شناسایی و پاسخ به تهدیدات: درک سیستم‌های امنیتی EDR

زمان مطالعه: 5 دقیقه

Endpoint Detection and Response یا به اختصار(EDR)، که همچنین به عنوان شناسایی و پاسخ تهدید نقطه پایانی (ETDR) نیز شناخته می شود، یک راه حل امنیتی یکپارچه برای نقطه انتهایی (endpoint) است که ترکیبی از نظارت مداوم در زمان واقعی و جمع آوری داده های نقاط پایانی با قابلیت پاسخگویی و تحلیل خودکار مبتنی بر قوانین است. این اصطلاح توسط آنتون چوواکین در گارتنر برای توصیف سیستم های امنیتی نوظهور پیشنهاد شده است که فعالیت های مشکوک را روی میزبان و نقاط انتهایی شناسایی و بررسی می کند تا بتوانند با استفاده از خودکارسازی فرآیند پاسخ به تهدید در جهت افزایش سرعت شناسایی تهدیدات و پاسخ به آنها به تیم های امنیتی کمک کنند.

وظایف اصلی سیستم امنیتی EDR عبارتند از:

نظارت و جمع آوری داده های فعالیت از نقاط انتهایی که می توانند تهدیدات امنیتی را نشان دهند
تجزیه و تحلیل این داه ها برای شناسایی الگوهای تهدید
پاسخ گویی خودکار به تهدیدهای شناسایی شده برای حذف یا مهار آنها پاسخ و اطلاع به پرسنل امنیتی
جرم شناسی و ابزار تجزیه و تحلیل برای تحقیق در مورد تهدیدات شناسایی شده و جستجوی فعالیت های مشکوک

راه کار های EDR

پیش بینی می شود که استفاده از EDR طی چند سال آینده به میزان قابل توجهی افزایش یابد. طبق Stratistics MRC’s Endpoint Detection and Response – Global Market Outlook (2017-2026)، انتظار می رود فروش راه حل های EDR، چه داخلی و مبتنی بر سیستم های ابری، تا سال 2026 به 7.27 میلیارد دلار برسد، با رشد سالانه نزدیک به 26٪.

یکی از عواملی که باعث افزایش رشد EDR می شود، افزایش تعداد نقاط نهایی متصل به شبکه ها است. عامل اصلی دیگر افزایش مهارت های حملات سایبری است که غالباً به عنوان اهداف آسان تری برای نفوذ به شبکه روی نقاط انتهایی تمرکز می کنند.

انواع جدید از نقاط انتهایی و حملات مربوط به آنها

بخش IT به طور متوسط هزاران نقطه پایان را در سراسر شبکه خود مدیریت می کند. این نقاط انتهایی نه تنها دسک تاپ و سرورها، بلکه لپ تاپ ها، تبلت ها، تلفن های هوشمند، دستگاه های اینترنت اشیا و حتی ساعت های هوشمند و دستیارهای دیجیتال را شامل می شود. SANS Endpoint Protection and Response Survey گزارش می دهد که 44٪ تیم های IT بین 5000 تا 500،000 نقطه پایان را مدیریت می کنند. هر یک از این نقاط انتهایی می تواند به دری باز برای حملات سایبری تبدیل شود. بنابراین، دید نقطه پایانی حیاتی است.

در حالی که امروزه راه حل های آنتی ویروس می تواند انواع جدیدی از بدافزار را شناسایی و مسدود کند، هکرها دائماً در حال ایجاد موارد بیشتر هستند. با استفاده از روشهای استاندارد تشخیص بسیاری از انواع بدافزارها دشوار است. به عنوان مثال ، بدافزار های بدون فایل – که اخیراً ایجاد شده است در حافظه رایانه کار می کند، بنابراین از اسکنرهای امضای بدافزار جلوگیری می کند.

برای تقویت امنیت، یک بخش فناوری اطلاعات ممکن است به مرور زمان انواع مختلفی از راه حل های امنیتی و همچنین سایر برنامه های امنیتی را پیاده سازی کند. با این حال، چندین ابزار امنیتی مستقل می توانند روند شناسایی و پیشگیری از تهدیدها را پیچیده کنند، به ویژه اگر با هم همپوشانی داشته و هشدارهای امنیتی مشابه ایجاد کنند. یک روش بهتر یک راه حل امنیتی یکپارچه است.

اجزای اصلی EDR

EDR یک مرکز متمرکز برای جمع آوری و تجزیه و تحلیل داده های مربوط به نقاط پایانی و همچنین برای هماهنگی هشدارها و پاسخ به تهدیدها را فراهم می کند. ابزارهای EDR دارای سه جز اساسی هستند:

Agent های جمع آوری اطلاعات نقاط پایانی: عوامل نرم افزاری نظارت بر نقطه پایانی را انجام می دهند و داده ها – مانند فرآیندها، اتصالات، حجم فعالیت و انتقال داده ها را به یک پایگاه داده مرکزی جمع می کنند.

پاسخ خودکار قوانین: پاسخ های از پیش پیکربندی شده در راه حل EDR می تواند تشخیص دهد که داده های ورودی نوع مشخصی از نقض امنیت را نشان می دهد و باعث ایجاد یک پاسخ خودکار می شود، مانند خروج از سیستم کاربر نهایی یا ارسال هشدار به یک عضو کارمند.

تجزیه و تحلیل و جرم شناسی: یک سیستم تشخیص و پاسخ نقطه پایانی ممکن است هم برای تجزیه و تحلیل زمان واقعی، برای تشخیص سریع تهدیدهایی که کاملاً منطبق با قوانین از پیش تنظیم شده نیستند، و هم از ابزارهای جرم شناسی برای شکار تهدید یا انجام تجزیه و تحلیل پس از حمله استفاده می شوند.

یک موتور تحلیلی در زمان واقعی از الگوریتم هایی برای ارزیابی و همبستگی حجم زیادی از داده ها و جستجوی الگوها استفاده می کند.

ابزارهای پزشکی قانونی متخصصین امنیت فناوری اطلاعات را قادر می سازد تا نقض های امنیتی گذشته را بررسی کنند تا درک کنند که چگونه یک سواستفاده و نفوذ انجام گرفته است. متخصصان امنیت فناوری اطلاعات همچنین از ابزارهای جرم شناسی برای جستجوی تهدیدهای موجود در سیستم مانند بدافزار یا سایر سواستفاده هایی که ممکن است در یک نقطه انتهایی شناسایی نشوند، استفاده می کنند.

قابلیت های جدید EDR هوش تهدید را بهبود می بخشد

ویژگی ها و خدمات جدید در حال گسترش توانایی راه حل های EDR در شناسایی و بررسی تهدیدات هستند.

به عنوان مثال: سرویس های اطلاعاتی تهدید اثربخشی راه حل های امنیتی نقطه پایانی را افزایش می دهند. سرویس های اطلاعاتی تهدید مجموعه ای جهانی از اطلاعات را در مورد تهدیدات فعلی و ویژگی های آنها به یک سازمان ارائه می دهند. این هوش جمعی به افزایش توانایی EDR در شناسایی سواستفاده ها، به ویژه حملات چند لایه و Zero-Day کمک می کند. بسیاری از فروشندگان امنیتی EDR اشتراک اطلاعات تهدید را به عنوان بخشی از راه حل امنیتی نقطه نهایی خود ارائه می دهند.

علاوه بر این، قابلیت های جدید تحقیق در برخی از راه حل های EDR می تواند از هوش مصنوعی و یادگیری ماشین برای اتوماتیک کردن مراحل در یک فرآیند تحقیق استفاده کند. این قابلیت های جدید می تواند رفتارهای اساسی یک سازمان را بیاموزد و از این اطلاعات به همراه انواع دیگر منابع اطلاعاتی تهدید برای تفسیر یافته ها استفاده کند.

نوع دیگر اطلاعات تهدید، پروژه های تاکتیک ها، تکنیک ها و دانش مشترک (ATT&CK) است که در MITRE، یک گروه تحقیقاتی غیرانتفاعی که با دولت ایالات متحده کار می کند، در حال انجام است. ATT&CK یک پایگاه دانش و چارچوبی است که بر اساس مطالعه میلیون ها حمله سایبری در دنیای واقعی ساخته شده است.

ATT&CK اقدامات مختلف سایبری را دسته بندی می کند، از جمله تاکتیک های مورد استفاده برای نفوذ به سیستم IT، نوع آسیب پذیری سیستم مورد سو استفاده، ابزارهای مخرب مورد استفاده و گروه های هکری مرتبط با حمله. تمرکز کار بر روی شناسایی الگوها و خصوصیاتی است که بدون توجه به تغییرات جزئی در یک بهره برداری بدون تغییر باقی می مانند. جزئیات مانند آدرس IP ، کلیدهای رجیستری و شماره دامنه می توانند به طور مکرر تغییر کنند. اما روش های یک مهاجم – یا “modus operandi” – معمولاً ثابت می مانند. EDR می تواند از این رفتارهای معمول برای شناسایی تهدیدهایی استفاده کند که ممکن است از راه های دیگر تغییر یافته باشد.

از آنجایی که متخصصان امنیت فناوری اطلاعات با تهدیدهای امنیت سایبری پیچیده و همچنین تنوع بیشتری در تعداد و انواع نقاط انتهایی دسترسی به شبکه روبرو هستند، آنها به تحلیل و پاسخ خودکار که راه حل های تشخیص و پاسخ به نقاط نهایی ارائه می دهند نیاز به کمک بیشتری دارند.