رهبران حوزه امنیت سایبری، وظیفهای مهم در خصوص توسعه ابزارهای امنیتی خود برای محافظت موثر از سازمانها دارند. چارچوبهای امنیتی مانند NIST نیز سازمانها را وادار میکنند تا به چیزی بیش از یک راهکار محافظتی بیاندیشند.
دستکاری یا تحت تاثیر قرارگرفتن دادهها، حملات و نشت اطلاعات دلایلی هستند که ما را مجبور به تمرکز بر راهکارهای جلوگیری میکنند اما از طرفی دیگر سازمانها از نفوذ مجرمان سایبری و تحت تاثیر گرفتن در مقابل تهدیدات پیچیدهتر رنج میبرند. همچنین به صورت روز افزون احتمال مواجهه یک سازمان با یک تهدید سایبری افزایش یافته است. بر اساس گزارش شرکت IBM، یک حمله سایبری با هدف دادهها، با احتمال ۲۷.۷درصد ممکن است برای یک سازمان رخ دهد.
وجود چنین ریسکی، اولویتها را تغییر خواهد داد. علاوه بر راهکارهای جلوگیری از حملات (Prevention)، سازمانها باید بر روی ابزارهای تشخیص (Detection)، شناسایی (Identification)، پاسخدهی (Response) و بهبود (Recovery) نیز تمرکز کنند تا با استفاده از ابزارهای تجزیه و تحلیل دادهها حملات سایبری، متوجه چگونگی حملات و زمان آنها شوند.
یک راهکار تشخیص و پاسخدهی (Detection & Response) یا EDR (Endpoint Detection & Response)، یکی از ابزارهای بسیار اثربخش در این حوزه است که با قابلیتهای خود اطمینان حاصل میکند که شما ایستگاههای کاری خود را مانیتور کرده و همچنین در صورت وجود تهدیدی از قابلیت پاسخدهی نیز برخوردار باشید.
راهکار EDR چیست؟
یک ابزار امنیتی است که ایستگاههای کاری را برای رفتارهای مشکوک مانیتور کرده و در صورت شناسایی آن پیغامهایی به همراه اطلاعات در خصوص رفتار آن تهدید و تجزیه و تحلیل آن را، در اختیار مدیران امنیت قرار میدهد. همچنین کمک میکند تا حمله کننده را شناسایی کرده و پاسخ مناسب با آن تهدید را انجام داده و نسبت به تخریبهای آتی نیز ایمن باشید.
این یک ابزار حیاتی برای دپارتمانهای امنیت بالغ است، چرا که فقط بر روی راهکارهای جلوگیری تمرکز نکرده و برای کاهش تخریبهای آتی نیز برنامههایی را دارد. نباید فراموش کرد که ایستگاههای کاری یا همان Endpointها، نقاطی هستند که مجرمین سایبری برای نفوذ به یک سازمان، استفاده میکنند و محافظت کامل از آنها باید اولیت در سازمانها باشد.
یک راهکار EDR چگونه کار میکند (چگونه یک راهکار EDR مناسب را پیدا کنیم)؟
خوب، بیشتر ایستگاههای کاری در سازمانهای مختلف تا حدودی شبیه یکدیگر هستند و به عنوان یک مدیر امنیت شما باید به موارد زیر در خصوص انتخاب راهکار EDR توجه کافی داشته باشید.
جمعآوری دادهها و قابلیت مانیتورینگ از ایستگاهکاری: این حجم عمده از کار یک EDR است. جمعآوری اطلاعات مانند فعالیتهای کاربرها، پروسهها (Processes)، ارتباطات شبکه، دسترسیها و … از ایستگاههای کاری متفاوت را شامل میشود. هرچقدر که دادههای بیشتر جمعآوری شود، راهکار EDR تشخیص و پاسخدهی بهتری را به شما ارائه خواهد نمود. یک راهکار EDR مناسب باید پوشش بسیار وسیعی را در خصوص جمعآوری دادهها داشته باشد.
قابلیت پاسخدهی (Response): اینکه چطور یک راهکار EDR، با مواجهه با یک نفوذ احتمالی، از ایجاد پیغام به شما یا به صورت خودکار، مدیریت میکند، بسیار مهم است. یک راهکار EDR موثر، باید به صورت بلادرنگ (Real Time) کار کرده و از طریق داشبوردهای خود و پیغامهای ایجاد شده، اطلاعات را در دسترسی مدیران و کارشناسان امنیت قرار دهد.
بسته به نوع راهکار EDR، ممکن است که روال پاسخدهی به یک تهدید یا تهدیدات مشابه، به صورت خودکار اتفاق بیافتد. بدان معنی است که در خصوص سناریوهای حملات به زیرساختهای حیاتی، عملا زمان از دست نرفته و نیاز به انجام عملیات پاسخدهی توسط مدیر/کارشناس امنیت پس از مشاهده پیفام، نیست.
تحقیق و تجیزه و تحلیل رفتاری (Forensic Investigation and behavioral analysis): یک راهکار اثربخش EDR فقط بر روی تشخیص، پیغام و پاسخدهی تمرکز نکرده و باید در خصوص تحقیق، تجیزه و تحلیل رفتاری یک حمله نیز قابلیتهایی را ارائه کند. این امر میتواند با بهرهگیری از هوش مصنوعی، الگوریتمها و مدلهای یادگیری ماشین و سایر تکنولوژیهای پیشرفته رخ دهد. این تکنولوژیها کمک میکند تا یک تصویر کامل از حمله انجام شده در اختیار کارشناس/مدیر امنیت قرار گیرد و نحوه ورود احتمالی مجرمان سایبری به یک ایستگاه کاری را روشن سازد.
همچنین این اطلاعات میتواند با به رفع حفرههای امنیتی موجود و بهبود بخشهایی از معماری شبکه و امنیت منجر شده تا از حملات مشابه در آینده نیز جلوگیری بعمل آید.
ملاحظات کلیدی هنگام انتخاب راهکار EDR
تعداد زیادی راهکار و شرکت توسعه دهنده EDR با قابلیتهای متفاوت وجود داشته که ممکن است برای سازمان شما مناسب/نامناسب باشند. در واقع موارد ذکر شده در بالا باید در یک راهکار EDR وجود داشته باشد تا بتواند بهرهوری امنیت را افزایش دهد.
البته شما باید راهکاری را انتخاب کنید که مناسب نوع کسب و کار سازمانتان باشد. مواردی همچون، صنعتی که در آن فعال هستید، ابعاد سازمان، ابعاد بخش امنیت سازمان، ابزارهای مورد استفاده آنها و از این دست شاخصها میتواند در انتخاب تاثیرگذار باشد. اما چه سوالاتی را باید از یک فراهمکننده راهکار EDR پرسید؟
چگونه این راهکار ناهنجاریها و تهدیدات را شناسایی میکند؟
یک راهکار EDR معمولی، لیست رفتارها و اقدامات مشکوک را پس از شناسایی روی یک ایستگاه کاری گزارش میکند. البته وقتی در خصوص تعداد زیادی ایستگاه کاری صحبت میکنیم، عملا ممکن است با تعداد زیادی پیغام تشخیص تهدید اشتباه (False Positive) مواجه شویم. به دنبال راهکار EDR باشید که از طرق مختلف رفتارهای مشکوک را، با استفاده از چارچوبهای استاندارد حملات (مانند MITRE ATT&CK) دستهبندی و شناسایی کند. این امر کمک میکند تا تشخیصهای اشتباه کاهش یافته و پیغامهای در این خصوص نیز از دقت بیشتری برخوردار باشند.
دامنه پوشش چقدر است؟
سازمانهای امروزی نسبت به گذشته، بسیار متفاوت هستند. سرورها و شبکهها بیشتر مختل میشوند و با بهرهگیری از راهکارهای ابری، تغییرات زیادی در زیرساختهای سازمانها رخ داده است. تیمهای توزیع شده و در مکانهای مختلف جغرافیایی، استفاده از دستگاههای شخصی برای انجام کارها به یک امر عادی بدل شده و روز به روز نیز بیشتر میشود. اطمینان حاصل کردن از اینکه یک راهکار EDR یک طیف وسیعی از محیطهای مختلف را پشتیبانی کرده و مانیتور میکند، در انتخاب سازمانها تاثیر خیلی مهمی باید داشته باشد.
چگونه مفهوم پیچیدگی را تعریف میکند؟
این به نوعی ملاحظاتی را در خصوص نحوه پیاده سازی راهکار EDR و همچنین دپارتمانهای امنیت اطلاعات شامل میشود. راهکار EDR ای را تصور کنید که تیم امنیت را با ایجاد پیغامهای بیش از حد درگیر کرده که این تیم به جای بررسی پیغامهای نه چندان مهم، میتواند بر روی کارهای بسیار مهمتری نیز وقت و تمرکز خود را قرار دهد.
اینکه راهکار EDR چگونه با محیط شما سازگار و یکپارچه میشود، نیز مهم است. اگر شما به طرز چشمگیری برای استفاده از یک راهکار EDR باید ساختار خود را تغییر دهید، پس احتمالا تا ماهها شاهد کارایی مثبت از محصول خریداری شده نخواهید دید.
جمعبندی
یک راهکار EDR یکی از ابزارهای غیرقابل چشمپوشی در دنیای امروز است و انتخاب راهکار EDR مناسب برای سازمانها همیشه چالشهایی را به همراه خود داشته است. مطالب بالا در خصوص انتخاب راهکار مناسب EDR به سازمان ها و تیمهای امنیت، کمک کرده تا مناسب با سازمان خود راهکار EDR مورد نیازشان را انتخاب کنند.
همچنین راهکار EDR بیت دیفندر GravityZone Ultra Security همه قابلیتهای مذکور در این متن را ارائه کرده و هم به صورت ابری و هم بصورت محلی امکان پیاده سازی را برای سازمانها فراهم کرده است.
دیدگاه خود را بنویسید