شرکت دانش بنیان گراف
شرکت دانش بنیان گراف
خواندن ۵ دقیقه·۲ سال پیش

EDR چیست ؟ چرا شرکت ها باید از EDR استفاده کنند؟

مقدمه

EDR جزو پیشرفته ترین ابزارهایی است که در حوزه امنیت مورد استفاده قرار میگیرد و طرفداران زیادی هم دارد. اما هنوز هم بسیاری از سازمان ها هستند که آن را نمیشناسند. ما در این مطلب قصد داریم درباره اینکه EDR چیست و اهمیت آن برای شرکت ها چیست صحبت کنیم.

EDR چیست؟

عبارت EDR مخفف شده‌ی عبارت Endpoint detection and response به معنای تشخیص تهدیدات امنیتی و پاسخ به آن هاست.

دستکاری یا نشت داده‌ها، دلایلی هستند که سازمان‌ها را مجبور به تمرکز بر راهکار‌های جلوگیری از نفوذ می‌کنند. بر اساس گزارش شرکت IBM، یک حمله سایبری با هدف دسترسی به داد‌ه‌ها، با احتمال ۲۷. ۷درصد ممکن است برای یک سازمان رخ دهد.

با توجه به این موضوع، سازمان‌ها باید با استفاده از ابزار‌های تشخیص(Detection)، شناسایی (Identification)، پاسخ دهی(Response) و بهبود(Recovery) از حملات جلوگیری کنند.

یک راهکار تشخیص و پاسخ‌دهی به حملات سایبری، استفاده از EDR است که قابلیت شناسایی، تحلیل و پاسخ دهی به تهدیدات را دارد.

EDR در اصل عملکردی مشابه جعبه سیاه هواپیما دارد. در طول پرواز، جعبه سیاه اطلاعاتی مثل ارتفاع، سرعت هوا، و مصرف سوخت و... را ذخیره می‌کند. اگر هواپیما سقوط کند متخصصان از اطلاعات موجود در جعبه سیاه استفاده می‌کنند تا عوامل مؤثر بر سقوط را شناسایی کنند و مانع بروز چنین مشکلاتی در سفر‌های بعدی شوند. به طور مشابه در EDR نیز از چنین روشی استفاده می‌شود.

نقاط پایانی از اهداف محبوب هکر‌ها هستند زیرا زمینه‌ی آسیب‌پذیری امنیت را فراهم می‌کنند و حفاظت از آن‌ها کاری بسیار مشکل است. تمرکز اصلی EDR یا جعبه سیاه روی سیستم­های End-user مانند سیستم‌ها، لپ‌تاپ‌ها و تلفن‌های همراه است و رفتار‌های مشکوک مثل ورود بدافزار‌ها و حمله‌های سایبری را شناسایی می‌کنند.

از داده‌های موجود در EDRبرای درک چگونگی تهدیدات سایبری و چگونگی پاسخ سازمان‌ها به تهدیدات استفاده می‌کنند. در واقع EDR نوعی عملکرد برای بررسی و بازبینی کامپیوتر‌های متصل به اینترنت برای ردیابی هر نوع اقدام و فعالیت مشکوک است. سازمان‌ها می‌توانند از اطلاعات به‌دست‌آمده توسط EDR برای تقویت امنیت در برابر حملاتی که در آینده ممکن است رخ دهد و همچنین کاهش زمان ماندن برای تهدیدات احتمالی استفاده کنند.

وظایف اصلی سیستمامنیتی EDR:

• شناسایی و جمع‌آوری اطلاعات فعالیت‌ها از نقاط پایانی

• تحلیل و بررسی داده‌ها برای شناسایی تهدید‌ها

• پاسخ گویی خودکار به تهدید‌های شناسایی شده

• جرم‌شناسی و جستجوی فعالیت‌های مشکوک

EDR چگونه کار می‌کند؟

EDR به تمامی فعالیت‌های در حال انجام در نقاط پایانی نظارت می‌کند و اطلاعات مربوط به آن را ذخیره می‌کند. در اینجا مراحلی وجود دارد که یک راه حل EDRبرای محافظت از نقاط پایانی انجام می‌دهد:

۱. نظارت بر داده‌های نقاط پایانی

EDR به صورت مداوم بر ترافیک خروجی و ورودی در نقاط پایانی نظارت می‌کند، راه حل‌های موجود در EDR آن را قادر می‌سازد تا ویژگی‌های رفتار مشکوک و سالم را یاد بگیرد و رمزگشایی کند.

۲. شناسایی ناهنجاری‌ها

EDR به سرعت رفتار‌های ناشناخته را در نقطه پایانی شناسایی می‌کند. در نتیجه، سازمان‌ها می‌توانند مسیر مهاجم را ردیابی کنند.

۳. اصلاح خودکار

هنگامی که EDR با استفاده از قوانین از پیش تعریف شده پیکربندی می‌شود، می‌تواند خودکار عملیات واکنش سریع به حادثه را برای مسدود کردن IOC اجرا کند.

۴. جدا کردن بخش‌های آسیب دیده

هنگامی که یک حادثه سایبری شناسایی می‌شود، EDR بخش‌هایی که تحت تأثیر قرار گرفته‌اند را بلوکه می‌کند و از انتشار مصنوعات مخرب در سراسر شبکه جلوگیری می‌کند.

۵. تحقیق و یادگیری

همانطور که گفته شد EDRتهدید‌ها را ایزوله می‌کند و به صورت خودکار هر IOC را با شناسایی فعالیت مخرب مسدود می‌کند. سپس IOC‌ها را برای جلوگیری از حوادث مشابه در آینده بررسی و تحلیل می‌کند.

۶. ارسال هشدار برای تیم‌های SOC

پس از یک رویداد امنیتی، تمام نقاط داده تحت تأثیر برای بررسی بیشتر و برنامه‌ریزی طبقه‌بندی و ادغام می‌شوند.

چرا EDR برای سازمان‌ها اهمیت دارد؟

مهاجمان به دلیل داشتن انگیزه و زمان و منابع کافی، در نهایت راهی برای نفوذ به اطلاعات سازمان‌ها خواهند یافت. در ادامه دلایل قانع‌کننده‌ای وجود دارد که EDR باید بخشی از استراتژی امنیتی نقطه پایانی سازمان شما باشد.

• پیشگیری نمی‌تواند به تنهایی امنیت را تضمین کند

اگر تنها تدبیر امنیتی سازمان پیشگیری از وقوع رویداد‌های امنیتی باشد؛ زمانی که با شکست مواجه می‌شود، در سردرگمی و ابهام عمیقی فرو خواهد رفت. مهاجمان از این موقعیت برای معطل ماندن و حرکت در شبکه استفاده می‌کنند.

• دشمنان می‌توانند هفته‌ها داخل شبکه باشند

بسیاری از مهاجمان حرفه‌ای می‌توانند بدون ایجاد هیچ رد پایی از خود برای مدت‌ها در شبکه بمانند و دسترسی‌هایی برای خود ایجاد کنند. سازمان‌ها برای شناسایی اینگونه تهاجمات پیشرفته، به ابزار‌های تجزیه و تحلیل نیاز دارند.

• عدم وجود نظارت درست بر نقاط پایانی سازمان‌ها

پس از کشف حملات امنیتی، سازمان می‌تواند برای اصلاح حادثه مدت‌ها تلاش کند، اما در صورت نبود اطلاعاتی مبنی بر اینکه دقیقاً چه اتفاقی افتاده، چگونه رخ داده و چگونه آن را برطرف کند موفق نخواهد بود.

• داشتن اطلاعات کافی برای پاسخ به رویداد و جلوگیری از رویداد‌های بعدی

همانطور که گفته شد بدون پلتفرم‌های نظارتی سازمان‌ها ممکن است دید لازم برای درک آنچه در نقاط پایانی آن اتفاق می‌افتد را نداشته باشند. برای پاسخگویی به یک حمله و یا جلوگیری از وقوع حملات آتی بهترین راه ایجاد و استفاده از بانک اطلاعاتی است.

• داشتن تیم پشتیبانی امنیت علاوه بر پلتفرم

حتی اگر تمامی داده‌های مربوط به حملات هم ذخیره شوند؛ به تیم امنیتی برای بررسی و تجزیه و تحلیل این داده‌ها نیاز است.

با توجه به مطالب گفته شده و بیان اهمیت تضمین امنیت در سازمان­ها، واجب است که مدیران تدابیر امنیتی مطمعنی را برای سازمان خود در نظر بگیرند.

شرکت گراف با ارائه EDR اختصاصی خود، که توانایی های منحصر بفرد بسیاری دارد، توانسته رضایت حداکثری مشتریان خود را جلب نماید.

edr
شرکت گراف یک مجموعه نرم‌افزاری و دانش بنیان است که در حوزه شناسایی و مقابله با تهدیدات پیشرفته سایبری فعالیت می‌کند.
شاید از این پست‌ها خوشتان بیاید