آستروولوژی کوچینگقبل از اينكه در مورد تفاوت EDR و EDR Optimum كسپرسكي صحبت كنيم بايد بدانيم EDR چيست و چرا بهعنوان يكي از ضروريات امنيتي به آن احتياج داريم.
چرا به EDR نياز داريم
در زمانهاي نهچندان دور حملات سايبري بهصورت غير هدفمند و توسط بدافزارها بهصورت انبوه صورت ميگرفتند.
انبوه به اين معنا كه يا بهصورت اتوماتيك با ارسال ايميل از يك منبع ثابت و به اهداف تصادفي، يا از طريق وب سايتهاي فيشينگ به وقوع ميپيوستند. شركتهاي امنيتي در مقابل اينگونه حملات اقدام به طراحي حفاظتاند پوينت Endpoint Protection Platformكردند.
در مواجهه با شناسايي مؤثر مبتني بر EPP، مهاجمان به تاكتيك پرهزينهتر، اما مؤثرتر، براي انجام حملات هدفمند عليه قربانيان خاص روي آوردند. به دليل هزينه زياد، معمولاً از حملات هدفمند عليه شركتها باهدف كسب سود از طريق باجخواهي استفاده ميشود. شناسايي گام اول حملات هدفمند است. اينگونه از حملات براي نفوذ به سيستم IT قرباني و فرار از سد حفاظتي آن طراحي ميشوند.
با توجه به اينكه حملات توسط انسان هدايت ميشوند و روشهاي متفاوتي را در برميگيرند حملات هدفمند ميتوانند بهراحتي از سد EPP عبور كنند.
EPP تنها روي يك اندپوينت و تحركات خارجي و داخلي مرتبط به آن تمركز ميكند درحاليكه حملات پيشرفتهتر از طريق سروهاي مختلف يك زنجيره حمله را طراحي ميكنند و تنها ممكن است برخي از اين تحركات توسط EPP شناسايي شوند و مشكوك به نظر نرسند.
همچنين EPP بهصورت مستقل و خودكار عمل ميكند و پروتكلهاي مشخصي را در شناسايي استفاده مينمايد. به همين دليل مهاجمان بهراحتي ميتوانند ازنظر آنها پنهان شوند.
شكلگيري كسپرسكي EDR
كسپرسكي EDR توانايي حفاظت را به راهكارهاي EPP موجود افزود EDR روي حملات هدفمند تمركز دارد ولي EPP صرفاً روي حملات گسترده و با پيچيدگي كمتر اشراف دارد.
اين راهحل امنيتي با تجزيهوتحليل كنش بدافزارها و همه وقايع بهصورت كلي، تمام زنجيره حمله را شناسايي ميكند.
همچنين قابليت رؤيت رويداد چند ميزبانه را داراست. به اين معني كه تجميع آثار حمله پراكنده در سراسر سيستم IT را بررسي ميكند.
تهديدات را با محاسبات سنگين و پيچيده فراتر ازآنچه در زيرساخت اندپوينت موجود است، بدون اينكه روي جريان معمول كار تداخلي ايجاد كند تشخيص ميدهد.
كسپرسكي EDR تمام رويدادها را بهطور مستمر مورد ارزيابي قرار داده و دادههاي مربوط را بدون توجه به مشكوك بودن يا نبودن گردآوري ميكند. به همين دليل ميتواند در مقابل بدافزارهاي ناشناخته مؤثرتر عمل كند. البته مكان غيرفعال كردن اين قابليت وجود دارد ولي در اين شرايط اطلاعت احراز هويت مسروقه ديگر بهعنوان يك رفتار مشكوك تلقي نميشوند، و همچنين بدافزارهاي ناشناخته نيز به كار خود ادامه ميدهند.
تهديدات تك ميزبان براي EPP قابلشناسايي بودهاند كسپرسكي EDR لايههايي از تشخيص را با دامنه چند ميزبان اضافه ميكند. در كنار شناسايي رويداد محور EDR هر چيزي را كه مشكوك به نظر برسد به هسته مركزي ميفرستد تا با استفاده از الگوريتمهاي مبتني بر يادگيري ماشين مورد ارزيابي عميقتر قرار بگيرند.
شناسايي دستي يا «شكار تهديد» يك جستجوي فعال است كه توسط كاربر براي رهگيري حملات و تهديدات به كار ميرود. EDR اجازه شناسايي تهديدات را از جايجاي تاريخچه وقايع ثبتشده به شما ميدهد. كاربر ميتواند در حافظه به تعقيب حملات و رويدادهاي مشكوك پرداخته و ارتباط آنها را براي بازسازي زنجيره حمله احتمالي كشف نمايد. آيتمهاي جستجو ميتوانند از فيلترهاي مختلفي براي كسب نتايج دقيقتر استفاده كنند.
ميتوان بهصورت دستي موارد و مشكوك را براي تحليل عميق انتخاب كرد. كاربر همچنين اين گزينه وجود دارد كه كاربر نسبت به وقايع مستقيماً واكنش نشان دهد اين اقدام ميتواند شامل بازسازي وقايع در زنجيره حمله، تداخل در فرآيند با پاك كردن، قرنطينه و يا اجراي نرمافزارها و بازگرداني تغييراتي كه توسط EPP به علت فعاليت بدافزارها شكلگرفتهاند.
باوجود چنين قابليتهاي در ثبت وقايع و بررسي عميق آنها همچنين در اختيار داشتن نگاه كلي به شبكه بهجاي تمركز بر تنها يك اندپوينت ميتوان گفت كسپرسكي EDR ميتواند شكل پيشرفتهتري از تهديدات را شناسايي و خنثي نمايند.
كسپرسكي EDR Optimum
Kaspersky Endpoint Detection and Response (EDR) Optimum يك ابزار خودكار متمركز است كه حملات پيشرفته و هدفمند را به روشهايي كه كار را براي كاركنان و منابع IT آسان ميكند، بررسي ميكند.
Kaspersky EDR Optimum ضمن استفاده از عامل، ديد بهبوديافته، ظرفيت تحليل علت ريشه و پاسخ خودكار را به EPP قوي موجود (Kaspersky Endpoint Security for Business) اضافه ميكند. دادهها از اين ميزبانها جمعآوري و تجزيهوتحليل ميشوند و گزارش، اطلاعات دقيق وقايع و گزينههاي پاسخ در مورد حوادث از طريق كنسول Kaspersky Security Center ارائه ميشوند. پاسخ به حوادث ميتواند بهصورت خودكار يا بافرمان كاربر باشد. پاسخ خودكار بهمنظور پاسخگويي به حوادث مشابه در بسياري از ميزبانها بدون دخالت انسان تنظيم ميشود كاركرد Kaspersky EDR Optimum را تا حد امكان سادهشده است.
پس از نصب، كاركنان امنيت فناوري اطلاعات فقط بايد هرچند وقت يكبار كنسول را بررسي كنند تا وقايع ايجادشده را پردازش نمايند، تجزيهوتحليل علت اصلي را انجام داده و به حوادث پاسخ دهند. اين سطح بالاي خودكارسازي، نيازي به مأمور امنيتي براي بررسي حجم عظيمي از دادهها در هرروز را از بين ميبرد. در عوض، به آنها كمك ميكند تا توجه خود را بر روي كنشهاي مشكوك متمركز كنند و تمام اطلاعات موردنياز را در اختيار آنها بگذارند.
بهبيانديگر Kaspersky EDR Optimum براي سازمانهايي طراحيشده كه از منابع كافي مانند در دسترس نبودن متخصص امنيتي يا فقدان منابع مالي موردنياز، براي حضور متخصص امنيت درونسازماني برخوردار نيستند.
اين راهكار امنيتي براي شناسايي و پاسخ خودكار تهديدات از ابزارهاي اطلاعاتي زير استفاده ميكند.
شبكه امنيتي كسپرسكي KSN : يك زيرساخت ابري است كه دسترسي آنلاين به پايگاه دانش كسپرسكي فراهم ميكند اين پايگاه دانشبنيان حاوي اطلاعات از اعتبار نرمافزارها و بخشي از وب سايتها است.
استفاده از پايگاه داده كسپرسكي باعث اطمينان از افزايش سرعت در پاسخ به تهديدات، بهبود عملكرد و جلوگيري از پيام شناسايي خطا ميشود.
يكپارچهسازي با شبكه خصوصي امنيت كسپرسكي KPSN كه به كاربران اجازه دسترسي به پايگاه داده و ساير اطلاعات آماري را ميدهد بدون اينكه اطلاعاتي از سمت كاربر ارائه شود.
يكپارچهسازي با مركز اطلاعت تهديدات كسپرسكي كه حاوي اطلاعات وب سايتها است.
تمام اين منابع به EDR Optimum اجازه ميدهد در برخورد و شناسايي خطرات بالقوه و تهديدات امنيتي با حداكثر سرعت و دقت بهصورت خودكار عمل كند. و مهم ترين تفاوت EDR و EDR Optimum كسپرسكي در همين خلاصه مي شود.
نتيجه گيري:
هر دو سامانه امنيتي EDR Optimum و كسپرسكي EDR براي شناسايي عوامل تهديد صرفاً روي بدافزارهاي شناختهشده و روشهاي مرسوم تأكيد نميكنند، بلكه علاوه بر اين موارد با تجزيه تحليل دقيق سيستم رفتارهاي كاربران و تعاملات ميان آن هار ثبت و ضبط نموده و بهدقت مورد تجزيه تحليل قرار ميدهند.
هر زمان كه رفتار مشكوكي از سمت هر كاربر برخورد كنند، بهطور خاص مورد ارزيابي و كنترل قرار خواهد گرفت و در صورت ادامهدار بودن، بهعنوان تهديد شناسايي ميشوند.
آنچه در كسپرسكي EDR Optimum بهعنوان يك مزيت ويژه افزودهشده است امكان خودكار سازي بهواسطه يكپارچهسازي با پايگاه داده كسپرسكي جهت انطباق رفتارها با دادههاي بهدستآمده ديگر است.