راهکار EDR یا Endpoint Detection & Response تنها یک تکه از پازل امنیت سایبری

پیروزی در یک جنگ نیازمند برتری در تمام جبهه‌ها است و تنها برتری در یک جبهه یا یکی از انواع نیروهای جنگی برای پیروزی ناکافی است. مقابله با هکرها و خنثی کردن اقدامات آن‌ها نیز به طور مشابه به مجموعه‌ای متنوع از فناوری‌ها و همچنین متخصصان امنیتی آموزش‌دیده، با تجربه‌ی انجام و آزمایش روش‌های متفاوت برای دستیابی به بهترین نتایج، نیاز دارد. ابزارها و سرویس‌های مختلفی برای مقابله با هکرها وجود دارد که هر یک قابلیت‌های متفاوتی را ارائه می‌دهند. با این حال، کسب‌و‌کارهای کوچک و متوسط (SMBها) معمولا قادر به استفاده از تمام این ابزارها و سرویس‌ها نبوده و باید از بین موارد ممکن، برخی را انتخاب کنند. نتایج بررسی‌های صورت گرفته توسط موسسه گارتنر بیانگر این است که راهکار EDR یکی از محبوب‌ترین و متداول‌ترین راه‌کارهای مورد استفاده در این راستا است. با این حال، باید توجه شود که اگر چه راهکار EDR یک بخش مهم از استراتژی­ امنیتی است، اما استفاده از آن  به تنهایی، کافی نیست.

Endpoint Protection یا EPP: محافظت از نقاط پایانی

محافظت از نقاط پایانی[۱] (EPP) بر روی جلوگیری از حملات شناخته شده بر اساس Signatureهای موجود تمرکز دارد. فایروال‌ها، فیلترهای وب، و ایجاد لیستی سفید یا سیاه از برنامه‌ها، تهدیدهای شناخته شده را شناسایی کرده و اجرای آن‌ها را متوقف می‌نماید. مدیریت متمرکز و امکان به‌کارگیری سریع، این ابزارها را به منابعی مناسب تبدیل کرده است.

با این حال، EPP برای شناسایی حملات ناشناخته یا روز-صفر[۲] ساخته نشده است. همچنین، این ابزارها قابلیت مشاهده شبکه­ را نیز فراهم نمی‌کنند. با توجه به این موضوع، به عنوان مثال اگر قبلا نفوذی رخ داده باشد، هکر قادر است بدون شناسایی به استخراج اطلاعات حیاتی بپردازد. به طور مشابه، Key loggerها یا مدل‌های جدید باج‌افزار قادر هستند تا بدون شناسایی شدن با سرورهای فرمان و کنترل[۳] (C&C) ارتباط برقرار کنند. با توجه به این توضیحات، EPP علیرغم لازم بودن، بسیار محدود است.

 راهکار EDR یا Endpoint Detection & Response

بر خلاف EPP، شناسایی و پاسخ‌دهی تهدیدات Endpoint یا راهکار EDR به مشتریان امکان شناسایی و تشخیص وقایع امنیتی، بررسی و حتی رفع و مقابله با آن‌ها در نقاط پایانی را ارائه می‌دهد. این موضوع منجر به تامین سطحی از قابلیت­ مشاهده در نقاط پایانی می‌شود، چیزی که EPP قادر به تامین آن نیست؛ راهکار EDR قادر است تا با استفاده از ابزارهای فارنزیک (Forensic)، که رفتارهای غیرعادی را تشخیص می‌دهند، تهدیدهای ناشناخته را شناسایی کنند. بنابراین، درحالی‌که EPP از شبکه در برابر تهدیدهای شناخته شده محافظت می‌کند، EDR هر چیز غیرطبیعی موجود در یک نقطه پایانی را شناسایی و بررسی می‌کند. هر چند در این راستا شروط و نکاتی نیز وجود دارند: اولا، نقاط کور در EDR وجود دارند؛ بدون وجود یک EDR Agent بر روی یک نقطه پایانی، راهکار EDR قادر به ارائه قابلیت مشاهده نیست. ثانیا، EDR به کارکنان امنیتی نیاز دارد که در زمینه تشخیص و پاسخ‌گویی به وقایع آموزش دیده باشند. برخلاف اغلب شرکت‌های بزرگ، تامین کارکنان امنیتی موردنیاز برای SMBها کاری دشوار است. نکته آخر اینکه راهکار EDR قابلیت مشاهده شبکه را فراهم نمی‌کند. تهدیدهایی که به طور مخفیانه وارد می‌شوند قادر هستند تا به طور جانبی در طول شبکه حرکت کرده و بدون محدودیت با یک سرور C&C راه دور در ارتباط باشند.

نظارت بر شبکه، امنیت داده و راهکار SIEM

نظارت پیوسته بر شبکه تکمیل‌کننده عملکرد راهکار EDR است. درحالی‌که EDR قابلیت مشاهده در نقاط پایانی را فراهم می‌کند، نظارت بر شبکه، اتفاقاتی که در واقع در شبکه در حال وقوع هستند، را نشان می‌دهد. به بیان ساده، هر دوی EDR و نظارت بر شبکه موردنیاز هستند.

صنایعی که شدیدا تحت نظارت هستند نیز به حفاظت از برنامه و داده‌ای نیاز دارند که بتواند از دارایی‌های­ ارزشمند ­آن‌ها – که هکرهای واقعی به دنبال سرقت و در ادامه فروش آن‌ها در دارک‌ وب هستند – محافظت کند.

در آخر مدیریت وقایع و امنیت اطلاعات (SIEM) قرار دارد؛ جایی که جریان داده‌های Log به دست آمده از EDR و نظارت بر شبکه در یک پلتفرم مدیریتی واحد تجمیع می‌شوند. تنها نقطه ضعف انبوه‌سازی و همبسته‌سازی داده‌های Log این است که پیاده‌سازی این فرایند بسیار زمان‌بر بوده (بین ۶ تا ۱۲ ماه) و مدیریت و/یا دریافت مجوز آن نیز کاملا هزینه‌بر است.

راهکار Managed detection and Response یا MDR: تکمیل‌کننده تصویر

راهکارهای تشخیص و پاسخ‌گویی مدیریت شده[۵] (MDR) به SMEها کمک می‌کند تا با هزینه‌ای مقرون‌به‌صرفه و بدون تخصص امنیتی یا با حداقل تخصص امنیتی درون سازمانی، معادل یک مرکز عملیات امنیت (SOC) ایجاد کنند.

به‌­طور خاص، MDR تجمیع Log (SIEM)، نظارت پیوسته از راه دور، اولویت‌بندی تهدیدها، و پاسخ‌گویی به وقایع و همچنین دسترسی تمام‌وقت به یک تیم امنیت ماهر را ارائه می‌کند.

در استفاده از خدمات MDR، سازمان‌ها می‌توانند به استفاده از ابزارهای EPP و EDR موجود و همچنین راهکارهای محافظت از داده خود ادامه دهند؛ اما ارائه‌دهندگان MDR، داده‌های Log این ابزارها را تجمیع کرده، به طور پیوسته به نظارت بر آن‌ها پرداخته، اولویت‌بندی رویدادها را انجام داده و راهنمایی موردنیاز جهت پاسخ‌گویی به وقایع را ارائه می‌کنند.

راهکار MDR: برون‌سپاری تخصصی شناسایی و پاسخ‌گویی به تهدید

ارائه‌دهندگان MDR دو گروه اصلی از خریداران را برای خدمات شناسایی و پاسخ‌گویی مدیریت شده خود هدف قرار می‌دهند:

• کسب‌وکارهای کوچک و متوسط که تنها به طور محدود می‌توانند در منابع امنیت (ابزارها/کارکنان) سرمایه‌گذاری کنند.
• شرکت‌های میان رده‌ای که در حال حاضر در منابع امنیت سرمایه‌گذاری کرده‌اند، اما به دنبال همکارانی جهت تقویت قابلیت‌های درون سازمانی خود هستند.

مزایای MDR

• مجموعه‌ای از فناوری‌های اختصاصی برای SIEM که در هزینه خدمت در نظر گرفته شده‌اند
• نظارت تمام وقت بر رویدادها/ Logها، فعالیت‌های مشکوک و هشدارها
• نظارت پیوسته بر شبکه
• شناسایی تهدیدها، اولویت‌بندی و بازرسی امنیتی
• ارائه توصیه‌های مربوط به بررسی و پاسخ‌گویی به حوادث به صورت از راه دور
• ارزیابی آسیب­‌پذیری
• گزارش انطباق‌پذیری به مراجع نظارتی
• مشاوران امنیتی که به عنوان توسیعی از تیم‌های امنیتی و IT مشتریان نهایی عمل می‌کنند

یک مرکز عملیات امنیت به عنوان یک خدمت یا SOC-as-a-Service، قابلیت‌های MDR و همچنین مواردی بیشتر از آن را ارائه می‌کند. مرکز عملیات امنیت به عنوان یک خدمت از یک پلتفرم SIEM مبتنی بر ابر برای جمع‌آوری و همبسته‌سازی داده‌های Log و جریان‌های شبکه از سنسور­های شبکه مستقر در محیط مشتری استفاده می‌کند. مهندسان امنیت با تجربه یک مرکز عملیات امنیت به عنوان یک خدمت بر تشخیص تهدید، بازرسی امنیتی، و اولویت‌بندی وقایع برای مشتریان متمرکز هستند. ارزیابی آسیب­‌پذیری و گزارش‌دهی انطباق‌پذیری نیز بخشی از سرویس جامع ارائه شده توسط آن‌ها است.

ارائه‌دهندگان SOC-as-a-Service، علاوه بر مزایای MDR، قابلیت‌های زیر را نیز ارائه می‌کنند:

• هوش مصنوعی ترکیبی (یادگیری ماشین تقویت شده به وسیله کاربر انسانی)، که تشخیص تهدید را ۱۰ برابر بهتر کرده و مثبت‌های کاذب­ را ۸۰% کاهش می‌دهد.
• “معماری داده بهینه شده با توجه به امنیت” که به طور پویا مقادیری نامحدود از داده‌های Log را تجزیه کرده و بررسی می‌کند.
• موتور قواعد قابل شخصی‌سازی که امکان متناسب‌سازی خدمات با توجه به نیاز­های ویژه مشتریان در اختیار مهندسان امنیت قرار می‌دهد.
• قیمت‌گذاری قابل پیش‌بینی بر اساس تعداد کارمندان، سرورها و سنسورهای شبکه به کار گرفته شده یک شرکت

[۱] Endpoint Protection

[۲] Zero-day

[۳] Command and Control

[۴] Security information and event management

[۵] Managed detection and response

[۶] Security operations center