تفاوت پلتفرم EPP (آنتی ویروس) و سیستم امنیتی EDR چیست؟

03 مرداد 1403 294 بازدید
تفاوت پلتفرم EPP (آنتی ویروس) و سیستم امنیتی EDR چیست؟

اگر شهردار یک شهر بزرگ بودید، تمرکزتان بیشتر روی چه موضوعی بود؟ ماشین‌های پلیسی که می‌توانند مسائل ترافیکی را شناسایی کرده و از تصادف جلوگیری کنند یا آمبولانس‌هایی که می‌توانند به صحنه تصادف بپیوندند، به بحران پاسخ دهند و جان انسان‌ها را نجات دهند؟

EPP و یا به صورت عامیانه آنتی ویروس‌ها به جلوگیری از تهدیدات امنیتی، از جمله بدافزارهای شناخته شده و ناشناخته، در دستگاه‌های نقطه پایانی شما کمک می‌کنند.EDR به شما کمک می‌کنند حوادثی را کهEPP یا سایر اقدامات امنیتی شما را دور می‌زنند، شناسایی کرده و به آن‌ها پاسخ دهید.

کدام مهمتر است؟ آیا می‌توانید بدون یکی یا دیگری امنیت نقاط پایانی را تضمین کنید؟ بسیاری از پلتفرم‌های مدرناین دو رویکرد را ترکیب می‌کنند و ارائه می‌دهند. با این وجود، می‌توانید انتخاب کنید کدام راه حل در کدام نقاط پایانی مستقر شود.

در این مقاله می‌خواهیم پلتفرم EPPو سیستم امنیتی EDRرا به طور کامل برای شما توضیح دهیم.

 

پلتفرم EPP چیست؟

EPP(Endpoint Protection Platforms) برای جلوگیری از حملات تهدیدات سنتی مانند بدافزارهای شناخته شده و تهدیدات پیشرفته مانند باج‌افزار، آسیب‌پذیری‌های روز صفر و برخی حملات طراحی شده‌اند.

همانطور که گفته شد، بسیاری از پلتفرم‌های EPP شامل EDR هستند و یا می‌توانند با هم ادغام شوند، اما در این بحث ما بر قابلیت‌های امنیتی پلتفرم EPPبه استثنای EDR تمرکز می‌کنیم.

پلتفرم EPP فعالیت‌های مخرب را با استفاده از چندین روش شناسایی می‌کند:

  • Signature matching: شناسایی تهدیدها با استفاده از امضا و یا شهره بدافزار شناخته شده.
  • ML static analysis: تجزیه و تحلیل داده‌ها قبل از اجرا با استفاده از الگوریتم‌های یادگیری ماشین و جستجو برای ویژگی‌های مخرب.
  • Sandboxing: اجرای فایل‌ها در یک محیط مجازی برای بررسی رفتارهای مخرب قبل از اجازه اجرا.
  • Blacklisting and whitelisting: مسدود کردن دسترسی یا فقط اجازه دسترسی به برنامه‌های کاربردی خاص، آدرس‌های IP، URLها یا پورت‌ها.
  • Behavioral analysis: EPP مدرن می‌تواند یک خط پایه رفتاری از رفتار نقطه پایانی ایجاد کند و فرآیندها یا کاربرانی را که رفتار غیرعادی دارند، شناسایی کند، حتی اگر هیچ امضای تهدید شناخته شده ای وجود نداشته باشد.

EPPها معمولاً ابزارهای زیر را هم ارائه می‌دهند:

-      آنتی ویروس و آنتی ویروس نسل بعدی (NGAV)

-      فایروال شخصی که از نقطه پایانی محافظت می‌کند

-      رمزگذاری داده‌ها، احتمالاً با برخی از قابلیت‌های جلوگیری از از دست دادن داده‌ها

 

سیستم امنیتی EDR چیست؟

سیستم امنیتی EDR (Endpoint Detection and Response) توسط گارتنر در سال 2013 به عنوان نوع جدیدی از فناوری امنیتی تعریف شد. این راهکار به شناسایی حملات در دستگاه‌های نقطه پایانی کمک می‌کند و دسترسی سریع به اطلاعات مربوط به حمله را فراهم می‌کند. دستیابی به این امر بدون فناوری EDR دشوار است زیرا کارکنان امنیتی معمولاً دید کم و کنترل کمی بر نقاط انتهایی راه دور دارند.

فراتر از دسترسی به اطلاعات، نقش کلیدی نرم افزار EDR این است که به کارکنان امنیتی کمک کند تا با قرنطینه کردن یک نقطه پایانی، مسدود کردن فرآیندها یا اجرای خودکار واکنش به حادثه، به حملات پاسخ دهند.

راه حل‌های EDR دارای سه جزء اصلی هستند:

  • Data collection: Agentها در دستگاه‌های نقطه پایانی، داده‌های مربوط به اجرای فرآیند، ارتباطات و ورود به سیستم را جمع‌آوری می‌کنند.
  • Detection engine: فعالیت نقطه پایانی معمولی را تجزیه و تحلیل می‌کند، ناهنجاری‌ها را کشف می‌کند و ناهنجاری‌هایی را گزارش می‌کند که ممکن است یک حادثه امنیتی در نقطه پایانی را نشان دهد.
  • Data analysis engine: داده‌ها را از نقاط پایانی جمع می‌کند و تجزیه و تحلیل بلادرنگ درباره حوادث امنیتی از سراسر شرکت ارائه می‌دهد.

 

همچمنین اکثر راه حل‌هایی سیستم امنیتی EDRارائه می‌دهند، عبارتند از:

  • Threat intelligence: شناسایی نشانه‌های خطر (IoC) در نقطه پایانی و شناسایی عامل تهدید احتمالی و تکنیک حمله مورد استفاده آن‌ها.
  • Alerts and forensics: اطلاع‌رسانی به کارکنان امنیتی درلحظه وقوع در مورد حوادث امنیتی و دسترسی آسان آن‌ها به اطلاعات و ابزارهایی که به بررسی کامل حادثه کمک می‌کند.
  • Trace back: به کارکنان امنیتی کمک می‌کند تا تشخیص دهند که کدام نقاط پایانی یا دستگاه‌های شبکه ممکن است تحت تأثیر همان حمله قرار گیرند و مهاجم در ابتدا کجا به شبکه نفوذ کرده است.
  • Automated response: انجام اقداماتی در دستگاه نقطه پایانی مانند مسدود کردن دسترسی به شبکه، مسدود کردن یک فرآیند یا سایر اقداماتی که می‌تواند حمله را مهار و کاهش دهد.

سیستم امنیتی EDR (Endpoint Detection and Response) توسط گارتنر در سال 2013 به عنوان نوع جدیدی از فناوری امنیتی تعریف شد

سیستم امنیتی EDR (Endpoint Detection and Response) توسط گارتنر در سال 2013 به عنوان نوع جدیدی از فناوری امنیتی تعریف شد

تفاوت‌های کلیدی بین EPP و EDR

چند تفاوت کلیدی بین EPP و EDR وجود دارد که در جدول زیر به صورت خلاصه شرح داده شده است:

تفاوت‌های کلیدی بین EPP و EDRتفاوت‌های کلیدی بین EPP و EDR

پلتفرم EPP و سیستم امنیتی EDR مکمل یکدیگر هستند

پلتفرم EPP و سیستم امنیتی EDR مکمل یکدیگر هستند

از بین EPPو EDR کدامیک اهمیت بیشتری دارد؟

تحلیلگران توصیه می‌کنند از ترکیبی از EPP و EDR برای محافظت از نقاط پایانی استفاده کنید. پلتفرم EPPاولین خط دفاعی است که می‌تواند از تهدیدات قبل از رسیدن به نقطه پایانی جلوگیری کند، در حالی که سیستم امنیتی EDRمبتنی بر «فرضیه داشتن نقطه ضعف» است، این درک که شما هرگز نمی‌توانید حفاظت کامل را به عهده بگیرید و باید ابزاری برای پاسخگویی مؤثر به یک حمله موفقیت‌آمیز را داشته باشید.

اگر مجبور شدید از بین EPPو EDR یکی را انتخاب کنید، کدام ارجح است؟

استفاده از پلتفرم EPPبسیار مهم است زیرا می‌تواند در برابر تهدیدات مرسوم و همچنین بسیاری از تهدیدات پیشرفته محافظت کند. مانند یک قفل پیچیده روی در شما، از سرقت جلوگیری نمی‌کند، اما نفوذ مهاجمان به محیط شما را بسیار دشوارتر می‌کند. در بسیاری از موارد، مهاجمان دیگر اهداف آسان‌تر را ترجیح می‌دهند و از تلاش عمده برای غلبه بر دفاع EPP اجتناب می‌کنند.

EDR نیز بسیار حائز اهمیت است زیرا قابلیت دید و ابزارهای عملیاتی را فراهم می‌کند که به تیم‌های امنیتی اجازه می‌دهد به یک حمله واکنش نشان دهند. بسیاری از حملات، به ویژه تهدیدات پایدار پیشرفته (APTs)، بر نقاط پایانی به عنوان یک حلقه ضعیف از محیط امنیتی متمرکز هستند. سیستم امنیتی EDRمی‌تواند زمان مورد نیاز برای شناسایی حملات موفقیت‌آمیز در نقاط پایانی را به طور چشمگیری کاهش دهد، آن‌ها را مهار کند و زنجیره حمله سایبری را که مهاجم را به یک دستگاه خاص هدایت می‌کند، شناسایی کند.

ین یک معضل است. به عنوان شهردار یک شهر، نمی‌خواهید بین ماشین پلیس و آمبولانس یکی را انتخاب کنید. غیبت هر یک از آن‌ها شهروندان را در معرض خطر قرار می‌دهد و به ناچار منجر به از دست رفتن زندگی می‌شود.

تحلیلگران توصیه می‌کنند از ترکیبی از EPP و EDR برای محافظت از نقاط پایانی استفاده کنید

تحلیلگران توصیه می‌کنند از ترکیبی از EPP و EDR برای محافظت از نقاط پایانی استفاده کنید

سخن پایانی

در این مقاله با تفاوت‌ها و کارکردهای پلتفرم EPPو سیستم امنیتی EDRآشنا شدیم و دریافتیم که برای حفظ امینت سایبری و دفع کامل حملات وارده، این دو برنامه مکمل یکدیگر بوده و استفاده از هر دو آن‌ها ضرروی می‌باشد. شما هنگام ساخت مجموعه راه حل‌های امنیتی خود، باید اطمینان حاصل کنید که ترکیبی از پیشگیری و تشخیص برای ایمن نگه‌داشتن کاربران و سیستم‌های سازمانی را دارید.

امیر حسین دادبین

امیر حسین دادبین

کارشناس امنیت اطلاعات