در زمانهای نهچندان دور حملات سایبری بهصورت غیر هدفمند و توسط بدافزارها بهصورت انبوه صورت میگرفتند.
انبوه به این معنا که یا بهصورت اتوماتیک با ارسال ایمیل از یک منبع ثابت و به اهداف تصادفی، یا از طریق وب سایتهای فیشینگ به وقوع میپیوستند. شرکتهای امنیتی در مقابل اینگونه حملات اقدام به طراحی حفاظتاند پوینت Endpoint Protection Platformکردند.
در مواجهه با شناسایی مؤثر مبتنی بر EPP، مهاجمان به تاکتیک پرهزینهتر، اما مؤثرتر، برای انجام حملات هدفمند علیه قربانیان خاص روی آوردند. به دلیل هزینه زیاد، معمولاً از حملات هدفمند علیه شرکتها باهدف کسب سود از طریق باجخواهی استفاده میشود. شناسایی گام اول حملات هدفمند است. اینگونه از حملات برای نفوذ به سیستم IT قربانی و فرار از سد حفاظتی آن طراحی میشوند.
با توجه به اینکه حملات توسط انسان هدایت میشوند و روشهای متفاوتی را در برمیگیرند حملات هدفمند میتوانند بهراحتی از سد EPP عبور کنند.
اما EPP تنها روی یک اندپوینت و تحرکات خارجی و داخلی مرتبط به آن تمرکز میکند درحالیکه حملات پیشرفتهتر از طریق سروهای مختلف یک زنجیره حمله را طراحی میکنند و تنها ممکن است برخی از این تحرکات توسط EPP شناسایی شوند و مشکوک به نظر نرسند.
همچنین EPP بهصورت مستقل و خودکار عمل میکند و پروتکلهای مشخصی را در شناسایی استفاده مینماید. به همین دلیل مهاجمان بهراحتی میتوانند ازنظر آنها پنهان شوند.
کسپرسکی EDR توانایی حفاظت را به راهکارهای EPP موجود افزود EDR روی حملات هدفمند تمرکز دارد ولی EPP صرفاً روی حملات گسترده و با پیچیدگی کمتر اشراف دارد.
این راهحل امنیتی با تجزیهوتحلیل کنش بدافزارها و همه وقایع بهصورت کلی، تمام زنجیره حمله را شناسایی میکند.
همچنین قابلیت رؤیت رویداد چند میزبانه را داراست. به این معنی که تجمیع آثار حمله پراکنده در سراسر سیستم IT را بررسی میکند.
تهدیدات را با محاسبات سنگین و پیچیده فراتر ازآنچه در زیرساخت اندپوینت موجود است، بدون اینکه روی جریان معمول کار تداخلی ایجاد کند تشخیص میدهد.
کسپرسکی EDR تمام رویدادها را بهطور مستمر مورد ارزیابی قرار داده و دادههای مربوط را بدون توجه به مشکوک بودن یا نبودن گردآوری میکند. به همین دلیل میتواند در مقابل بدافزارهای ناشناخته مؤثرتر عمل کند. البته مکان غیرفعال کردن این قابلیت وجود دارد ولی در این شرایط اطلاعت احراز هویت مسروقه دیگر بهعنوان یک رفتار مشکوک تلقی نمیشوند، و همچنین بدافزارهای ناشناخته نیز به کار خود ادامه میدهند.
تهدیدات تک میزبان برای EPP قابلشناسایی بودهاند کسپرسکی EDR لایههایی از تشخیص را با دامنه چند میزبان اضافه میکند. در کنار شناسایی رویداد محور EDR هر چیزی را که مشکوک به نظر برسد به هسته مرکزی میفرستد تا با استفاده از الگوریتمهای مبتنی بر یادگیری ماشین مورد ارزیابی عمیقتر قرار بگیرند.
شناسایی دستی یا «شکار تهدید» یک جستجوی فعال است که توسط کاربر برای رهگیری حملات و تهدیدات به کار میرود. EDR اجازه شناسایی تهدیدات را از جایجای تاریخچه وقایع ثبتشده به شما میدهد. کاربر میتواند در حافظه به تعقیب حملات و رویدادهای مشکوک پرداخته و ارتباط آنها را برای بازسازی زنجیره حمله احتمالی کشف نماید. آیتمهای جستجو میتوانند از فیلترهای مختلفی برای کسب نتایج دقیقتر استفاده کنند.
میتوان بهصورت دستی موارد و مشکوک را برای تحلیل عمیق انتخاب کرد. کاربر همچنین این گزینه وجود دارد که کاربر نسبت به وقایع مستقیماً واکنش نشان دهد این اقدام میتواند شامل بازسازی وقایع در زنجیره حمله، تداخل در فرآیند با پاک کردن، قرنطینه و یا اجرای نرمافزارها و بازگردانی تغییراتی که توسط EPP به علت فعالیت بدافزارها شکلگرفتهاند.
باوجود چنین قابلیتهای در ثبت وقایع و بررسی عمیق آنها همچنین در اختیار داشتن نگاه کلی به شبکه بهجای تمرکز بر تنها یک اندپوینت میتوان گفت کسپرسکی EDR میتواند شکل پیشرفتهتری از تهدیدات را شناسایی و خنثی نمایند.
سامانه Kaspersky Endpoint Detection and Response (EDR) Optimum یک ابزار خودکار متمرکز است که حملات پیشرفته و هدفمند را به روشهایی که کار را برای کارکنان و منابع IT آسان میکند، بررسی میکند.
یک Kaspersky EDR Optimum ضمن استفاده از عامل، دید بهبودیافته، ظرفیت تحلیل علت ریشه و پاسخ خودکار را به EPP قوی موجود (Kaspersky Endpoint Security for Business) اضافه میکند. دادهها از این میزبانها جمعآوری و تجزیهوتحلیل میشوند و گزارش، اطلاعات دقیق وقایع و گزینههای پاسخ در مورد حوادث از طریق کنسول Kaspersky Security Center ارائه میشوند. پاسخ به حوادث میتواند بهصورت خودکار یا بافرمان کاربر باشد. پاسخ خودکار بهمنظور پاسخگویی به حوادث مشابه در بسیاری از میزبانها بدون دخالت انسان تنظیم میشود کارکرد Kaspersky EDR Optimum را تا حد امکان سادهشده است.
پس از نصب، کارکنان امنیت فناوری اطلاعات فقط باید هرچند وقت یکبار کنسول را بررسی کنند تا وقایع ایجادشده را پردازش نمایند، تجزیهوتحلیل علت اصلی را انجام داده و به حوادث پاسخ دهند. این سطح بالای خودکارسازی، نیازی به مأمور امنیتی برای بررسی حجم عظیمی از دادهها در هرروز را از بین میبرد. در عوض، به آنها کمک میکند تا توجه خود را بر روی کنشهای مشکوک متمرکز کنند و تمام اطلاعات موردنیاز را در اختیار آنها بگذارند.
بهبیاندیگر Kaspersky EDR Optimum برای سازمانهایی طراحیشده که از منابع کافی مانند در دسترس نبودن متخصص امنیتی یا فقدان منابع مالی موردنیاز، برای حضور متخصص امنیت درونسازمانی برخوردار نیستند.
این راهکار امنیتی برای شناسایی و پاسخ خودکار تهدیدات از ابزارهای اطلاعاتی زیر استفاده میکند.
شبکه امنیتی کسپرسکی KSN : یک زیرساخت ابری است که دسترسی آنلاین به پایگاه دانش کسپرسکی فراهم میکند این پایگاه دانشبنیان حاوی اطلاعات از اعتبار نرمافزارها و بخشی از وب سایتها است.
استفاده از پایگاه داده کسپرسکی باعث اطمینان از افزایش سرعت در پاسخ به تهدیدات، بهبود عملکرد و جلوگیری از پیام شناسایی خطا میشود.
یکپارچهسازی با شبکه خصوصی امنیت کسپرسکی KPSN که به کاربران اجازه دسترسی به پایگاه داده و سایر اطلاعات آماری را میدهد بدون اینکه اطلاعاتی از سمت کاربر ارائه شود.
یکپارچهسازی با مرکز اطلاعت تهدیدات کسپرسکی که حاوی اطلاعات وب سایتها است.
تمام این منابع به EDR Optimum اجازه میدهد در برخورد و شناسایی خطرات بالقوه و تهدیدات امنیتی با حداکثر سرعت و دقت بهصورت خودکار عمل کند. و مهم ترین تفاوت EDR و EDR Optimum کسپرسکی در همین خلاصه می شود.
هر دو سامانه امنیتی EDR Optimum و کسپرسکی EDR برای شناسایی عوامل تهدید صرفاً روی بدافزارهای شناختهشده و روشهای مرسوم تأکید نمیکنند، بلکه علاوه بر این موارد با تجزیه تحلیل دقیق سیستم رفتارهای کاربران و تعاملات میان آن هار ثبت و ضبط نموده و بهدقت مورد تجزیه تحلیل قرار میدهند.
هر زمان که رفتار مشکوکی از سمت هر کاربر برخورد کنند، بهطور خاص مورد ارزیابی و کنترل قرار خواهد گرفت و در صورت ادامهدار بودن، بهعنوان تهدید شناسایی میشوند.
آنچه در کسپرسکی EDR Optimum بهعنوان یک مزیت ویژه افزودهشده است امکان خودکار سازی بهواسطه یکپارچهسازی با پایگاه داده کسپرسکی جهت انطباق رفتارها با دادههای بهدستآمده دیگر است.
منبع: پایگاه دانش پارس تدوین