(Endpoint Detection and Response) EDR یک جایگزین مدرن برای مجموعه های امنیتی آنتی ویروس است. برای چند دهه، سازمانها و کسبوکارها به امید حل چالشهای امنیت سازمانی، روی مجموعههای آنتیویروس سرمایهگذاری کردهاند. اما همانطور که پیچیدگی و شیوع تهدیدات بدافزار در ده سال گذشته افزایش یافته است. کاستی های آنتی ویروسی که اکنون از آن به عنوان “میراث” یاد می شود بسیار معلوم شده است.
در پاسخ، برخی از فروشندگان دوباره به چالش های امنیت سازمانی فکر کردند و راه حل های جدیدی برای شکست آنتی ویروس ارائه کردند. EDR چه تفاوتی با آنتی ویروس دارد؟ چگونه و چرا EDR موثرتر از AV (Antivirus) است؟ و پیچیدگی های جایگزینی AV با یک EDR پیشرفته در چیست؟ پاسخ تمام این سوالات و موارد دیگر را در این پست خواهید یافت.
برای اینکه به اندازه کافی از کسب و کار یا سازمان خود در برابر تهدیدات محافظت کنید، مهم است که تفاوت بین EDR و آنتی ویروس سنتی یا قدیمی را درک شود. این دو رویکرد امنیتی، اساساً متفاوت هستند و تنها یکی برای مقابله با تهدیدات مدرن مناسب است.
در روزهایی که تعداد تهدیدات بدافزار جدید در روز را میتوان به راحتی در یک سند Excel شمارش کرد، آنتیویروس ابزاری برای مسدود کردن بدافزارهای شناختهشده با بررسی – یا اسکن – فایلهایی که روی دیسک روی یک دستگاه کامپیوتری نوشته شده بودند را به شرکتها ارائه داد. اگر فایل موردنظر در پایگاه داده فایل های مخرب اسکنر AV «شناخته شده» بود، نرم افزار از اجرای فایل بدافزار جلوگیری می کرد.
پایگاه داده آنتی ویروس سنتی از مجموعه ای از امضاها تشکیل شده است. این امضاها ممکن است حاوی هشهای یک فایل بدافزار و/یا قوانینی باشند که حاوی مجموعهای از ویژگیهایی هستند که فایل میبایست با آنها مطابقت داشته باشد. چنین ویژگیهایی معمولاً شامل مواردی مانند: رشتههای قابل خواندن توسط انسان یا دنبالههایی از بایتهای موجود در فایل اجرایی بدافزار، نوع فایل، اندازه فایل و انواع دیگر فرادادههای مربوط به فایل است.
برخی از موتورهای آنتی ویروس همچنین می توانند تجزیه و تحلیل اکتشافی اولیه را روی فرآیندهای در حال اجرا (Running processes) انجام دهند و یکپارچگی فایل های مهم سیستم را بررسی کنند. این بررسیهای «بعد از واقعیت» یا پس از آلودگی پس از سیل نمونههای بدافزار جدید به طور روزانه به بسیاری از محصولات AV اضافه شد. که به دلیل حجم بالا،اینکار از توانایی فروشندگان AV برای بهروز نگهداشتن پایگاههای دادهشان خارج شد.
با توجه به تهدیدات رو به رشد و کاهش کارایی رویکرد آنتی ویروس، برخی از فروشندگان قدیمی سعی کرده اند آنتی ویروس را با سرویس های دیگری مانند کنترل فایروال (firewall control)، رمزگذاری داده ها (dataencryption)، مجوز فرآیند (process allows) و لیست های مسدود (Blocklists) ، و سایر ابزارهای مجموعه AV تکمیل کنند. چنین راه حل هایی که به طور کلی به عنوان “EPP” (Endpoint Protection Platforms) یا پلتفرم های محافظت نقطه پایانی شناخته می شوند، مبتنی بر رویکرد امضاء هستند.
در حالی که تمرکز همه راهحلهای AV بر روی فایلهای (بالقوه مخرب) است که به سیستم معرفی میشوند، یک EDR به صورت بلادرنگ بر جمعآوری دادهها از نقطه پایانی و بررسی آن دادهها برای الگوهای غیرعادی عمل میکند. همانطور که از نام EDR پیداست، ایده این سیستم تشخیص عفونت و شروع پاسخ است. هرچه EDR سریعتر بتواند این کار را بدون دخالت انسان انجام دهد، موثرتر خواهد بود.
یک EDR خوب همچنین شامل قابلیت هایی برای مسدود کردن فایل های مخرب است، اما مهمتر از همه EDR ها تشخیص می دهند که همه حملات مدرن مبتنی بر فایل نیستند. علاوه بر این، EDRهای فعال ویژگیهای مهمی را که در آنتیویروس یافت نمیشوند به تیمهای امنیتی ارائه میدهند. از جمله پاسخ خودکار و دید عمیق در مورد تغییرات فایل، ایجاد فرآیند و اتصالات شبکه در نقطه پایانی: برای شکار تهدیدات (threat hunting)، پاسخ به حادثه (incident response)، و جرم شناسی دیجیتال (digital forensics) حیاتی است.
دلایل زیادی وجود دارد که چرا راهحلهای آنتی ویروس نمیتوانند با تهدیداتی که امروزه شرکتها با آن مواجه هستند، هماهنگی داشته باشند. اول، همانطور که در بالا اشاره شد، تعداد نمونههای بدافزار جدیدی که روزانه مشاهده میشوند، بیشتر از تعداد افرادی است که روی فایل های مخرب اثر انگشت میگذارند (توضیح مترجم: یک سری افراد در تیم های امنیتی روی فایل های مخرب یک امضا قرار میدهند که امکان شناسایی، حذف و قرنطینه را به آنتی ویروس میدهد. به این ترتیب کسانی که این اثر انگشت هارا روی ویروس ها میگذارند team of signature writers میگویند . این لینک توضیحات مناسبی دارد).
دوم، شناسایی از طریق امضاهای آنتی ویروس اغلب میتواند به راحتی توسط عوامل تهدید حتی بدون بازنویسی بدافزار آنها دور زده (Bypass) شود. از آنجایی که امضاها فقط بر روی چند مشخصه از فایل تمرکز دارند، نویسندگان بدافزار یاد گرفتهاند که چگونه بدافزاری ایجاد کنند که ویژگیهای متغیری داشته باشد که به عنوان بدافزار چند شکلی (polymorphic malware)نیز شناخته میشود. برای مثال، هشهای فایل یکی از سادهترین ویژگیهای یک فایل برای تغییر هستند، اما رشتههای داخلی (internal strings) نیز میتوانند بهطور تصادفی، با تولید هر نسخه از بدافزار رمزگذاری شوند.
سوم، عوامل تهدید با انگیزه مالی مانند سازندگان باج افزار، فراتر از حملات بدافزار مبتنی بر فایل عمل کرده اند. حملات درون حافظه یا بدون فایل رایج شدهاند، و حملات باجافزاری که توسط انسان انجام میشود، مانند Hive – همراه با حملات «اخاذی مضاعف» مانند Maze، Ryuk و موارد دیگر – که ممکن است با اعتبار اجباری به خطر افتاده یا بیرحمانه یا سوءاستفاده از RCE (اجرای کد از راه دور) (Remote code execution)شروع شود. آسیبپذیریها، میتوانند منجر به به خطر افتادن و از دست دادن مالکیت شود. و دیگر با استفاده از آنتی ویروس و شناسایی امضای دیجیتال نمیشود کاری کرد.
EDR با تمرکز بر روی ارائه دید همراه با پاسخهای تشخیص خودکار به تیمهای امنیتی سازمانی، برای مقابله با عوامل تهدید امروزی و چالشهای امنیتی که آنها ارائه میکنند بسیار مجهزتر است.
EDR با تمرکز بر شناسایی فعالیت غیرمعمول و ارائه پاسخ، تنها به شناسایی تهدیدهای شناخته شده و مبتنی بر فایل محدود نمی شود. برعکس، ارزش اصلی EDR این است که مثل آنتی ویروس نیست و تهدید نیازی به تعریف دقیق ندارد،. یک راه حل EDR می تواند الگوهای فعالیت غیرمنتظره، غیرمعمول و ناخواسته را جستجو کند و هشداری را برای تحلیلگر امنیتی صادر کند تا آن را بررسی کند.
علاوه بر این، از آنجایی که EDR ها با جمع آوری طیف وسیعی از داده ها از تمام نقاط پایانی محافظت شده کار می کنند، به تیم های امنیتی این فرصت را می دهند تا آن داده ها را در یک رابط راحت و متمرکز گرد هم آورند. تیمهای فناوری اطلاعات میتوانند آن دادهها را گرفته و آنها را با ابزارهای دیگر برای تجزیه و تحلیل عمیقتر ادغام کنند و به اطلاعرسانی وضعیت امنیتی کلی سازمان در هنگام حرکت برای تعریف ماهیت حملات احتمالی آینده کمک کنند. داده های جامع از یک EDR همچنین می تواند شکار و تجزیه و تحلیل تهدیدات گذشته نگر را امکان پذیر کند.
علاوه بر این، از آنجایی که EDR ها با جمع آوری طیف وسیعی از داده ها از تمام نقاط پایانی محافظت شده کار می کنند، به تیم های امنیتی این فرصت را می دهند تا آن داده ها را در یک رابط راحت و متمرکز تجسم کنند. تیمهای فناوری اطلاعات میتوانند آن دادهها را گرفته و آنها را با ابزارهای دیگر برای تجزیه و تحلیل عمیقتر ادغام کنند و به اطلاعرسانی وضعیت امنیتی کلی سازمان در هنگام حرکت برای تعریف ماهیت حملات احتمالی آینده کمک کنند. همچنین می تواند شکار و تحلیل تهدیدات گذشته نگر را فعال کند.
موتورهای آنتی ویروس علیرغم محدودیتهایشان وقتی به تنهایی یا بهعنوان بخشی از راهحل EPP مستقر میشوند، میتوانند تمجیدهای مفیدی برای راهحلهای EDR باشند، و بیشتر EDRها شامل برخی از عناصر مسدودسازی مبتنی بر امضا و هش به عنوان بخشی از استراتژی «دفاع در عمق» هستند.
با ترکیب موتورهای آنتی ویروس در یک راه حل موثرتر EDR، تیم های امنیتی سازمانی می توانند از مزایای مسدود کردن ساده بدافزارهای شناخته شده بهره ببرند و آن را با ویژگی های پیشرفته ای که EDR ها ارائه می دهند ترکیب کنند.
همانطور که قبلاً اشاره کردیم، EDR ها امنیت سازمانی و تیم های فناوری اطلاعات را در تمام نقاط پایانی در سراسر شبکه سازمان دید عمیقی ارائه می دهند و تعدادی از مزیت ها را امکان پذیر می کند. با این حال، علیرغم این مزایا، بسیاری از راهحلهای EDR تأثیری را که تیمهای امنیتی سازمانی امیدوار بودند، نداشته باشند، زیرا به منابع انسانی زیادی برای مدیریت نیاز دارند: منابعی که اغلب به دلیل محدودیتهای کارکنان یا بودجه در دسترس نیستند یا به دلیل کمبود مهارتهای امنیت سایبری، غیرقابل دسترسی هستند.
بسیاری از سازمانهایی که در EDR سرمایهگذاری کردهاند، بهجای لذت بردن از امنیت بیشتر و کار کمتر برای تیمهای امنیتی و IT خود، به سادگی منابع را از یک وظیفه امنیتی به دیگری تخصیص دادهاند: به دور از تریاژ دستگاههای آلوده تا تریاژ کوهی از هشدارهای EDR.
و با این حال لازم نیست اینطور باشد. شاید ارزشمندترین پتانسیل EDR توانایی آن در کاهش مستقل تهدیدات بدون نیاز به دخالت انسان باشد. با استفاده از قدرت یادگیری ماشین و هوش مصنوعی، Active EDR بار را از دوش تیم SOC برمیدارد و میتواند به طور مستقل رویدادها را در نقطه پایانی بدون تکیه بر منابع ابری کاهش دهد.
این سناریوی معمولی را در نظر بگیرید: کاربر یک برگه را در Google Chrome باز می کند، فایلی را که معتقد است امن است دانلود می کند و آن را اجرا می کند. این برنامه از PowerShell برای حذف پشتیبانگیریهای محلی استفاده میکند و سپس شروع به رمزگذاری تمام دادههای روی دیسک میکند.
کار یک تحلیلگر امنیتی با استفاده از راه حل های EDR غیرفعال می تواند سخت باشد. با وجود هشدارها، تحلیلگر باید داده ها را در یک گزارش معنادار جمع کند. با EDRفعال ، این کار در عوض توسط عامل در نقطه پایانی انجام می شود. EDR فعال گزارش کامل را می داند، بنابراین در زمان اجرا، قبل از شروع رمزگذاری، این تهدید را کاهش می دهد.
هنگامی که داستان کمرنگ میشود، تمام عناصر موجود در آن داستان، تا برگه کروم که کاربر در مرورگر باز کرده است، مورد مراقبت قرار داده میشود. با دادن شناسه TrueContext به هر یک از عناصر داستان کار می کند. این داستانها سپس به کنسول مدیریت ارسال میشوند و امکان مشاهده و جستجوی آسان تهدید را برای تحلیلگران امنیتی و مدیران فناوری اطلاعات فراهم میکنند.
در حالی که Active EDR گام بعدی برای سازمانهایی است که هنوز آنتی ویروس را پشت سر نمیگذارند، شرکتهایی که به حداکثر دید و یکپارچگی در کل دارایی خود نیاز دارند، باید به تشخیص و پاسخ گسترده یا XDR فکر کنند.
XDR ، EDR را با ادغام تمامی کنترلهای دید و امنیت در یک نمای کاملاً جامع از آنچه در محیط شما اتفاق میافتد به سطح بعدی میبرد. XDR با یک مجموعه واحد از دادههای خام شامل اطلاعات از کل اکوسیستم، امکان شناسایی و پاسخ سریعتر، عمیقتر و مؤثرتر تهدید را نسبت به EDR میدهد و دادهها را از طیف وسیعتری از منابع جمعآوری و جمعآوری میکند.
عوامل تهدید مدتهاست که فراتر از آنتیویروس و EPP فراتر رفته اندو سازمانها باید در نظر داشته باشند که چنین محصولاتی با تهدیداتی که امروزه فعال هستند همخوانی ندارند. حتی نگاهی گذرا به سرفصلها نشان میدهد که سازمانهای بزرگ و ناآماده با وجود اینکه روی کنترلهای امنیتی سرمایهگذاری کردهاند، توسط حملات مدرن مانند باجافزار گرفتار شدهاند. وظیفه ما، به عنوان مدافع، این است که اطمینان حاصل کنیم که نرم افزار امنیتی ما نه تنها برای حملات دیروز، بلکه برای امروز و فردا مناسب است.
