تعریف EDR
EDR مخفف Endpoint Detection and Response است که محصولات موسوم به تشخیص تهدیدهای نقطۀ پایانی و پاسخدهی میباشد. EDR تکنولوژی جدیدی است که تکمیلکننده راهکارهای امنیت نقاط پایانی میباشد.
چند دهه است که سازمانها و شرکتها، به امید حل مسائل امنیتی سازمانشان، روی بستههای آنتیویروس سرمایهگذاری کردهاند. اما با افزایش پیچیدگی تهدیدهای سایبری طی ده سال گذشته، کمبودهای آنتیویروسهای به اصطلاح «قدیمی» کاملاً مشخص شدهاند.
در پاسخ به این موضوع، برخی از شرکتهای سازنده چالشهای امنیت سازمانی را مجدد بررسی و راهکارهای جدیدی برای رفع نقصهای آنتیویروسها ارائه کردهاند.
امروزه یکی از چالش های مهم برای راهبران امنیتی یک سازمان تهیه راهکاری مناسب برای مقابله با آسیب های امنیتی می باشد و سوالاتی از قبیل تفاوت EDR با آنتی ویروس چیست؟ چرا EDR از آنتی ویروس کارآمد تر است؟ ملزومات پیاده سازی EDR چیست؟ و … همواره برای آنها مطرح بوده است.
در ادامه این مقاله به طور مفصل به تمامی این سوالات پاسخ خواهیم داد.
آنچه در این مقاله خواهید خواند

تفاوت EDR و آنتی ویروس چیست؟
برای اینکه بتوانید بهدرستی از کسبوکار یا سازمانتان در مقابل تهدیدها محافظت کنید، باید از تفاوت EDR و آنتی ویروسهای سنتی یا «قدیمی» آگاه شوید. این دو رویکرد امنیتی تفاوتی بنیادی دارند.
ویژگیهای آنتی ویروس سنتی یا قدیمی
در گذشته که میتوانستیم تعداد تهدیدهای بدافزاری جدید روزانه را به سادگی بشماریم، سازمانها میتوانستند بدافزارهای شناختهشده را با استفاده از آنتی ویروس روی دیسک در کامپیوترشان مسدود کنند.
بانک داده آنتی ویروسهای سنتی از مجموعۀ امضاها تشکیل میشود. این امضاها ممکن است حاوی هشهای فایل بدافزار و یا قواعدی باشند که حاوی مجموعهای از مشخصههای فایل مخرب هستند. این مشخصهها معمولاً شامل رشتههای قابل خواندن برای انسان یا دنبالهای از بایتها است که در فایل قابل اجرای بدافزار، نوع فایل، اندازۀ فایل و سایر انواع فرادادۀ فایل وجود دارد.
در صورتی که فایل منطبق با یکی از امضاهای ثبتشده در بانک داده آنتی ویروس بود، نرمافزار آنتی ویروس مانع اجرای فایل بدافزار میشود.
همچنین، برخی از موتورهای آنتی ویروس میتوانند تحلیل اکتشافی ابتدایی را روی پردازههای در حال اجرا انجام دهند و صحت فایلهای اساسی سیستم را چک کنند. بعد از سیل عظیم و هرروزه بدافزارهای جدید و از بین رفتن امکان افزودن امضای هر فایل مخرب به بانک توسط سازندگان آنتی ویروسها، این امکانات «بعد از وقوع» یا پس از آلودگی فایل به بسیاری از آنتی ویروسها اضافه شدند.
با افزایش تهدیدها و کاهش بازدهی آنتی ویروسهای سنتی، برخی از سازندگان قدیمی این نرمافزارها تلاش کردهاند که با استفاده از سرویسهایی مانند کنترل توسط فایروال، رمزنگاری دادهها، فهرست پردازههای مجاز و غیرمجاز و سایر ابزارهای «بستههای» آنتی ویروس، این نرمافزارها را کاملتر کنند. این راهکارها، که به صورت کلی Endpoint Protection Platform – به اختصار EPP – یا پلتفرمهای محافظت از نقطۀ پایانی نام دارند، همچنان در اصل بر مبنای رویکرد امضا هستند.
نقصهای آنتی ویروس
به دلایل فراوانی،امروزه دیگر آنتی ویروسها نمیتوانند از سازمانها در برابر تهدیدها محافظت کنند. نخست، همانطور که پیشتر اشاره شد، تعداد نمونههای بدافزاری جدیدی که هر روز مشاهده میشود بیشتر از آن است که تیم نویسندگان امضاهای بدافزارها بتوانند آنها را ثبت کنند.
با توجه به این که راهکارهای آنتی ویروس قطعاً نمیتوانند بسیاری از این نمونههای بدافزاری را تشخیص دهند، سازمانها باید بپذیرند که با تهدیدهایی مواجه خواهند شد که آنتی ویروس سازمانی قادر به تشخیص آنها نیست.
دوم، عاملان تهدید غالباً میتوانند به سادگی و بدون نیاز به بازنویسی کامل بدافزارشان، قابلیت تشخیص با استفاده از امضاهای آنتی ویروسها را دور بزنند. چون امضاها فقط به چند مشخصه فایل توجه میکنند، نویسندگان بدافزارها آموختهاند بدافزاری را توسعه دهند که خصوصیات متغیری دارد. این بدافزارها اصطلاحاً بدافزار چندریختی نام دارند. مثلاً، هشهای فایل یکی از خصوصیات فایل است که به سادگی میتوان آن را تغییر داد. رشتههای درونی را هم میتوان در هر نسخۀ اجرایی بدافزار بهصورت تصادفی، مبهم و با رمزنگاری متفاوتی درآورد.
سوم، عاملان تهدیدی مانند اپراتورهای باجافزارها که انگیزۀ مالی دارند، از حملههای بدافزاری سادۀ مبتنی بر فایل فراتر رفتهاند. حملههای درونحافظهای یا بدون فایل رایج شدهاند. همچنین، حملههای باجافزاری دستی مانند Hive (به همراه حملههای «اخاذی دوگانه» مانند Maze، Ryuk و سایر باجافزارها)، که احتمالاً با اعتبارنامههای تسخیرشده یا حاصل از جستجوی فراگیر یا استفاده از آسیبپذیریهای اجرای کد به صورت از راهدور (RCE) شروع شوند، میتوانند باعث تسخیر و از دست رفتن مالکیت معنوی از طریق انتقال غیرمجاز دادهها (بدون فعالسازی سیستم تشخیص مبتنی بر امضای آنتی ویروس) شوند.
EDR چگونه عمل می کند؟
تمرکز تمام راهکارهای آنتی ویروس روی فایلهای احتمالاً مخربی است که به سیستم وارد شدهاند، اما EDR به دنبال گردآوری دادهها از نقطۀ پایانی و یافتن الگوهای مخرب یا غیرعادی در این دادهها به صورت آنی است. ایدۀ سیستم تشخیص تهدیدهای نقطۀ پایانی و پاسخدهی به آن، همانطور که از نامش پیداست، تشخیص آلودگی و ارائۀ پاسخ است. هر چقدر که EDR سریعتر بتواند این کار را بدون دخالت انسان انجام دهد، کارآتر است.
EDR خوب قابلیت مسدودسازی فایلهای مخرب را نیز دارد، ولی نکتۀ مهمتر این است که EDRها میدانند که تمام حملههای مدرن بر مبنای فایل نیستند. علاوه بر این، EDRهای کنشگرا ویژگیهای مهمی را در اختیار تیمهای امنیتی قرار میدهند که در آنتی ویروس وجود ندارند. از جمله این ویژگیها میتوان به واکنش خودکار و قابلیت مشاهدۀ کامل تغییرات صورت گرفته در فایل، ایجاد پردازهها و اتصال به شبکه در نقطۀ پایانی اشاره کرد. این ویژگیها برای شکار تهدید، واکنش به حوادث و حل جرایم دیجیتال حیاتی است.
در ویدئویی زیر خلاصه ای از ویژگی ها و مزایای EDRها را ببینید:
مزایای EDR
EDR، با تمرکز بر ارائۀ امکان مشاهدۀ بیشتر و تشخیص خودکار به تیمهای امنیتی سازمانها، امکانات بیشتری برای مقابله با عاملان تهدید امروزی و مشکلات امنیتیشان دارد.
EDR فقط محدود به تشخیص تهدیدهای شناختهشده و مبتنی بر فایل نیست، چون روی شناسایی فعالیتهای غیرعادی و شناسایی پاسخ تمرکز دارد. از سوی دیگر، مزیت اصلی EDR این است که لازم نیست تهدیدها به همان دقت راهکارهای آنتی ویروسی تعریف شوند. راهکار EDR میتواند به دنبال الگوهای فعالیت غیرمنتظره، غیرعادی و ناخواسته باشد و به تحلیلگر امنیتی برای بررسی موضوع اطلاع دهد.
بهعلاوه، از آنجا که EDRها با گردآوری گسترۀ وسیعی از دادهها از تمام نقاط پایانی تحت محافظت کار میکنند، این فرصت را در اختیار تیمهای امنیتی قرار میدهند تا دادهها در قالب رابط مناسب و متمرکزی تصویرسازی کنند. تیمهای فناوری اطلاعات میتوانند این دادهها را استخراج و برای تحلیل عمیقتر با سایر ابزارها ترکیب کنند تا سازمان بتواند ماهیت حملههای احتمالی بالقوه را شناسایی و موضع امنیتی کلیاش را تقویت کند. همچنین، دادههای جامع حاصل از EDR میتوانند امکان شکار و تحلیل گذشتهنگر تهدید را فراهم کنند.
احتمالاً، یکی از بزرگترین مزایای EDR پیشرفته امکان استخراج این دادهها، مفهومسازیشان روی دستگاه و رفع تهدید بدون مداخلۀ انسان است. با این حال، همۀ EDRها قادر به این کار نیستند، چون بسیاری از آنها متکی بر انتقال دادههای EDR به ابر برای تحلیل راهدور (و بنابراین، باتأخیر) هستند.
EDR چگونه آنتی ویروس را تکمیل میکند؟
موتورهای آنتی ویروس، با وجود محدودیتهایی که هنگام استفادۀ مستقل یا بهعنوان بخشی از راهکار EPP دارند، میتوانند مکملهای سودمندی برای راهکار EDR باشند. اغلب EDRها هم حاوی برخی از عناصر مسدودسازی بر پایة امضا و هش (بهعنوان بخشی از راهبرد «دفاع عمیق») هستند.
با بهکارگیری موتورهای آنتی ویروس در راهکار موثرتر EDR، تیمهای امنیتی سازمانها میتوانند از مزایای مسدودسازی سادۀ بدافزارهای شناختهشده بهرهمند شوند و آن را با ویژگیهای پیشرفتۀ EDR ترکیب کنند.
جلوگیری از انباشتگی هشدار با EDR فعال
همانطور که قبلتر اشاره شد، EDRها امکان مشاهدۀ عمیق تمام نقاط پایانی موجود در شبکۀ سازمان را برای تیمهای امنیت سازمانی و فناوری اطلاعات فراهم میکنند. این امکان مزایای متعددی دارد. البته با وجود این مزایا، بسیاری از راهکارهای EDR نمیتوانند اثرگذاری مورد انتظار تیمهای امنیتی سازمان را داشته باشند، چون مدیریتشان به منابع انسانی زیادی نیاز دارد: منابعی که غالباً به علت محدودیتهای تأمین کارکنان یا بودجه، در دسترس نیستند یا به علت کمبود مهارتهای امنیت سایبری در اختیار نیستند.
بسیاری از سازمانهایی که روی EDR سرمایهگذاری کردهاند، بهجای برخورداری از امنیت بیشتر و سبکشدن کار تیمهای امنیت و فناوری اطلاعاتشان، صرفاً مجبور میشوند منابع را از یک وظیفۀ امنیتی به وظیفهای دیگر تخصیص دهند. به این ترتیب، بهجای رفع مشکلات دستگاههای آلوده، مجبور به رفع تعداد زیادی هشدار EDR میشوند.
اما نیازی به این کار نیست. میتوان گفت ارزشمندترین قابلیت EDR دفع خودکار تهدیدها بدون نیاز به مداخلۀ انسان است. با استفاده از قدرت یادگیری ماشین و هوش مصنوعی، EDR فعال، با استفاده از قدرت یادگیری ماشین و هوش مصنوعی، باری از روی دوش تیم امنیت سازمانی برمیدارد و میتواند به صورت خودکار و بدون نیاز به منابع ابری، مانع وقوع رخداد در نقطة پایانی شود.
این موضوع به این معناست که تهدیدها به سرعت ماشین (سریعتر از تحلیل ابری راهدور) و بدون نیاز به دخالت انسان دفع میشوند.
کاربردهای EDR فعال برای تیمتان
این سناریوی معمول را در نظر بگیرید: کاربر تبی را در گوگل کروم باز میکند و فایلی از نظر خودش بیخطر را دانلود و اجرا میکند. این برنامه با استفاده از PowerShell تمام فایلهای پشتیبان محلی را حذف و شروع به رمزنگاری تمام دادههای روی دیسک میکند.
کار تحلیلگر امنیتی با راهکارهای EDR غیرفعال میتواند دشوار باشد. این تحلیلگر، که با هشدارهای زیادی احاطه شده است، باید دادهها را کنار هم بگذارد و روایت یا گزارشی معنادار به دست بیاورد. با استفاده از EDR فعال، این کار توسط ایجنتی در نقطۀ پایانی انجام میشود. EDR فعال از روایت کامل باخبر است، بنابراین این تهدید را در زمان اجرا و پیش از شروع رمزنگاری دفع میکند.
وقتی از ابعاد ماجرا کاسته میشود، تمام عناصر دخیل در گزارش (حتی تبی که کاربر در مرورگر کروم باز کرده) تحت رصد قرار میگیرند. به این منظور به هر رخداد بر اساس نوع و دسته آن یک شناسه تخصیص داده میشود. سپس، این گزارش رخدادها به کنسول مدیریت ارسال میشوند تا تحلیلگران امنیتی و مدیران فناوری اطلاعات امکان مشاهده و شکار آسان تهدیدها را داشته باشند.
ارتقای امنیت با استفاده از EDR
حال که برتریهای مشهود سیستم EDR را بر آنتی ویروس دیدیم، گام بعدی چیست؟ انتخاب EDR مناسب مستلزم شناخت نیازهای سازمانتان و قابلیتهای محصول است.
همچنین، گرچه انجام تست مهم است، ولی اطمینان از کاربرد این تستها در جهان واقعی مهمتر است. تیمتان چطور از این محصول در عملیاتهای روزانه استفاده میکند؟ یادگیری آن چقدر آسان است؟ وقتی سرویسهای ابری که سیستم به آنها متکی است، آفلاین یا خارج از دسترس هستند، همچنان این محصول از شرکتتان محافظت میکند؟
پیادهسازی و توزیع آن نیز مهم است. آیا میتوانید استقرار راهکار EDR به صورت خودکار امکانپذیر است؟ راهکار با پلتفرمهای شما سازگار است؟ آیا سازندۀ مدنظرتان به یک اندازه به ویندوز، لینوکس و سیستم عامل مکینتاش اهمیت میدهد؟ در نظر داشته باشید باید از همۀ نقاط پایانی محافظت شود. هر نقطۀ پایانیای که به حال خود رها شود، میتواند در پشتی به شبکهتان باشد.
در گام بعدی، به یکپارچگی نیز توجه کنید. اغلب سازمانها از مجموعۀ نرمافزاری پیچیدهای استفاده میکنند. آیا سازندۀ سیستم امکان یکپارچهسازی ساده با سایر سرویسهای مدنظرتان را فراهم میکند؟
برای راهنمای جامعتر دربارۀ نحوۀ انتخاب EDR مناسب، به کتاب الکترونیک رایگان رموز ارزیابی محصولات امنیتی مراجعه کنید.
فراتر از EDR: XDR سیستمی برای حداکثرسازی قابلیت مشاهده و یکپارچگی
درحالیکه EDR فعال گام بعدی است که سازمانها باید برای گذار از آنتی ویروسها بردارند، سازمانهایی که به قابلیت مشاهده و یکپارچگی حداکثری در کل مجموعهشان نیاز دارند باید به فکر تشخیص و پاسخ گسترده یا XDR باشند.
XDR با یکپارچهسازی تمام کنترلهای امنیتی و قابلیت مشاهده و ارائۀ نمایی جامع از اتفاقات رخداده در محیط، EDR را ارتقا میدهد. XDR، با انبارهای که شامل اطلاعاتی از کل اکوسیستم است، امکان تشخیص و پاسخ سریعتر، عمیقتر و موثرتر از EDR و گردآوری و ترکیب دادههای حاصل از منابع گوناگون را فراهم میکند.
خرید EDR سازمانی
یکی از محصولات امنیتی بیت دیفندر که راهکاری مطمئن و قابل اعتماد برای سازمان ها می باشد. EDR بیت دیفندر که یکی از بهترین EDRهای موجود در بازار است با استفاده از قابلیت جدید XEDR قادر به تشخیص تهدیدات سایبری و پاسخ به آنان در کوتاه ترین زمان ممکن است.
EDR بیت دیفندر چگونه کار می کند؟
بیت دیفندر EDR یک راهکار مبتنی بر ابر است که از پیادهسازی محلی و درونسازمانی نیز به طور کامل پشتیبانی میکند. EDR Agent در تمام نقاط پایانی سازمان شما نصب میشوند. هر Agent EDR دارای یک ثبتکننده رویداد است که به طور مداوم نقاط پایانی را رصد نموده و به طور ایمن شواهد و رویدادهای مشکوک را به بستر GravityZone ارسال میکند.
در Gravity Zone، ماژول تحلیلگر تهدیدات (Threat Analytics)، رویدادهای نقاط پایانی را به منظور بررسی بیشتر و واکنش سریعتر در فهرست اولویتبندیشده رویدادها، جمعآوری و خلاصه میکند. فایلهای مشکوک را به منظور حذف به تحلیلگر شنی (Sandbox Analyzer) ارسال نموده و سپس از نتیجه تحلیل جعبهشنی sandbox در گزارشهای رویداد EDR استفاده میکند. داشبورد بلادرنگ EDR از هر دستگاهی قابل دسترسی است تا مدیران امنیتی بتوانند هشدارها و مصورسازیها را مشاهده و سپس تهدیدات را بررسی کرده و به طور موثر به آنها پاسخ دهند.
نتیجهگیری
عاملان تهدید از آنتی ویروس و EPP فراتر رفتهاند و سازمانها باید بدانند که آنتی ویروس های سازمانی دیگر قادر به مقابله با تهدیدهای فعال امروزی نیستند. حتی نگاهی سرسری به تیتر خبرها نشان میدهد که، با وجود سرمایهگذاری روی کنترلهای امنیتی، به سازمانهای بزرگ و ناآماده چقدر حملههای مدرنی مانند حملههای باجافزاری صورت گرفته است. وظیفۀ ما راهبران امنیت این است که مطمئن شویم نرمافزار امنیتیمان نه تنها برای حملههای دیروز، بلکه برای حملههای امروز و فردا نیز مناسب است.