EDR چیست؟ و چه تفاوتی با آنتی ویروس سازمانی دارد؟

مزایای EDR

EDR، با تمرکز بر ارائۀ امکان مشاهدۀ بیشتر و تشخیص خودکار به تیم‌های امنیتی سازمان‌ها، امکانات بیشتری برای مقابله با عاملان تهدید امروزی و مشکلات امنیتی‌شان دارد.

EDR فقط محدود به تشخیص تهدیدهای شناخته‌شده و مبتنی بر فایل نیست، چون روی شناسایی فعالیت‌های غیرعادی و شناسایی پاسخ تمرکز دارد. از سوی دیگر، مزیت اصلی EDR این است که لازم نیست تهدیدها به همان دقت راهکارهای آنتی ویروسی تعریف شوند. راهکار EDR می‌تواند به دنبال الگوهای فعالیت غیرمنتظره، غیرعادی و ناخواسته باشد و به تحلیلگر امنیتی برای بررسی موضوع اطلاع دهد.

به‌علاوه،‌ از آن‌جا که EDRها با گردآوری گسترۀ وسیعی از داده‌ها از تمام نقاط پایانی تحت محافظت کار می‌کنند، این فرصت را در اختیار تیم‌های امنیتی قرار می‌دهند تا داده‌ها در قالب رابط مناسب و متمرکزی تصویرسازی کنند. تیم‌های فناوری اطلاعات می‌توانند این داده‌ها را استخراج و برای تحلیل عمیق‌تر با سایر ابزارها ترکیب کنند تا سازمان بتواند ماهیت حمله‌های احتمالی بالقوه را شناسایی و موضع امنیتی کلی‌اش را تقویت کند. همچنین، داده‌های جامع حاصل از EDR می‌توانند امکان شکار و تحلیل گذشته‌نگر تهدید را فراهم کنند.

احتمالاً، یکی از بزرگترین مزایای EDR پیشرفته امکان استخراج این داده‌ها، مفهوم‌سازی‌شان روی دستگاه و رفع تهدید بدون مداخلۀ انسان است. با این حال، همۀ EDRها قادر به این کار نیستند، چون بسیاری از آن‌ها متکی بر انتقال داده‌های EDR به ابر برای تحلیل راه‌دور (و بنابراین، باتأخیر) هستند.

EDR چگونه آنتی ویروس را تکمیل می‌کند؟

موتورهای آنتی ویروس، با وجود محدودیت‌هایی که هنگام استفادۀ مستقل یا به‌عنوان بخشی از راهکار EPP دارند، می‌توانند مکمل‌های سودمندی برای راهکار EDR باشند. اغلب EDRها هم حاوی برخی از عناصر مسدودسازی بر پایة امضا و هش (به‌عنوان بخشی از راهبرد «دفاع عمیق») هستند.

با به‌کارگیری موتورهای آنتی ویروس در راهکار موثرتر EDR، تیم‌های امنیتی سازمان‌ها می‌توانند از مزایای مسدودسازی سادۀ بدافزارهای شناخته‌شده بهره‌مند شوند و آن را با ویژگی‌های پیشرفتۀ EDR ترکیب کنند.

جلوگیری از انباشتگی هشدار با EDR فعال

همان‌طور که قبل‌تر اشاره شد، EDRها امکان مشاهدۀ عمیق تمام نقاط پایانی موجود در شبکۀ سازمان را برای تیم‌های امنیت سازمانی و فناوری اطلاعات فراهم می‌کنند. این امکان مزایای متعددی دارد. البته با وجود این مزایا، بسیاری از راهکارهای EDR نمی‌توانند اثرگذاری مورد انتظار تیم‌های امنیتی سازمان را داشته باشند، چون مدیریت‌شان به منابع انسانی زیادی نیاز دارد: منابعی که غالباً به علت محدودیت‌های تأمین کارکنان یا بودجه، در دسترس نیستند یا به علت کمبود مهارت‌های امنیت سایبری در اختیار نیستند.

بسیاری از سازمان‌هایی که روی EDR سرمایه‌گذاری کرده‌اند، به‌جای برخورداری از امنیت بیشتر و سبک‌شدن کار تیم‌های امنیت و فناوری اطلاعات‌شان، صرفاً مجبور می‌شوند منابع را از یک وظیفۀ امنیتی به وظیفه‌ای دیگر تخصیص دهند. به این ترتیب، به‌جای رفع مشکلات دستگاه‌های آلوده، مجبور به رفع تعداد زیادی هشدار EDR می‌شوند.

اما نیازی به این کار نیست. می‌توان گفت ارزشمندترین قابلیت EDR دفع خودکار تهدیدها بدون نیاز به مداخلۀ انسان است. با استفاده از قدرت یادگیری ماشین و هوش مصنوعی، EDR فعال، با استفاده از قدرت یادگیری ماشین و هوش مصنوعی، باری از روی دوش تیم امنیت سازمانی برمی‌دارد و می‌تواند به صورت خودکار و بدون نیاز به منابع ابری، مانع وقوع رخداد در نقطة پایانی شود.

این موضوع به این معناست که تهدیدها به سرعت ماشین (سریع‌تر از تحلیل ابری راه‌دور) و بدون نیاز به دخالت انسان دفع می‌شوند.

کاربردهای EDR فعال برای تیم‌تان

این سناریوی معمول را در نظر بگیرید: کاربر تبی را در گوگل کروم باز می‌کند و فایلی از نظر خودش بی‌خطر را دانلود و اجرا می‌کند. این برنامه با استفاده از PowerShell تمام فایل‌های پشتیبان محلی را حذف و شروع به رمزنگاری تمام داده‌های روی دیسک می‌کند.

کار تحلیلگر امنیتی با راهکارهای EDR غیرفعال می‌تواند دشوار باشد. این تحلیلگر، که با هشدارهای زیادی احاطه شده است، باید داده‌ها را کنار هم بگذارد و روایت یا گزارشی معنادار به دست بیاورد. با استفاده از EDR فعال، این کار توسط ایجنتی در نقطۀ پایانی انجام می‌شود. EDR فعال از روایت کامل باخبر است، بنابراین این تهدید را در زمان اجرا و پیش از شروع رمزنگاری دفع می‌کند.

وقتی از ابعاد ماجرا کاسته می‌شود، تمام عناصر دخیل در گزارش (حتی تبی که کاربر در مرورگر کروم باز کرده) تحت رصد قرار می‌گیرند. به این منظور  به هر رخداد بر اساس نوع و دسته آن یک شناسه تخصیص داده می‌شود. سپس، این گزارش رخدادها به کنسول مدیریت ارسال می‌شوند تا تحلیلگران امنیتی و مدیران فناوری اطلاعات امکان مشاهده و شکار آسان تهدیدها را داشته باشند.

ارتقای امنیت با استفاده از EDR

حال که برتری‌های مشهود سیستم EDR را بر آنتی ویروس دیدیم، گام بعدی چیست؟ انتخاب EDR مناسب مستلزم شناخت نیازهای سازمان‌تان و قابلیت‌های محصول است.

همچنین، گرچه انجام تست مهم است، ولی اطمینان از کاربرد این تست‌ها در جهان واقعی مهم‌تر است. تیم‌تان چطور از این محصول در عملیات‌های روزانه استفاده می‌کند؟ یادگیری آن چقدر آسان است؟ وقتی سرویس‌های ابری که سیستم به آن‌ها متکی است، آفلاین یا خارج از دسترس هستند، همچنان این محصول از شرکت‌تان محافظت می‌کند؟

پیاده‌سازی و توزیع آن نیز مهم است. آیا می‌توانید استقرار راهکار EDR به صورت خودکار امکان‌پذیر است؟ راهکار با پلتفرم‌های شما سازگار است؟ آیا سازندۀ مدنظرتان به یک اندازه به ویندوز، لینوکس و سیستم عامل مکینتاش اهمیت می‌دهد؟ در نظر داشته باشید باید از همۀ نقاط پایانی محافظت شود. هر نقطۀ پایانی‌ای که به حال خود رها شود، می‌تواند در پشتی به شبکه‌تان باشد.

در گام بعدی، به یکپارچگی نیز توجه کنید. اغلب سازمان‌ها از مجموعۀ نرم‌افزاری پیچیده‌ای استفاده می‌کنند. آیا سازندۀ سیستم امکان یکپارچه‌سازی ساده با سایر سرویس‌های مدنظرتان را فراهم می‌کند؟

برای راهنمای جامع‌تر دربارۀ نحوۀ انتخاب EDR مناسب، به کتاب الکترونیک رایگان رموز ارزیابی محصولات امنیتی مراجعه کنید.

فراتر از EDR:‌ XDR سیستمی برای حداکثرسازی قابلیت مشاهده و یکپارچگی

درحالی‌که EDR فعال گام بعدی است که سازمان‌ها باید برای گذار از آنتی ویروس‌ها بردارند، سازمان‌هایی که به قابلیت مشاهده و یکپارچگی حداکثری در کل مجموعه‌شان نیاز دارند باید به فکر تشخیص و پاسخ گسترده یا XDR باشند.

XDR با یکپارچه‌سازی تمام کنترل‌های امنیتی و قابلیت مشاهده و ارائۀ نمایی جامع از اتفاقات رخ‌داده در محیط، EDR را ارتقا می‌دهد. XDR، با انباره‌ای که شامل اطلاعاتی از کل اکوسیستم است، امکان تشخیص و پاسخ سریع‌تر، عمیق‌تر و موثرتر از EDR و گردآوری و ترکیب داده‌های حاصل از منابع گوناگون را فراهم می‌کند.

خرید EDR سازمانی

یکی از محصولات امنیتی بیت دیفندر که راهکاری مطمئن و قابل اعتماد برای سازمان ها می باشد. EDR بیت دیفندر که یکی از بهترین EDRهای موجود در بازار است با استفاده از قابلیت جدید XEDR قادر به تشخیص تهدیدات سایبری و پاسخ به آنان در کوتاه ترین زمان ممکن است.

EDR بیت دیفندر چگونه کار می کند؟

بیت دیفندر EDR یک راهکار مبتنی بر ابر است که از پیاده‌سازی محلی و درون‌سازمانی نیز به طور کامل پشتیبانی می‌کند. EDR Agent در تمام نقاط پایانی سازمان شما نصب می‌شوند. هر Agent EDR دارای یک ثبت‌کننده رویداد است که به طور مداوم نقاط پایانی را رصد نموده و به طور ایمن شواهد و رویدادهای مشکوک را به بستر GravityZone ارسال می‌کند.

در Gravity Zone، ماژول تحلیل‌گر تهدیدات (Threat Analytics)، رویدادهای نقاط پایانی را به منظور بررسی بیشتر و واکنش سریع‌تر در فهرست اولویت‌بندی‌شده رویدادها، جمع‌آوری و خلاصه می‌کند. فایل‌های مشکوک را به منظور حذف به تحلیل‌گر شنی (Sandbox Analyzer) ارسال نموده و سپس از نتیجه تحلیل جعبه‌شنی sandbox در گزارش‌های رویداد EDR استفاده می‌کند. داشبورد بلادرنگ EDR از هر دستگاهی قابل دسترسی است تا مدیران امنیتی بتوانند هشدارها و مصورسازی‌ها را مشاهده و سپس تهدیدات را بررسی کرده و به طور موثر به آنها پاسخ دهند.