EDR چیست؟

 (EDR) Endpoint detection and responseدسته ای از ابزارها و ویژگی ها است که به طور مداوم اطلاعات و دیتا های امنیتی endpoint ها را نظارت می کنند. هدف EDR شناسایی شکاف های امنیتی در لحظه و واکنش به تهدیدات احتمالی است.

 اصطلاح EDR اولین بار توسط گارتنر در سال 2013 استفاده شد، این اصطلاح در آن زمان برای تعریف یکسری ابزارها که در آن زمان جدید ترین دستاورد های امنیت سایبری بود به کار برده شد.

EDR چگونه کار می کند؟

EDR روی endpoint ها (مانند کامپیوتر ها، ورک‌ استیشن ها، سرورها و به طور کلی دستگاه هایی که به شبکه متصل میشوند) تمرکز می کند. وظیفه EDR در شبکه مشاهده و نظارت، تشخیص تهدیدات و واکنش سریع به آنها است؛ که از طریق روش های مختلفی این کار را انجام می‌دهد:

جمع آوری دیتا از endpoint ها:

به طور کلی اطلاعات و داده ها در endpoint ها تولید میشوند، از جمله دیتا های مربوط به ارتباطات، اطلاعات پردازش شده و فرآیند login کاربران. این اطلاعات به صورت ناشناخته هستند.

ارسال داده به پلتفرمEDR :

این دیتا های ناشناخته از تمام endpoint به یک سرور مرکزی ارسال می شود که معمولاً یک پلتفرم EDR بر پایه فضای ابری است. بسته به نیاز سازمان ها، این پلتفرم میتواند به صورت در محل و ترکیبی (درمحل و فضای ابری) باشد.

تجزیه و تحلیل داده ها:

این ابزار امنیتی از هوش مصنوعی و یادگیری ماشین برای تجزیه و تحلیل داده ها و تحلیل رفتاری استفاده می کند. با استفاده از این داده ها یک سری معیار های کنترل پایه ساخته میشود تا ناهنجاری ها و رفتارهایی که نشان دهنده فعالیت مشکوک هستند شناسایی شوند. قسمتی از تحلیل داده هایی که EDR انجام میدهد شامل  threat intelligenceمیشود که با استفاده از نمونه های واقعی حملات سایبری فعالیت های مشکوک را تشخیص میدهد. بدین صورت که فعالیت و رفتار endpoint ها در شبکه را با این مثال ها مقایسه میکند و در صورت مشاهده رفتار مشابه آن را بررسی میکند.

پرچم گذاری و مقابله با فعالیت مشکوک:

این ویژگی فعالیت های مشکوک را علامت گذاری می کند و هشدارهایی را در قالب گزارشاتی به تیم های امنیتی و مسئولان انفورماتیک مربوطه ارسال می کند. همچنین اقدامات خودکاری را برای مقابله آغاز می کند. به طور مثال ممکن است با توجه به رفتار مشکوک یک endpoint آن را از شبکه جدا و قرنطینه کند.

ذخیره دیتاها برای آینده:

EDR داده های مربوط به رفتار های مشکوک را برای پشتیبانی و بررسی های آینده ذخیره می‌کنند. از این داده‌ها برای بررسی حملات طولانی مدت یا تهدیدات شناسایی نشده استفاده می‌شود.

استفاده از EDR در حال رشد است، یکی از دلایل آن افزایش تعداد endpoint های متصل به شبکه و تا افزایش پیچیدگی حملات سایبری که اغلب از endpoint ها برای نفوذ به شبکه استفاده می کنند.

از EDR چه انتظاری باید داشته باشیم؟

قابلیت ها و توانایی های EDR بسته به فروشنده و لایسنس خریداری شده است. بنابراین قبل از خرید EDR برای سازمانتان، بررسی قابلیت های مورد نیازشما و سازگاری آنها با سیستم امنیتی موجود شما مهم است.EDR ایده آل بالاترین سطح محافظت را ارائه میدهد و در عین حال به کمترین میزان هزینه و رسیدگی نیاز دارد.

اشراف بر endpoint ها:

اشراف و دسترسی به تمامی endpoint ها به EDR قابلیت بررسی و تشخیص به موقع تهدیدات را میدهد.

دیتابیس:

یک EDR موثر و کاربردی نیاز به یک دیتابیس گسترده دارد تا بتواند راجع به endpoint های شبکه اطلاعات لازم را جمع‌آوری کند.

حفاظت رفتاری(Behavioral protection)

EDR شامل بررسی رفتاری endpointها است که به دنبال شاخص های حمله (IOAs) می‌گردد و قبل از رخنه امنیتی به مسئول انفورماتیک در مورد فعالیت های مشکوک هشدار می‌دهد.

Insight and intelligence :

EDR هایی که دارای این ویژگی هستند، می‌توانند اطلاعات با ارزشی مربوط به تهدیدات شبکه یا جزئیات مربوط به حمله سایبری را برای مسئول انفورماتیک فراهم کنند.

مقابله فوری با تهدیدات:

در برخی موارد اقدامات خودکاری که EDR برای مقابله با یک تهدید شناسایی شده انجام میدهد (مانند قرنطینه کردن یک کامپیوتر) میتواند از حملات و آسیب های بیشتر جلوگیری کند.

راه حل مبتنی بر فضای ابری:

یک EDR بر پایه فضای ابری ، امنیت کامل Endpoint های شبکه را تضمین می کند و در عین حال امکان تجزیه و تحلیل و بررسی شبکه را برای مسئول انفورماتیک فراهم میکند.

چرا EDR برای سازمان ها ضروری است؟

بیشتر سازمان ها در معرض طیف وسیعی از حملات سایبری هستند. این حملات از حملات ساده و فرصت‌طلبانه، مانند یک ایمیل آلوده تا حملات پیشرفته‌تر را شامل می‌شود که در آن عوامل تهدید ممکن است از نقاط ضعف یا روش های شناخته شده یا جدید استفاده کنند و با استفاده از تکنیک‌های فرار آنها را پنهان کنند.

به همین دلیل، امنیت endpoint ها یک جنبه ضروری از امنیت سایبری یک سازمان است. راهکار های امنیتی مبتنی بر شبکه در مسدود کردن تعداد زیادی از حملات سایبری مؤثر هستند، برخی از تهدیدات مانند بدافزارهای حمل شده توسط فایل های مدیا می‌توانند این راهکارهای دفاعی را به طور کامل دور بزنند.

از آنجایی که سازمان ها در سراسر جهان به طور فزاینده ای به سمت دورکاری و کار از خانه حرکت می کنند، اهمیت حفاظت از endpoint ها افزایش یافته است. کارمندانی که از خانه کار می کنند ممکن است به اندازه افرادی که با کامپیوتر های سازمان کار میکنند در برابر تهدیدات سایبری ایمن نشوند و ممکن است از دستگاه های شخصی خود که فاقد امنیت لازم استفاده کنند.

جبران آسیب های یک حمله سایبری میتواند بسیار پر هزینه و مشکل باشد و این مهمترین دلیل ضروری بودنEDR برای سازمان ها باشد. بدون EDR، سازمان‌ها می‌توانند هفته ها درگیر مقابله با یک تهدید ساده باشند و اغلب تنها اقدامی که انجام میدهند راه‌اندازی و کانفیگ مجدد سیستم ها است که بسیار پر هزینه است و بهروری را کاهش میدهد.

EDR با آنتی ویروس چه فرقی دارد؟

EDR نرم افزار آنتی ویروس نیست، اگرچه ممکن است دارای قابلیت آنتی ویروس باشد. نرم افزار آنتی ویروس وظیفه محافظت در برابر تهدیدات سایبری شناخته شده را بر عهده دارد در حالی که EDR تهدیدات جدید را در حین کار شناسایی می کند و می تواند فعالیت های مشکوک را شناسایی کند. همانطور گفته شد، نرم افزار EDR بخشی از جدیدترین دستاورد های امنیت سایبری است.

برای ثبت سفارش و ارتباط با کارشناسان اینجا کلیک کنید