راهکار Endpoint Detection and Response چیست و چه قابلیت‌هایی دارد

تعریف موسسه‌ی Gartner از Endpoint Detection and Response یا EDR، راهکاری است که رفتارها در سطح سیستم و Endpoint را ضبط و ذخیره کرده تا با استفاده از تکنیک‌های مختلف تجزیه‌و‌تحلیل‌ داده، رفتار مشکوک را در سیستم شناسایی کند. اطلاعات متنی و محتوایی فراهم کرده، فعالیت مخرب را مسدود و پیشنهاداتی را برای اصلاح مطرح می‌کند تا سیستم‌های آسیب‌دیده بازیابی شوند.

شناسایی و پاسخ‌دهی تهدیدات Endpoint یا به اختصار EDR مخفف سه واژه است:

• Endpoint – یک Endpoint دستگاهی مثل رایانه‌های کاری یا سرور یک کاربر است.
• Detection (شناسایی) – تکنولوژی‌ EDR به شناسایی حملات روی دستگاه‌های Endpoint کمک کرده و برای تیم‌های امنیتی دسترسی به اطلاعاتی را فراهم می‌نماید که بتوانند به بررسی یک حمله کمک کنند.
• Response (پاسخ) – راهکارهای EDR می‌توانند با انجام کارهایی مثل قرنطینه کردن Endpoint یا مسدود کردن فرایندهای مخرب، در سطح دستگاه به‌طور خودکار به حملات پاسخ دهند.

کاربرد اصلی راهکار Endpoint Detection and Response این است که به تیم‌های امنیتی نسبت به فعالیت‌های مخرب روی Endpointها هشدار داده تا تجزیه‌وتحلیل Real-Time را نسبت به منشأ اصلی و وسعت حمله انجام دهند. EDR دارای سه مکانیزم اصلی می‌باشد:

• جمع‌آوری داده از Endpoint – داده‌های مربوط به رخدادهایی مثل اجرای فرایند، ارتباطات و لاگین کاربران را تجمیع می‌کند.
• موتور شناسایی – تجزیه‌و‌تحلیل رفتاری را انجام می‌دهد تا مبنایی از فعالیت‌های معمول در Endpoint را ایجاد نماید، ناهنجاری‌ها را کشف کرده و تعیین کند که کدام ناهنجاری‌ها نشانگر فعالیت مخرب روی Endpoint هستند.
• ضبط داده – داده‌هایی Real-Time در مورد حوادث امنیتی روی Endpointها فراهم می‌کند که تیم‌های امنیتی می‌توانند با استفاده از آن‌ها یک حادثه را به‌صورت Real-Time بررسی کرده و آن را تحت کنترل درآورند.

یک راهکار Endpoint Detection and Response حقیقی باید قابلیت‌های زیر را داشته باشد:

• جستجو و بررسی داده‌های رخداد
• اولویت‌بندی هشدارها یا بررسی فعالیت مشکوک
• شناسایی فعالیت مشکوک
• تشخیص تهدیدات یا بررسی داده‌ها
• متوقف کردن فعالیت مخرب

ویژگی‌های مهم راهکار Endpoint Detection and Response

درک جنبه‌های کلیدی امنیت EDR و دلیل اهمیت آن‌ها به کاربران جهت تشخیص ویژگی‌های ضروری در راهکار Endpoint Detection and Response کمک می‌کند. مهم است که راهکار امنیت EDR بتواند بالاترین سطح از حفاظت را فراهم کند، درحالی‌که به کمترین میزان تلاش و سرمایه‌گذاری نیاز داشته باشد و بدین ترتیب بدون اتلاف منابع برای تیم امنیتی مفید واقع شود.

در ادامه شش ویژگی کلیدی که باید در راهکار Endpoint Detection and Response وجود داشته باشد معرفی می‌گردد:

۱. قابلیت دید

قابلیت دید Real-Time در تمام Endpointها به کاربر توانایی مشاهده فعالیت‌های مخرب را حتی در مراحل اولیه نفوذ داده و امکان توقف بالافاصله آنها را فراهم می‌کند.

۲. دیتابیس تهدیدات

یک راهکار Endpoint Detection and Response کارآمد نیازمند جمع‌اوری داده‌ها از Endpointها و غنی‌سازی آنها با توجه به ساختار است تا بتوان با انواع مختلفی از تکنیک‌های تجزیه‌و‌تحلیل از این داده‌ها برای دیدن نشانه‌های حمله استفاده کرد.

۳. حفاظت رفتاری

تکیه به روش‌هایی که صرفاً مبتنی بر Signature یا نشانه‌های تهدیدات امنیتی (IOCها) هستند منجر به «خرابی خاموش[۱]» شده که امکان رخ دادن نقض‌های امنیتی را فراهم می‌کند. همچنین یک راهکار Endpoint Detection and Response کارآمد نیازمند رویکردهای رفتاری است که به دنبال نشانه‌های حمله (IOAها) باشد تا کاربر همیشه پیش از رخ دادن نقض امنیتی، از فعالیت‌های مشکوک آگاه باشد.

۴. بینش و هوش

یک راهکار EDR که هوش تهدیدات را یکپارچه‌سازی کند امکان فراهم کردن ساختاری شامل جزئیاتی در مورد مهاجم یا اطلاعات دیگری در مورد حمله را دارد.

۵. پاسخ سریع

اگر EDR پاسخ سریع و دقیقی را به رخدادها ارائه دهد، می‌تواند پیش از اینکه یک حمله تبدیل به نقض امنیتی شود، آن را متوقف کرده و به سازمان توانایی بازگشت سریع به کسب‌و‌کار خود را بدهد.

۶. راهکار مبتنی بر Cloud

داشتن راهکار EDR مبتنی بر Cloud تنها راهی است که بتوان تضمین کرد هیچ تأثیری روی Endpointها گذاشته نمی‌شود و درهمین‌حال از انجام قابلیت‌هایی مثل جستجو، تجزیه‌و‌تحلیل و بررسی به‌صورت Real-Time و دقیق اطمینان حاصل کرد.

اجزای کلیدی امنیت راهکار Endpoint Detection and Response

امنیت EDR فضایی یکپارچه‌ را برای جمع‌آوری، همبستگی و تجزیه‌و‌تحلیل داده‌های Endpoint و همچنین هماهنگ‌سازی هشدارها و پاسخ‌ها به تهدیدات فوری فراهم می‌کند. ابزار EDR دارای سه جزء اصلی است:

• Agentهای جمع‌آوری داده از Endpoint: با استفاده از Agentهای نرم‌افزاری مانیتورینگ Endpoint را انجام داده و داده‌هایی را از جمله فرایندها، اتصالات، حجم فعالیت و انتقال داده‌، در یک دیتابیس مرکزی جمع‌آوری می‌کنند.
• پاسخ خودکار: قواعد[۲] از پیش تعیین‌شده در یک راهکار EDR می‌توانند تشخیص دهند که داده‌های ورودی چه زمانی نشان‌دهنده‌ی نوعی نقض امنیتی هستند و یک پاسخ خودکار را فعال ‌کنند. مثلاً خارج کردن کاربر نهایی یا ارسال هشدار به یکی از اعضای تیم امنیت.
• تجزیه‌و‌تحلیل و جرم‏‌شناسی[۳]: یک راهکار Endpoint Detection and Response می‌تواند هم تجزیه‌و‌تحلیل Real-Time را برای تشخیص سریع تهدیداتی که در قواعد از پیش تعیین شده جای نمی‌گیرند به کار بگیرد و هم از ابزار جرم‌شناسی برای شناسایی تهدیدات یا تجزیه‌و‌تحلیل پس از یک حمله استفاده کند.
• موتور تجزیه‌و‌تحلیل Real-Time از الگوریتم‌ها استفاده می‌کند تا حجم‌های زیادی از داده را ارزیابی و همبسته کرده و الگوهایی را پیدا کند.
• ابزار جرم‌شناسی به متخصصان امنیت توانایی بررسی نقض‌های امنیتی گذشته را می‌دهد تا درک دقیق‌تری از نحوه کار یک بهره‌برداری[۴] و چگونگی نفوذ به دیوار امنیتی پیدا کنند. همچنین متخصصان فناوری اطلاعات از ابزار جرم‌شناسی استفاده می‌کنند تا تهدیداتی مانند بدافزار یا بهره‌برداری‌های دیگری که شاید روی یک Endpoint شناسایی نشده باشند را در سیستم جستجو کنند.

حملات پیشرفته‌ی متداول

حملات هدف‌دار و پیشرفته یک کسب‌و‌کار یا سازمان به‌خصوص را هدف قرار داده و برای یک محیط خاص طراحی می‌شوند که آنها را  نسبت به راهکارهای امنیت سایبری استاندارد مقاوم‌تر می‌کند.

بهره‌برداری از آسیب‌پذیری: نقاط ضعف امنیتی متداول در سیستم‌های عمومی شیوه‌ی جذابی برای حمله هستند و ۵۷ درصد از نقض‌های امنیتی از آسیب‌پذیری‌های شناخته‌شده حاصل می‌شوند که می‌شد آن‌ها را وصله[۵] کرد.

فیشینگ نیزه‌ای[۶]: فیشینگ نیزه‌ای که بسیار تأثیرگذار و بسیار متداول است یعنی ارتباطات هدف‌دار و فریب‌دهنده که طراحی شده‌اند تا با فریب دادن افراد در سازمان، اطلاعات حساسی را از آن‌ها گرفته یا آنها را برای اجرای یک فایل ترغیب کنند.

حملات Watering Hole: مهاجم در وب‌سایت‌هایی که بین کارمندان محبوب هستند به دنبال آسیب‌پذیری می‌گردد و یک یا چند مورد از آن‌ها را به بدافزار آلوده می‌کند.

حملات مرد میانی یا Man-in-the-middle: مهاجم جلوی ارتباطات افراد یک سازمان را گرفته و پس از بررسی یا حتی ایجاد تغییر در این پیام‌ها آن‌ها را منتقل می‌کند، در حالیکه افراد تصور می‌کنند که مستقیماً با همتای مورد اعتماد خود صحبت می‌کنند.

خرید دسترسی: سازمان‌های مجرم بسیاری از حملات روی بسیاری از سیستم‌ها را جمع‌سپاری[۸] می‌کنند و درصدی از آن سسیتم‌ها همیشه دچار نقض امنیتی هستند.

راهکار Endpoint Detection and Response چگونه کار می‌کند

ایده‌ی اصلی پشت EDR این است که به تیم‌های امنیت فناوری اطلاعات قدرت دهد تا بین رفتارهای عادی کاربران، فعالیت مخرب را شناسایی کنند. برای دستیابی به این مهم، این تیم‌ها می‌توانند داده‌های رفتاری را جمع‌آوری کرده و آن‌ها را برای تجزیه‌و‌تحلیل به یک دیتابیس مرکزی بفرستند. راهکارهای EDR می‌توانند با استفاده از ابزار تجزیه‌و‌تحلیل مبتنی بر هوش مصنوعی الگوها را شناسایی کرده و ناهنجاری‌ها را تشخیص دهند. سپس می‌توان این موارد را برای بررسی بیشتر و اصلاح به مراجع مربوط تحویل داد.

راهکارهای مورد استفاده در امنیت Endpoint

یک راهکار برای امنیت Endpoint چندین جزء دارد و واژگان مختلفی وجود دارند که معمولاً باعث سردرگمی می‌شوند. در این بخش می‌خواهیم تعاریف دقیقی از مفاهیم EDR، EPP[۹]، [۱۰]AV/NGAV و SIEM ارائه دهیم.

تفاوت بین EDR و EPP

بنا به گفته‌ی موسسه‌ی Gartner، پلتفرم حفاظت Endpoint یا EPP یک راهکار امنیتی است که برای شناسایی فعالیت مخرب روی Endpointها، پیشگیری از حملات بدافزار و بررسی و اصلاح حوادث امنیتی پویا طراحی شده است. این تعریف EDR را بخش مهمی از راهکارهای EPP به شمار می‌آورد.

عملکرد پلتفرم EPP را می‌توان از لحاظ عملیاتی به دو دسته‌ی کلی تقسیم کرد:

• پیشگیری – یک EPP فراتر از آنتی‌ویروس‌های قدیمی کار می‌کند و تکنولوژی‌های آنتی‌ویروس نسل بعد یا NGAV را فراهم می‌نماید که می‌تواند بدافزارها و بهره‌برداری‌ها را شناسایی کند، حتی اگر با Signature فایل شناخته شده، تطبیق نداشته باشند. این جنبه از EPP روی شناسایی درصد بالایی از حملات روی Endpointها و مسدود کردن آن‌ها تمرکز دارد.
• شناسایی و پاسخ – این بخش توسط تکنولوژی‌های EDR فراهم می‌گردد. تمرکز این بخش روی شناسایی حملاتی است که از اقدامات دفاعی Endpoint عبور می‌کنند و تلاش می‌کند که جلوی گسترش حمله را بگیرد و به تحلیلگران امنیتی اطلاع‌رسانی کند.

تفاوت بین EDR و آنتی‌ویروس

افراد زیادی قابلیت‌های EDR و آنتی‌ویروس را با هم اشتباه گرفته و تصور می‌کنند که فقط لازم است از یکی از آن‌ها استفاده کنند. اما این دو تکنولوژی‌ مکمل یکدیگر هستند. آنتی‌ویروس یک ابزار پیشگیرانه است که به شناسایی مبتنی بر Signature اتکا می‌کند و قابلیت دیدی را به نحوه‌ی اجرا شدن حمله ارائه نمی‌دهد. آنتی‌ویروس می‌تواند جلوی بدافزار را بگیرد، اما مشخص نمی‌کند که از کجا آمده و چطور در شبکه گسترش پیدا می‌کند.

از طرف دیگر EDR تصویر کاملی را در مورد اینکه مهاجم چطور به سیستم دسترسی پیدا کرده و وقتی وارد سیستم شد چه کاری انجام داده، ارائه می‌دهد. EDR می‌تواند فعالیت‌های مخرب رویEndpoint  که بر اثر بهره‌برداری‌های Zero-Day، تهدیدات پیشرفته‌ی مداوم، حملات بدون فایل[۱۱] یا بدافزارهایی که از خود Signature به جا نمی‌گذارند و درنتیجه می‌توانند از AV و حتی NGAV قدیمی عبور کنند را شناسایی کند.

تفاوت بین EDR و SIEM

مدیریت وقایع و امنیت اطلاعات[۱۲] یا SIEM داده‌های رخداد و Log را از سراسر شبکه جمع‌آوری می‌کند تا به شناسایی الگوهای رفتاری، شناسایی تهدیدات و بررسی حوادث امنیتی کمک کند. این راهکار گسترده‌تر از Endpoint Detection and Response است که به‌طور خاص به فعالیت Endpoint می‌پردازد.

در یک سازمان بزرگ، EDR احتمالاً یکی از ورودی‌های داده‌ به SIEM باشد. SIEM می‌تواند اطلاعات درمورد حوادث امنیتی Endpoint که از سیستم EDR می‌آیند را با اطلاعاتی از بخش‌های دیگر محیط‌های امنیتی مثل مانیتورینگ شبکه و هشدارها از ابزار امنیتی دیگر ترکیب کند.

SIEM همچنین مسئول جمع‌آوری داده‌های قدیمی است، مثلاً ضبط داده‌های Endpoint در طول چندین سال که به تحلیل‌گران توانایی می‌دهد ببینند آیا این نوع حمله قبلاً اتفاق افتاده است یا خیر.

[۱] Silent Failure

[۲] Rule

[۳] Forensics

[۴] Exploit

[۵] Patch

[۶] Spear Phishing

[۷] Man-in-the-Middle

[۸] Crowdsource

[۹] Endpoint Protection Platform

[۱۰] Antivirus/Next-Generation Antivirus

[۱۱] Fileless or Malware-Free Attack

[۱۲] Security Information and Event Management