این مانند اسب است که شهروندان تروجان خود را از روی دروازه های شهر بیرون کشیدند: راه حل های مدرن امنیتی endpoint بسیاری از خطرات را از بین نمی برد ، اما نمی تواند با انواع جدیدی از حملات یا مهندسی اجتماعی دسترسی هکرها را به طور کامل از دسترسی به منابع IT باز دارد. از آنجایی که ناخالص داخلی GDPR ، حداکثر است ، مدیران IT باید بتوانند حملات پنهان شده و تو در تو لانه ای را پیدا کنند ، سریعاً مراحل مشکوک را متوقف کرده و آنها را به صورت گذشته نگر مورد بررسی قرار دهند. در اینجاست که Endpoint Detection and Response (EDR) وارد می شود.
Endpoint Security بسیار ضروری است و کارهای زیادی انجام می دهد: راه حل های رایج بیش از 99٪ از حملات بدافزار را کاهش می دهد. با بیش از 832 میلیون انواع نرم افزارهای مخرب و افزایش سطح پیچیدگی و قابلیت استتار آنها ، این یک رکورد چشمگیر است. حملات سایبری امروزه حملات پیچیده ای است که از چندین مرحله تشکیل شده و هر کدام در سطوح مختلفی شروع می شوند.
به همین ترتیب ، حفاظت مدرن از دستگاه های نهایی همچنین باید دارای چندین خط دفاع باشد. علاوه بر امضاها ، این شامل مقایسه خودکار پرونده ها با پرونده های مخرب و قانونی شناخته شده است. سایر سطوح شامل تشخیص بیش از حد کنترل شده توسط یادگیری ماشینی است ، که همچنین دستورات و اسکریپت های کمتری از جمله پرونده های VB ، JAVA ، PowerShell و WMI و sandboxing را کنترل می کند که در آن پرونده ها در یک محیط جدا شده باز و پایش می شوند. همچنین نظارت بر فرآیندهای در حال انجام برای تعیین اینکه آیا بی نظمی هایی رخ می دهند یا سایر فرایندها دستکاری می شوند بسیار مهم است.
تفکر سیاه و سفید به نظارت بر روند کمک نمی کند. در عوض ، یک نمره خطر به اقدامات فردی اختصاص می یابد. به عنوان مثال ، هنگامی که یک برنامه کاربردی ایجاد کلیدهای رجیستری را شروع می کند – و معمولاً نباید این کار را انجام دهد – نمره خاصی می گیرد. اگر مجموع اقدامات انجام شده توسط همان فرآیند از یک آستانه مشخص فراتر رود ، برنامه از بین می رود و همه اقدامات انجام شده خنثی می شوند. مثبت کاذب و ناامیدی کاربر در مورد فرآیندهای سقط شده ، از این واقعیت جلوگیری می کند که اکثر اقدامات فقط منجر به فراتر رفتن آستانه می شوند.
محدودیت های طبیعی Endpoint Security
اگرچه فن آوری های Endpoint Security در دفاع در برابر تهدیدات مبتنی بر نرم افزار بسیار مناسب هستند. مهارت های آنها محدود به تهدیدات پیشرفته و پیچیده است. اینها تهدیدهایی هستند که به طور خاص برای یک شرکت طراحی شده اند یا کارمند خاص آن شرکت را هدف قرار می دهند. بدین منظور ، مجرمان سایبری در طی مدت طولانی از قربانیان خود جاسوسی می کنند تا در مورد پیکربندی شبکه ، دستورالعمل ها ، دسترسی به امنیت و راه حل های امنیتی داخلی اطلاعاتی کسب کنند. مرحله بعدی ، یافتن یک آسیب پذیری مناسب یا توسعه بدافزارهای مناسب است که گزینه های نفوذ و فرار کافی به طور خاص برای این منظور وجود دارد تا بتواند در زیر رادار راه حل های امنیتی باقی بماند.
برای مثال اسکریپت های PowerShell را بگیرید. در بسیاری از شرکت ها ، سرپرستان فناوری اطلاعات از این اسکریپت ها برای خودکارسازی کارهای انتهایی استفاده می کنند. راه حل های امنیتی نهایی نقطه پایانی نمی تواند توالی فرمان موجود در اسکریپت این ابزار بومی ویندوز را تفسیر کند ، به همین دلیل مجرمان سایبری دوست دارند از آنها استفاده کنند – برای اهداف جاسوسی و همچنین برای باج افزارها و رمزنگاران. اگر مهاجمان به طرز ماهرانه ای عمل کنند ، اسکریپت های آنها شبیه به اسکریپت های مورد استفاده قانونی نیست و هیچ فرایند مشکوک دیگری دنبال نمی شود ، حمله به یک راه حل NextGen به سختی به آستانه پیکربندی شده می رسد. زیرا حملات به خوبی استتار شده اند ، به این معنی نیست که آنها باید نامرئی بمانند. اقدامات شما قطعاً علامت آنها را به جا می گذارد. در حالی که ابزارهای امنیتی انتهایی همیشه برای برخی از سالها به "پیش اعدام" و "اعدام" واکنش نشان داده اند ، ابزارهای EDR (تشخیص و پاسخ به نقطه انتهایی) بطور خودکار فعالیت های مشکوک را در لحظه های بعدی ردیابی می کنند و در صورت لزوم به تیم های IT و امنیتی هشدار می دهند. تناقضات است. امنیت نهایی را می توان به عنوان یک دیوار یا استحکام مرزی چند لایه تصور کرد. وقتی این شکسته شد ، هیچ کاری نمی تواند انجام دهد. سپس ابزارهای دیگری باید اجرا شوند که بیشتر شبیه گشت پلیس یا تیم تحقیق است که مناطق نزدیک مرز را رقیق و نظارت می کند. EDR همچنین در مرحله "پس از اجرا" فعال است ، جزئیات بیشتری را ضبط می کند و بنابراین توانایی تجزیه و تحلیل عمیق را دارد. گارتنر EDR را به عنوان دسته ابزارهایی تعریف کرد که در درجه اول در کشف و تحقیق درباره فعالیت مشکوک و آثار آن در میزبان ها و نقاط انتهایی متمرکز است.
چگونه EDR دقیقا چگونه کمک می کند؟ در اینجا ، مثالها: یک راه حل امنیتی خالص نهایی به سختی نمی تواند بار کاری را که با سایر کارها از همان شبکه به عنوان مشکوک ارتباط برقرار می کند ، طبقه بندی کند. یک راه حل EDR به محض این که متوجه شود که درگاه ارتباطی یا یک درگاه استاندارد نیست یا هشدار می دهد که دو بار کار با یکدیگر ارتباط برقرار نمی کنند ، نسبت به این موضوع هشدار می دهند. امنیت نقطه پایانی متعارف نیز به هیچ وجه طراحی نشده است تا تشخیص دهد سوء استفاده از اعتبار کاربر توسط افراد غیرمجاز سوء استفاده شده است.
مجرمان سایبری می توانند به عنوان مثال داده های دسترسی کارمندان را از طریق فیشینگ دریافت کنند. این امر به آنها اجازه می دهد تا به صورت مشروع در زیرساخت ها حرکت کنند. از این مرحله به بعد ، آنها می توانند به اسناد و داده های داخلی دسترسی پیدا کنند ، آنها را کپی کرده و حتی ابزارهای مداوم دیگری را نیز نصب کنند که کنترل بیشتری به آنها می دهد. ابزارهای EDR بلافاصله هشداری در مورد چنین اقداماتی صادر می کنند – سوءاستفاده از اعتبار ، افزایش امتیاز و استخراج داده. به عنوان مثال ، ورود به سیستم از مکان های ناآشنا در دستگاه های ناشناخته یا دسترسی اول کاربر به دایرکتوری ها نشانه هایی از رفتار غیر عادی است. سپس مدیران می توانند از EDR برای خودکارسازی مشکل استفاده کنند ، آن را با کلیک برطرف کنند یا در بسیاری از موارد تحقیق کنند.
با توجه به مفاد GDPR ، همچنین لازم است تخلفات محافظت از داده ها را در مدت 72 ساعت گزارش دهید. با توجه به پیچیدگی حملات سایبری امروز بدون EDR ، این امر برای اکثر سازمان ها غیرممکن است. EDR به سرعت چنین تخلفاتی را تشخیص می دهد و در بیشتر موارد تضمین می کند که از خسارت جلوگیری می شود یا به شدت مهار می شود. تیم های فناوری اطلاعات و امنیت بطور مداوم با ابزارهای EDR اولیه برای مرور هشدارها بدون اینکه بتوانند تشخیص دهند که چه چیزی بسیار مهم است ، کار می کنند. نتیجه "خستگی زنگ" است: تیمهای پر بار نمی توانند درباره هر حادثه تحقیق کنند – و ممکن است از مهمترین آنها منحرف شوند. عدم تعامل بین EDR و Endpoint Security نیز دولت را خسته کننده جلوه داد. راه حل های ناهمگن به دو یا چند عامل مختلف در دستگاه انتهایی نیاز داشتند و به طور جداگانه اداره می شدند. نتیجه کاهش توان محاسباتی سخت افزاری و بارهای اداری متعدد برای تیمهای فناوری اطلاعات و امنیت است.
EDR نسل بعدی
این محدودیت ها راه حل های جدیدتر را با یک عامل امنیتی یکپارچه که ترکیبی از امنیت نقطه پایانی و EDR است ، نشان می دهند. این کار هر دو راه حل را قادر می سازد تا با هم همکاری کنند ، اطلاعاتی را در مورد مسائل امنیتی احتمالی به اشتراک بگذارند ، و تمام اطلاعات مربوط به مدیران امنیتی و فناوری اطلاعات را در یک کنسول مدیریت مرکزی واحد نمایش دهند.
یکی از مؤلفه های اصلی EDR نسل بعدی توانایی رفع مشکل هوشیاری است. ارتباط یک حادثه امنیتی را تعیین کنید. یک راه حل مشترک برای امنیت نقطه پایانی و EDR مزایای بسیاری را ارائه می دهد: اول ، مشکلات بی شماری به طور خودکار از بین می روند ، دوم ، جمع آوری اطلاعات همراه با یادگیری ماشینی باعث می شود هوشمندی حوادث را بدست آورید. این نمایندگان را از وضعیت امنیتی زیرساخت های این شرکت به طور کامل نمایان می کند و با وجود هشدارهای کم اولویت فلج نمی شود.
درسهایی از اساطیر یونان: وقتی تروجان ها اسب چوبی را که یونانی ها به جا مانده بودند به شهر خود کشیدند ، آسیب هنوز اتفاق نیفتاده فقط وقتی جنگجویان یونانی پنهان در داخل موفق شدند دروازه های شهر را از داخل و بدون نظارت باز کنند ، این باعث سرنوشت شهر شد. در فناوری اطلاعات از این موضوع می آموزیم که باید "امنیت داخلی" وجود داشته باشد که وقتی اولین مراحل نقض انجام شده باشد: EDR.
نویسنده: Liviu آرسن ، تحلیلگر ارشد تهدید در Bitdefender
