق با پارامترهای شناخته شده را برای شناسایی بدافزار اسکن می‌کند. Threat hunting همچنین شامل توانایی جستجو در تمام اتصالات شبکه برای یافتن دسترسی غیرمجاز می باشد.

Incident response

این ویژگی به توانایی EDR برای گرفتن تصاویر از یک نقطه پایانی در زمان‌های مختلف و تصویربرداری مجدد یا بازگشت به حالت خوب قبلی در صورت حمله اشاره دارد. EDR همچنین به مدیران این امکان را می دهد که نقاط پایانی را جدا کرده و از گسترش بیشتر در سراسر شبکه جلوگیری کنند. اصلاح و بازگشت می تواند خودکار، دستی یا ترکیبی از این دو باشد.

تصویر Incident response در مقاله EDR

تفاوت بین EDR و آنتی ویروس چیست؟

قبل از پرداختن به تفاوت بین EDR و آنتی ویروس، اجازه دهید تعاریف خود را به طور مستقیم بیان کنیم. می دانیم که EDR نوعی محافظت نقطه پایانی است، که از داده های نقطه پایانی و چیزهایی که از آن داده ها یاد می گیریم به عنوان سنگری در برابر خطرات آینده استفاده می کند. پس آنتی ویروس چیست؟

شرکت Malwarebytes آنتی ویروس را اینگونه تعریف می کند: «یک اصطلاحی قدیمی که برای توصیف نرم افزار امنیتی که بدافزارها را شناسایی و از بین می برد و همچنین از شما محافظت می کند.»

آنتی ویروس می تواند ویروس های کامپیوتری را متوقف می کند، همچنین تهدیدهای مدرن مانند باج افزار، ابزارهای تبلیغاتی مزاحم و تروجان ها را نیز متوقف کند. اصطلاح مدرن‌تر آن «ضد بدافزار» است. که تلاش می‌کند تا اصطلاحات را با آنچه که این فناوری در واقع انجام می‌دهد به روز کند. مردم تمایل دارند از این دو اصطلاح به جای یکدیگر استفاده کنند. برای اهداف این مقاله، ما از اصطلاح مدرن تر استفاده می کنیم و آنتی ویروس را «ضد بدافزار» می نامیم.

اکنون، برای درک تفاوت بین EDR و ضد بدافزار، باید موارد استفاده را بررسی کنیم. از یک طرف شما ضد بدافزاری را دارید که برای مصرف کننده ای طراحی شده است که به دنبال محافظت از چند دستگاه شخصی (مانند تلفن هوشمند، لپ تاپ و تبلت) در شبکه خانگی خود است.

از سوی دیگر، شما EDR را برای کاربر تجاری دارید که از صدها، احتمالاً هزاران دستگاه نقطه پایانی محافظت می کند. دستگاه ها می توانند ترکیبی از متعلق به کار و متعلق به کارمند (BYOD) باشند. و کارمندان ممکن است از هر تعداد از نقاط مهم WiFi عمومی ناامن به شبکه شرکت متصل شوند.

وقتی صحبت از تجزیه و تحلیل تهدید می شود، مصرف کننده معمولی فقط می خواهد بداند که دستگاه های آنها محافظت شده است. گزارش دهی فراتر از تعداد تهدیدها و نوع تهدیدهایی که در یک بازه زمانی مشخص مسدود شده اند، نمی خواهد. این برای یک کاربر تجاری کافی نیست.

سرپرست‌های امنیتی باید بدانند «قبلاً در نقاط پایانی من چه اتفاقی افتاده است و در حال حاضر در نقاط پایانی من چه اتفاقی می‌افتد؟» ضد بدافزار در پاسخ به این سؤالات عالی نیست، اما این جایی است که EDR برتر است.

EDR پنجره ای به عملکردهای روزانه یک نقطه پایانی است. وقتی چیزی خارج از حد معمول اتفاق می افتد، به مدیران هشدار داده می شود، داده ها ارائه می شود و تعدادی گزینه به آنها داده می شود. به عنوان مثال، نقطه پایانی را جدا کنید، تهدید را قرنطینه کنید، یا اصلاح کنید.

چرا شرکت ها به EDR نیاز دارند؟

طبق گزارش Malwarebytes Lab در سال 2020، حملات به مشاغل از سال 2018 تا 2019 13 درصد افزایش یافته است. در همان زمان حملات مصرف کنندگان در واقع دو درصد کاهش یافته است. مجرمان سایبری در حال دور شدن از حملات مقطعی به مصرف کنندگان هستند و در عوض تلاش های خود را نه تنها بر مشاغل، بلکه بر مؤسسات آموزشی و نهادهای دولتی نیز متمرکز می کنند.

مقاله EDR چیست - 1

بزرگترین تهدید در حال حاضر باج افزار است. شناسایی باج‌افزارها در شبکه‌های تجاری در بالاترین حد خود قرار دارد که عمدتاً به دلیل باج‌افزارهای Ryuk، Phobos، GandCrab و Sodinokibi است. ناگفته نماند تروجان هایی مانند Emotet که بارهای باج افزار ثانویه را حمل می کنند. سازمان‌ها در هر اندازه‌ای مورد هدف باندهای تبهکار سایبری، هکرها و هکرهای تحت حمایت دولت قرار می‌گیرند که به دنبال امتیازهای بزرگ از شرکت‌هایی هستند، که دارای ذخیره‌سازی داده‌های ارزشمند در شبکه‌هایشان هستند. باز هم، این ارزش داده ها است، نه اندازه شرکت. دولت‌های محلی، مدارس، بیمارستان‌ها و ارائه‌دهندگان خدمات مدیریت‌شده (MSP) به همان اندازه ممکن است قربانی نقض داده‌ها یا باج‌افزار شوند.

میانگین هزینه نقض داده را در نظر بگیرید. در سال 2019، شرکت IBM “گزارش هزینه نقض داده” این رقم را 3.92 میلیون دلار نشان می دهد. در ایالات متحده، این رقم حتی بالاتر از 8.19 میلیون دلار است.

با در نظر گرفتن این داده‌های هشیارکننده، برای محافظت از نقاط پایانی، کارکنان، داده‌های شما، مشتریانی که به آنها خدمات می‌دهید و کسب‌وکارتان در برابر مجموعه‌ای خطرناک از تهدیدات سایبری و آسیب‌هایی که می‌توانند ایجاد کنند، خرید EDR بسیار مهم است.

برای اطمینان از اورجینال بودن لایسنس و مناسب ترین قیمت ها،  و دریافت مشاوره و خرید EDR از باما سافت باما تماس بگیرید.

ممنون که تا انتهای مقاله EDR چیست؟ همراه ما بودید، لطفاً سؤالات و نظرات خود را در قسمت دیدگاه ها، باما در میان بگذارید.

مطالب مرتبط
  1. اکتیو دایرکتوری (Active Directory) چیست و چگونه کار می کند؟
  2. اگر آنتی ویروس شما کار نمی کند چه باید کرد؟
  3. چگونه بفهمیم ویندوز 11 بر روی رایانه ما کار می کند یا خیر؟ برنامه Microsoft’s PC Health Check بازگشت
  4. لایسنس / نام کاربری، رمز عبور محصول ESET من کار نمی‌کند، چه کار کنم؟
  5. «Change Product Key» در ویندوز سرور کار نمی‌کند؛ چه کار کنم؟
  6. مایکروسافت استریم (Microsoft Stream) چیست و چه کاربردی دارد؟
  7. کنترل والدین کسپرسکی (Kaspersky Safe Kids) چیست و چه ویژگی هایی دارد؟
  8. شرکت اویرا چگونه از حریم شخصی و داده های من محافظت می کند؟
  9. آفیس 365 چیست ؟ و چه ویژگی هایی دارد؟
  10. ویژگی Real-Time Protection چیست، چه کاری انجام می دهد و چرا مهم است؟
  11. چگونه Microsoft Teams از هوش مصنوعی و یادگیری ماشینی برای بهبود تماس ها و جلسات استفاده می کند
  12. اگر لینک Change product key در ویندوز ۱۱ و ۱۰ کار نکند، چه کار کنیم؟
  13. پسورد آنتی ویروس ایست خود را فراموش کرده ام، چه کار کنم؟
  14. چگونه هکرها، گوشی را هک می کنند و چگونه می توانیم از آن جلوگیری کنیم؟
  15. چگونه با استفاده از AppLocker، کنترل کنیم که کدام برنامه‌ها می‌توانند در ویندوز اجرا شوند؟
  16. ویژگی Focus Assist چیست و چگونه در ویندوز 11 فعال می‌شود؟
  17. آخرین به روز رسانی ویندوز 11 می تواند رایانه شما را سریعتر کند
  18. مایکروسافت قصد دارد ویژگی های آزمایشی جدیدی را برای ویندوز 11 منتشر کند
  19. کامپیوترم ویروس گرفته، چه کار کنم؟ (راه حل برای از بین بردن ویروس کامپیوتر)
  20. چگونه می توانم آنتی ویروس بولگارد را از روی دستگاه خود حذف کنم ؟