معرفی: Kaspersky EDR Optimum

۱۴۰۱/۶/۳۰امنیت اطلاعات

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ نامگذاری محصولات و سرویس‌ها –و نیز آن همه قابلیت و کارکرد مختلف که دارند- در حوزه امنیت اطلاعات کار بسیار سختی است. می‌پرسید چرا؟ به دلیل پیچیدگی. امنیت سایبری پدیده‌ای تک بعدی مانند چیزی مانند فرضاً یک قایق نیست. شاید یک قایق در ابعاد مختلف ساخته شود اما جدا از چنین پارامترهایی اغلب اوقات یک قایق، یک قایق است. اما در حوزه امنیت اطلاعات چطور می‌شود به سیستم مدرن امنیت سایبری سازمان‌ها طوری برچسب زد که راحت و قابل‌درک باشد؟ و چطور می‌شود یک سیستم امنیتی را از دیگری تشخیص داد؟ اغلب توضیح چنین تفاوت‌هایی در یک پاراگراف سخت است. شاید برای همین است که کسپرسکی را هنوز به نرم‌افزار آنتی‌ویروس می‌شناسند. اما در واقع شناسایی و خنثی‌سازی بدافزارها بر اساس پایگاه داده آنتی‌ویروس امروز فقط یکی از فناوری‌های امنیتی ما به حساب می‌آید: در طول یک ربع قرن ما چند بُعد بدان اضافه کرده‌ایم.

واژه آنتی‌ویروس امروز چیزی بیش از یک استعاره است: این واژه شناخته‌شده است، درک گشته و بنابراین یک برچسب کارا است (حتی اگر دقیق یا به روز نباشد). اما اگر نیاز باشد به افراد در مورد محافظت چندکارکردی و پیچیده‌ی زیرساخت آی‌تی سازمان‌ها بگوییم باید چه کار کنیم؟ اینجاست که حتی کنار هم قرارگیریِ واژه‌ها هم کارساز نیست. و درست در همین نقطه باید به کلمات  عبارات اختصاری پناه آورد اما این هم به سردرگمی دامن می‌زند! هر سال تعداد واژه‌ها و کلمات اختصاری بیشتر و بیشتر می‌شود و حفظ کردن همه‌شان با هم نیز دارد بیشتر و بیشتر سخت می‌شود. پس بگذارید گشت و گذاری داشته باشیم بر همه این نام‌ها، واژه‌ها، شرحیات و اختصارهای پیچیده اما لازم. امید است در نهایت به راه‌حلی برای آنچه اختصارها مدت‌هاست با آن دست و پنجه نرم می‌کنند برسیم: منظورمان شفاف‌سازی و روشنی است. با ما همراه بمانید.

از EPP تا XDR

بسیارخوب، برگردیم به مفهوم قایق؛ یا همان آنتی‌ویروس.

نام دقیق‌تر این دسته از محصولات امروزه Endpoint Protection یا Endpoint Security است. از این گذشته، همانطور که در بالا گفته شد، این روزها تنها آنتی ویروس نیست که از اندپوینت محافظت می‌کند، بلکه مجموعه‌ای از اقدامات امنیتی است. و گاهی اوقات به فناوری‌های اندپوینت متنوع نامی به روز می‌دهند - از جمله کلمه "پلت‌فرم". این شاید به نوعی مناسب‌تر و دقیق‌تر به نظر برسد؛ همچنین گویی بیشتر مطابق مد روز است (از اختصار آن نیز معلوم است EPP به معنای پلت‌فرم محافظت اندپوینت).

پلت‌فرم محافظت اندپوینت در اصل مفهومی است که قدمتش به دهه 90 میلادی می‌رسد. هنوز هم مورد نیاز است اما برای محافظت با کیفیت از زیرساخت توزیع‌شده سایر متودها نیز لازمند. داده‌ها باید از کل شبکه جمع‌آوری و تحلیل شوند تا بشود نه تنها رخدادهای واحد را که کل زنجیره حملات را شناسایی کرد؛ حملاتی که به یک اندپوینت واحد محدود نمی‌شوند. تهدیدها باید در کل شبکه –نه فقط یک کامپیوتر- مورد بررسی واقع شده و بدان‌ها واکنش نشان داده شود. یک دهه اینطرف‌تر (اوایل 2000) محصولی آمد به نام SIEM (اطلاعات امنیتی و مدیریت رویداد)؛ ابزاری برای جمع‌آوری و تحلیل همه تله‌متری امنیت سایبری از دستگاه‌ها و اپ‌های مختلف. و نه فقط برای امروز: یک SIEM خوب می‌تواند تحلیلی عقب‌نگرانه انجام دهد: مقایسه رویدادهای گذشته و افشاسازی حملاتی که چند ماه یا حتی چند سال به طول انجامیدند. بنابراین، در این مرحله (اوایل دهه 2000) ما در حال حاضر با کل شبکه کار می‌کنیم. اما P  که به معنای Protection است در SIEM وجود ندارد.

بنابراین حفاظت توسط EPP (پلت‌فرم محافظت اندپوینت) ارائه شد. با این حال، EPP رویدادهای شبکه را نمی‌بیند. به عنوان مثال، می‌تواند براحتی یک APT (تهدید مداوم پیشرفته) را از دست بدهد. از این رو  در اوایل دهه 2010، یک مخفف دیگر برای پر کردن شکاف و پوشش هر دو عملکرد امنیتی ارائه شد: EDR  (تشخیص و واکنش به اندپوینت) که از طرفی، نظارت متمرکز بر کل زیرساخت فناوری اطلاعات را فراهم می‌کند - به عنوان مثال، اجازه می‌دهد تا آثار حملات را از همه میزبان‌ها جمع آوری کند- و از سوی دیگر، یک محصول از نوع EDR برای تشخیص نه تنها از روش‌های EPP، بلکه از فناوری‌های پیشرفته‌تر نیز استفاده می‌کند: تجزیه و تحلیل همبستگی رویدادها و انتخاب ناهنجاری‌ها بر اساس یادگیری ماشینی و تجزیه و تحلیل دینامیکی اشیاء مشکوک در یک سندباکس، به اضافه‌ی سایر ابزارهای شکار تهدید برای کمک به تحقیق و پاسخ. و وقتی خودمان EDR را اینجا در کسپرسکی انجام می‌دهیم، البته باید مهر خود را روی آن بگذاریم.

تا اینجای کار همه‌چیز خوب پیش رفته است اما هرگز برای کمال، محدودیت وجود ندارد.

باری دیگر برمی‌گردیم عقب؛ این بار به اوایل دهه 2020 و مخففی جدید معرفی شد: XDR (شناسایی و واکنش به eExtebed) که به سرعت در صنعت امنیت سایبری رایج شد: XDR به بیان ساده‌تر، EDR روی استروئیدها است. چنین سیستمی داده‌ها را نه تنها از اندپوینت‌ها (ایستگاه‌های کاری)، بلکه از منابع دیگر - به عنوان مثال دروازه‌های پست الکترونیکی و منابع کلود - تجزیه و تحلیل می‌کند. این کاملاً منطقی است، زیرا حملات به زیرساخت‌ها می‌تواند از هر نوع نقطه ورودی صورت گیرد.

XDR می‌تواند حتی از حیث تخصصش توسط داده‌های بیشتر حمایت و غنی شود:

  •         سرویس‌های تحلیل تهدید (برای ما [1]TIP نام دارد)
  •         سیستم‌های تحلیل ترافیک شبکه (برای ما [2]KATA نام دارد)
  •         سیستم‌های نظارت رویدادهای امنیتی

چنین داده‌هایی همچنین می‌توانند در خدمات مشابه که طرف‌سوم‌ها ارائه می‌دهند نیز بیایند.

قابلیت پاسخگویی XDR نیز پیشرفته است. اقدامات حفاظتی بیشتر و بیشتر در حال خودکار شدن هستند و این درحالیست که قبلاً همه آنها به صورت دستی انجام می‌شد. اکنون سیستم امنیتی خود می‌تواند بر اساس قوانین زیرکانه و سناریوهای ورودی کارشناسان به رویدادها پاسخ دهد.

پیچیده‌سازی و ساده‌سازی: مسئله این است!

امیدواریم تا الان شفاف‌سازی شده باشد که هر EDR یا XDR مجموعه بزرگ و پیچیده‌ای است از فناوری‌ها. با این حال، عملکرد EDR یا XDR ارائه‌دهنده‌های مختلف می‌تواند بسیار متفاوت باشد. به عنوان مثال، هر ارائه‌دهنده تعیین می‌کند که متخصصانش چه چیزی و چه مقدار را در یک EDR/XDR برای بازتاب بهتر و در نتیجه دفع حملات مدرن وارد می‌کنند. بنابراین، اگرچه همه آنها EDR/XDR نامیده می شوند، اما تا حد زیادی یکسان نیستند. فرضاً در پلتفرم Kaspersky XDR، علاوه بر قابلیت‌های XDR ذکر شده در بالا، یک ماژول نیز وجود دارد که آموزش تعاملی را برای افزایش سواد سایبری کارکنان مشتری-شرکت ارائه می‌دهد. این درحالیست که هیچ XDR دیگری چنین کاری انجام نمی‌دهد! اگر نخواهیم بابتش فخر بفروشیم دست کم می‌توانیم از این امر خوشحال باشیم. این شک‌گراها را خوشحال نمی‌کند. آنها ممکن است بگویند که اگر همه چیزهایی را که داریم به حفاظت سازمانی اضافه کنیم – اضافه‌کاری و شاخ و برگ دادن زیاد – اسمش زیاده‌روی نخواهد بود؟ باتلاقی که بیش از حد پیچیده، دست و پا گیر و غیرقابل درک می‌شود. با خود می‌گویند: "بعدش چه؟".

قبول، ما این را هم به مشتریان خود گوشزد کرده‌ایم. و در طول سال‌ها متوجه شده‌ایم که در امنیت سایبری سازمانی، همه شرکت‌ها هم قرار نیست اضافه کاری کنند و با تجهیزات مختلف سر خود را شلوغ. همین مجموعه ای اساسی از ابزارهای EDR به همراه دستورالعمل های واضح و راحت در مورد نحوه استفاده از آنها کفایت می‌کند. این امر به ویژه در مورد مشاغل کوچک و متوسط با تیم های کوچک از متخصصان infosec صادق است.می‌پرسید ما برای رفع این نیازهای ضروری تر چه کرده ایم؟ ما  KEDR Optimum را ارائه‌ داده‌ایم: راهکاری جدید و بهبود یافته با قابلیت‌های تشخیص پیشرفته، بررسی ساده و پاسخ خودکار در بسته‌ای با کاربری آسان برای محافظت از کسب‌وکار در برابر آخرین تهدیدها. برای مثال، در کارت‌های هشدار جدید، علاوه بر توضیحات مفصل درباره رویدادها و تهدیدات مشکوک، اکنون بخش پاسخگویی هدایت‌شده نیز وجود دارد که طی آن توصیه‌های گام به گام برای بررسی و پاسخ در مورد تهدیدات کشف شده ارائه داده می‌شود. توصیه‌هایی از این جنس بر اساس دهه‌ها کار اختصاصی کارشناسان برجسته ما تهیه شده‌اند و در قالبلینک‌هایی هستند به توضیحات دقیق رویه‌های حفاظتی. این نه تنها سرعت واکنش را افزایش می‌دهد، بلکه به کارآموزان متخصص infosec نیز اجازه می دهد مهارت های خود را تقویت کنند، به عنوان مثال - با پاپ آپ‌های تعاملی:

کار دیگری که KEDR Optimum اکنون می‌تواند انجام دهد این است که مراقب باشد مبادا متخصصین infosec احتمالاً سهواً فلان سیستم حیاتی را مسدود کنند. از این گذشته، بدافزارها گاهی اوقات می‌توانند با استفاده از فایل‌های سیستم‌عامل قانونی راه اندازی شوند - و مسدود کردن چنین فایل‌هایی می تواند عملکرد کل زیرساخت فناوری اطلاعات را مختل کند. KEDR Optimum شما را از این آفت مصون می‌دارد.

 

[1] پورتال هوش تهدید

 

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.