امنیت نقاط پایانی پیشرفته
- شناسایی و کشف تهدیدات پنهان
- مدیریت جامع ابزارهای امنیتی
- پاسخ سریعتر به تهدیدات و رخدادهای امنیتی
- امنیت سایبری فعالانه و بیش فعال
- انطابق و انعطاف پذیری بیشتر با سیاستهای سازمان
امنیت نقاط پایانی پیشرفته
- شناسایی و کشف تهدیدات پنهان
- مدیریت جامع ابزارهای امنیتی
- پاسخ سریعتر به تهدیدات و رخدادهای امنیتی
- امنیت سایبری فعالانه و بیش فعال
- انطابق و انعطاف پذیری بیشتر با سیاستهای سازمان
امروزه سازمانها با تعداد فزایندهای از تهدیدات امنیتی روبرو هستند که مقابله با بسیاری از آنها چالش برانگیز و پیچیده است. تهدیدات پیچیده نیاز به ابزارهای امنیت نقاط پایانی پیشرفته دارد تا راهکاری در برابر انواع تهدیدات داشته باشیم. راهکارهای امنیت نقاط پایانی پیشرفته با مانیتورینگ دائم بر رویدادها و جمع آوری اطلاعات مورد نیاز برای انجام واکنش در برابر رخدادهای امنیتی، راهکاری فراتر از راهکارهای معمول امنیت نقاط پایانی یا EPP است.
هر کدام از آنها دارای ویژگیها و قابلیتهایی هستند که برای پوشش ابعادی از امنیت سایبری طراحی شدهاند. این راهکارها که اصطلاحا به آنها ابزارهای مبتنی بر هشدار نیز میگویند، در شناسایی و کشف تهدیدات روز صفر و پیچیده کارایی بالایی از خود نشان میدهند. این راهکارها شامل EDR ، XDR ، MDR و SOAR میباشند.
تکنولوژیهای امنیت نقاط پایانی پیشرفته
تکنولوژیهای جدید و پیشرفته امنیت نقاط پایانی، رویکردی هشدار محور و بیش فعالانه در مقابله با تهدیدات و رخدادهای امنیتی دارند و به سادگی از کنار هیچ هشدار و رخدادی رد نمیشوند. این تکنولوژیها امکان شکار تهدیدات و شناسایی بدافزارهای روز صفر را میسر میکنند، اما این شناسایی تا حد بسیار زیادی وابسته به دانش و تجربه تیم امنیت عملیات است. راهکارهای بهروز با در اختیار گرفتن تکنولوژیهای هوش مصنوعی و یادگیری ماشین و پایگاه دانش بدافزاری، بخشی از ضعف دانش و تجربه امنیت سایبری را پوشش میدهند. در ادامه به صورت اجمالی تکنولوژیهای جدید امنیت نقاط پایانی میپردازیم.
EDR (Endpoint Detection and Response)
راهکار EDR ابزاری است که تهدیدات پیشرفته را شناسایی، بررسی و در نهایت پاسخ میدهد. این راهکار برای جبران ضعفهای ابزارهای رایج امنیت نقاط پایانی طراحی شدهاند تا بتوانند از تمامی حملات جلوگیری کنند. این راهکار شفافیت و مدیریت کامل بر تمامی فعالیتهای امنیت محور نقاط پایانی دارد. EDR ارتباط شبکهای، اجرای نرم افزار، بارگذاری درایور، تغییرات رجیستری، دسترسی به دیسک، دسترسی مستقیم به حافظه و غیر را تحت نظر میگیرد و به دنبال موارد مشکوک و ناشناس میگردد.
اصطلاح EDR در سال 2013 توسط Anton Chuvakin یک کارشناس متخصص در گارتنر ابداء کرد که منجر به پیدایش استراتژی جدیدی در ابزارهای امنیتی گردید. او برای جبران ضعف آنتی ویروسهای قدیمی و EPP در شناسایی تهدیدات این مفهوم را شکل بخشید تا تهدیدات را به طور کامل خنثی کند. در نتیجه با تغییر چشم انداز امنیت سایبری و افزایش حملات پیچیده و چند مرحلهای، اهمیت EDR بر همگان آشکار شده است. این راهکار کوچکترین تحرکات نقاط پایانی را مانیتور کرده و کشف و پاسخ پیچیدهترین تهدیدات را میسر میکند. این ابزار قابلیتهایی را در اختیار کارشناسان سایبری قرار میدهد تا به سرعت و دقت بیشتری تهدیدات را کشف و خنثی نمایند. در واقع تجربه و دانش متخصصین راهبر این ابزار، در کارایی آن نقش مهمی دارد.

XDR (Extended Detection and Response)
مرکز کشف و پاسخ توسعه یافته یا XDR یک راهکار امنیتی است که هدف آن شناسایی، بازرسی و واکنش به تهدیدات پیشرفته از منابع مختلفی همچون، فضای ابری، شبکه، ایمیل و نقاط پایانی است. XDR یک پلتفرم SaaS امنیتی است که راهکارهای امنیتی موجود سازمان را در یک سیستم امنیتی جامع متمرکز میکند. پلتفرم XDR دادههای خام را از تکنولوژیهای متعددی مانند: برنامههای ابری، امنیت ایمیل، هویتی و کنترل دسترسی جمع آوری میکند. این پلتفرم با مطابقت دادن دادههای سیستمهای امنیتی مختلف، چهره تهدیدات را شفافتر کرده و مدت زمان مورد نیاز برای شناسایی و پاسخ به حملات را کاهش میدهد.
Extended Detection and Response مفهومی جدید در امنیت سایبری است و به گونهای طراحی و توسعه داده شده تا کارشناسان فناوری اطلاعات بتوانند سیل عظیم هشدارهای امنیتی را مرتب کنند تا شناسایی و پاسخ به تهدیدات سرعت بیشتری بگیرد. امروزه XDR به عنوان تکنیکی حیاتی در مقابله با تهدیدات پیچیده شناخته میشود. سیستم امنیتی جامع که تهدیدات را در بردارهای متفاوت شناسایی و پاسخ دهد. XDR تهدیدات را از نقاط پایانی، ایمیل، شبکه، زیرساخت ابری و غیره تشخیص داده و واکنش جامع و کامل به آن میهد.

SIEM (Security Information and Event Management)
ابزاری که به کمک آن شناسایی، ارزیابی و پاسخ به تهدیدات امنیتی قبل از ایجاد اختلال در عملیات جاری سازمان میسر میشود. SIEM یک سیستم مدیریت امنیتی است که مدیریت هشدارهای امنیتی و مدیریت اطلاعات امنیتی را با هم ترکیب و تطبیق میکند. هدف از طراحی این سیستم افزایش شفافیت در محیط فناوری اطلاعات است که به تیمها اجازه میدهد به وقایع و رخدادهای امنیتی از طریق ارتباط و همکاری به طور مؤثرتری واکنش نشان دهند.
سازمانها متوجه شدند که آنها نیاز به سیستم امنیتی جامعی دارند که توانایی مدیریت حجم عظیمی از دادههایی که توسط سایر سیستمها تولید میشود را مدیریت کند، این همانجایی بود که SIEM وارد عمل شد. یک راهکار SIEM در ثانیه بیش از 1500 گزارش را از 300 منبع مختلف دریافت میکند. SIEM یک دید واضح و جامع از وضعیت سازمان را فراهم میکند تا مانیتورینگ و گزارش فعالیتهای مشکوک به سهولت انجام گیرد. این سیستم علاوه بر ارائه دادههای مورد نیاز برای کشف تهدیدات، فارنزیک و گزارش گیری انطابق پذیری را نیز ارائه میدهد.

MDR (Managed Detection and Response)
MDR یک سرویس است که توسط شرکتهای سرویس دهنده امنیتی MSSP ارائه میشود. MDR از ترکیب تکنولوژی، پردازش و نیروی انسانی که با همکاری یکدیگر به تهدیدات سایبری پاسخ میدهند، تشکیل شده است. هدف از طرح ریزی چنین سیستمی، فراهم کردن محافظت بیوقفه در برابر تهدیدات سایبری، شناسایی و پاسخ است. MDR با بهرهگیری از سایر تکنولوژیها مانند: یادگیری ماشین، فرآیندهای بررسی هشدارها را تسهیل بخشیده و با دخالت دادن تجربههای متخصصین نیز علاوه بر شناسایی سریعتر، واکنش به تهدیدات نیز تسریع میشود.
در دنیای مدرن امنیت سایبری سرویس MDR تبدیل به سرویسی ضروری شده است. این سرویس راهکاری فعالانه در شناسایی تهدیدات و پاسخ است که به سازمانها در شناسایی و کاهش تهدیدات کمک میکند. مانیتورینگ دائم شبانه روزی و واکنش به تهدیدات به صورت مستمر از اهداف این سرویس است و برای سازمانهایی که در تأمین نیروی انسانی متخصص با مشکل مواجه هستند، راهکار مفیدی است.

SOAR (Security Orchestration, Automation and Response)
پلتفرم SOAR مجموعهای از نرم افزارهاست که اطلاعات تهدیدات سایبری را جمع آوری و بدون نیاز به مداخله نیروی انسانی به آنها پاسخ میدهد. شاید ایده آن در نگاه اول کمی جاه طلبانه باشد اما پلتفرم SOAR با استفاده از تسکهای خودکاری که برای آن تعریف میشود و اطلاعاتی که هوش مصنوعی از گزارشات استخراج میکند، فرآیند پاسخ به تهدیدات را خودکار و با کمترین میزان دخالت انسانی انجام میدهد.
تکنولوژی SOAR هماهنگی، اجرا و خودکارسازی تسکها را بین افراد و ابزارهای مختلف تحت مدیریت یک پلتفرم واحد امکان پذیر میکند. به طور خلاصه، این پلتفرم وظیفه محافظت از شبکه و دستگاهها در برابر تهدیدات آنلاین، حملات و دسترسیهای غیرمجاز را دارد. پلتفرم SOAR توجهات زیادی را به سمت خود کشانده است؛ پلتفرم مرکزی برای مدیریت رخدادها، کاهش عملیات دستی و تکنولوژِیهای مختلف آن را به راهکاری جامع برای مقابله با تهدیدات تبدیل کرده است. با استفاده از پلتفرم برنامه ریزی، پیگیری و گزارش گیری در مدیریت رخدادها میسر شده و پاسخ به رخدادها سریعتر شده و در نهایت ساختار امنیتی سازمان را تقویت میکند.

تفاوت راهکارهای امنیت نقاط پایانی پیشرفته
حال که نوبت به انتخاب یکی از این راهکارها برای پیاده سازی در سازمان جهت ارتقاء امنیت سایبری رسیده است. بهتر است در خصوص اهداف هر یک از آنها آشنا شویم تا بتوانیم انتخاب بهتری داشته باشیم. مشخصه اصلی راهکارهای امنیت نقاط پایانی پیشرفته، توانایی آنها در شناسایی و کشف تهدیدات پیشرفته پایدار(APT) است. تهدیدات پیشرفته توسط گروهی از افراد خبره انجام میشود و به همین دلیل ما نیاز به ابزارهای پشرفتهتر و افراد متخصص در برخورد با آنها داریم.
EDR
این راهکار شامل نرم افزاری است که بروی تمامی نقاط پایانی سازمان نصب میشود و اصطلاحا به آن agent نیز گفته میشود. وظیفه این agent ضبط وقایع و ارسال گزارش به سرور مدیریتی آن است. این وقایع توسط سنسورهایی که در ایجنت تعبیه شده جمع آوری شده و در سرور مدیریتی تجمیع شده و بین گزارشات همبستگی ایجاد میشود.
XDR
راهکاری است که از ترکیب EDR و NDR وسایر سیستمهای محافظتی ایجاد میشود. هدف از این راهکار فراهم کردن روشهای قویتر برای مقابله با تهدیدات است. در این راهکار علاوه بر پاسخ به تهدیدات از طریق نقاط پایانی میتوان زیر ساخت سازمان را جهت متوقف کردن تهدید ساماندهی کرد.
SIEM
وظیفه سامانه SIEM جمعآوری و مدیریت گزارشات و وقایع امنیتی است. این گزارشات از سرتاسر سیستمهای امنیتی که EDR و XDR نیز شامل آن میشوند به آن ارسال شده و به شکل جامع مدیریت میشود. سیستم SIEM به تنهایی توانایی پاسخگویی به تهدیدات را ندارد، اما شفافیت و جامعیت گزارشاتی که در اختیار تیمهای امنیتی میگذارد به آنها در فرآیند پاسخ به رخدادها کمک میکند.
MDR
سرویس MDR بیش از آنکه یک سیستم باشد، نوعی از خدمات است. سازمانهایی که در تهیه و آموزش نیروی انسانی متخصص با مشکل مواجه هستند با بهره گیری از این سروریس خواهند توانست از راهکارهای یادشده استفاده بهینه کنند؛ بدون اینکه نیاز به تشکیل تیم و استقرار نیروی انسانی باشد.
SOAR
این پلتفرم یک راهکار جامع برای مدیریت تمامی ابزارهای امنیتی مستقر در سازمان است و با استفاده از ویژگیهایی که دارد امکان اجرای تسکهای اتوماتیک، مدیریت همه جانبه تهدیدات و نیاز به دخالت دائم نیروی انسانی را نیز تا حد بسیاری کاهش میدهد. این پلتفرم نسبت به سایر راهکارها، تکنولوژی جدیدتری محسوب میشود. متخصصین راهبر این سیستم باید از آموزش و تجربه بالایی جهت مدیریت و ایجاد تسک خودکار (در صورت نیاز) داشته باشند.
EDR
این راهکار شامل نرم افزاری است که بروی تمامی نقاط پایانی سازمان نصب میشود و اصطلاحا به آن agent نیز گفته میشود. وظیفه این agent ضبط وقایع و ارسال گزارش به سرور مدیریتی آن است. این وقایع توسط سنسورهایی که در ایجنت تعبیه شده جمع آوری شده و در سرور مدیریتی تجمیع شده و بین گزارشات همبستگی ایجاد میشود.
XDR
راهکاری است که از ترکیب EDR و NDR وسایر سیستمهای محافظتی ایجاد میشود. هدف از این راهکار فراهم کردن روشهای قویتری برای مقابله با تهدیدات است. در این راهکار علاوه بر پاسخ به تهدیدات از طریق نقاط پایانی میتوان زیر ساخت سازمان را جهت متوقف کردن تهدید ساماندهی کرد.
SIEM
وظیفه سامانه SIEM جمع آوری و مدیریت گزارشات و وقایع امنیتی است. این گزارشات از سرتاسر سیستمهای امنیتی که EDR و XDR نیز شامل آن میشوند به آن ارسال شده و به شکل جامع مدیریت میشود. سیستم SIEM به تنهایی توانایی پاسخگویی به تهدیدات را ندارد با شفافیت و جامعیتی که در اختیار تیمهای امنیتی میگذارد به آنها در اتخاذ تصمیمات و پاسخ به وقایع کمک میکند.
MDR
سرویس MDR بیش از آنکه یک سیستم باشد، نوعی از خدمات است. سازمانهایی که در تهیه و آموزش نیروی انسانی با مشکل مواجه هستند با بهره گیری از این سروریس خواهند توانست از راهکارهای فوق استفاده بهینه کنند بدون اینکه نیاز به استقرار نیروی انسانی و تشکیل تیم امنیتی باشد.
SOAR
این پلتفرم به یک راهکار جامع برای مدیریت تمامی ابزارهای امنیتی مستقر در سازمان است و با استفاده از ویژگیهایی که دارد امکان اجرای تسکهای اتوماتیک، علاوه بر مدیریت همه جانبه تهدیدات نیاز به دخالت دائم نیروی انسانی را نیز تا حد بسیاری کاهش میدهد. این پلتفرم نسبت به سایر راهکارها تکنولوژی جدیدتری محسوب میشود. متخصصین راهبر این سیستم باید از آموزش و تجربه بالایی جهت مدیریت و ایجاد تسک خودکار (در صورت نیاز) داشته باشند.