اگر شهردار یک شهر بزرگ بودید، تمرکزتان بیشتر روی چه موضوعی بود؟ ماشینهای پلیسی که میتوانند مسائل ترافیکی را شناسایی کرده و از تصادف جلوگیری کنند یا آمبولانسهایی که میتوانند به صحنه تصادف بپیوندند، به بحران پاسخ دهند و جان انسانها را نجات دهند؟
EPP و یا به صورت عامیانه آنتی ویروسها به جلوگیری از تهدیدات امنیتی، از جمله بدافزارهای شناخته شده و ناشناخته، در دستگاههای نقطه پایانی شما کمک میکنند.EDR به شما کمک میکنند حوادثی را کهEPP یا سایر اقدامات امنیتی شما را دور میزنند، شناسایی کرده و به آنها پاسخ دهید.
کدام مهمتر است؟ آیا میتوانید بدون یکی یا دیگری امنیت نقاط پایانی را تضمین کنید؟ بسیاری از پلتفرمهای مدرناین دو رویکرد را ترکیب میکنند و ارائه میدهند. با این وجود، میتوانید انتخاب کنید کدام راه حل در کدام نقاط پایانی مستقر شود.
در این مقاله میخواهیم پلتفرم EPPو سیستم امنیتی EDRرا به طور کامل برای شما توضیح دهیم.
پلتفرم EPP چیست؟
EPP(Endpoint Protection Platforms) برای جلوگیری از حملات تهدیدات سنتی مانند بدافزارهای شناخته شده و تهدیدات پیشرفته مانند باجافزار، آسیبپذیریهای روز صفر و برخی حملات طراحی شدهاند.
همانطور که گفته شد، بسیاری از پلتفرمهای EPP شامل EDR هستند و یا میتوانند با هم ادغام شوند، اما در این بحث ما بر قابلیتهای امنیتی پلتفرم EPPبه استثنای EDR تمرکز میکنیم.
پلتفرم EPP فعالیتهای مخرب را با استفاده از چندین روش شناسایی میکند:
- Signature matching: شناسایی تهدیدها با استفاده از امضا و یا شهره بدافزار شناخته شده.
- ML static analysis: تجزیه و تحلیل دادهها قبل از اجرا با استفاده از الگوریتمهای یادگیری ماشین و جستجو برای ویژگیهای مخرب.
- Sandboxing: اجرای فایلها در یک محیط مجازی برای بررسی رفتارهای مخرب قبل از اجازه اجرا.
- Blacklisting and whitelisting: مسدود کردن دسترسی یا فقط اجازه دسترسی به برنامههای کاربردی خاص، آدرسهای IP، URLها یا پورتها.
- Behavioral analysis: EPP مدرن میتواند یک خط پایه رفتاری از رفتار نقطه پایانی ایجاد کند و فرآیندها یا کاربرانی را که رفتار غیرعادی دارند، شناسایی کند، حتی اگر هیچ امضای تهدید شناخته شده ای وجود نداشته باشد.
EPPها معمولاً ابزارهای زیر را هم ارائه میدهند:
- آنتی ویروس و آنتی ویروس نسل بعدی (NGAV)
- فایروال شخصی که از نقطه پایانی محافظت میکند
- رمزگذاری دادهها، احتمالاً با برخی از قابلیتهای جلوگیری از از دست دادن دادهها
سیستم امنیتی EDR چیست؟
سیستم امنیتی EDR (Endpoint Detection and Response) توسط گارتنر در سال 2013 به عنوان نوع جدیدی از فناوری امنیتی تعریف شد. این راهکار به شناسایی حملات در دستگاههای نقطه پایانی کمک میکند و دسترسی سریع به اطلاعات مربوط به حمله را فراهم میکند. دستیابی به این امر بدون فناوری EDR دشوار است زیرا کارکنان امنیتی معمولاً دید کم و کنترل کمی بر نقاط انتهایی راه دور دارند.
فراتر از دسترسی به اطلاعات، نقش کلیدی نرم افزار EDR این است که به کارکنان امنیتی کمک کند تا با قرنطینه کردن یک نقطه پایانی، مسدود کردن فرآیندها یا اجرای خودکار واکنش به حادثه، به حملات پاسخ دهند.
راه حلهای EDR دارای سه جزء اصلی هستند:
- Data collection: Agentها در دستگاههای نقطه پایانی، دادههای مربوط به اجرای فرآیند، ارتباطات و ورود به سیستم را جمعآوری میکنند.
- Detection engine: فعالیت نقطه پایانی معمولی را تجزیه و تحلیل میکند، ناهنجاریها را کشف میکند و ناهنجاریهایی را گزارش میکند که ممکن است یک حادثه امنیتی در نقطه پایانی را نشان دهد.
- Data analysis engine: دادهها را از نقاط پایانی جمع میکند و تجزیه و تحلیل بلادرنگ درباره حوادث امنیتی از سراسر شرکت ارائه میدهد.
همچمنین اکثر راه حلهایی سیستم امنیتی EDRارائه میدهند، عبارتند از:
- Threat intelligence: شناسایی نشانههای خطر (IoC) در نقطه پایانی و شناسایی عامل تهدید احتمالی و تکنیک حمله مورد استفاده آنها.
- Alerts and forensics: اطلاعرسانی به کارکنان امنیتی درلحظه وقوع در مورد حوادث امنیتی و دسترسی آسان آنها به اطلاعات و ابزارهایی که به بررسی کامل حادثه کمک میکند.
- Trace back: به کارکنان امنیتی کمک میکند تا تشخیص دهند که کدام نقاط پایانی یا دستگاههای شبکه ممکن است تحت تأثیر همان حمله قرار گیرند و مهاجم در ابتدا کجا به شبکه نفوذ کرده است.
- Automated response: انجام اقداماتی در دستگاه نقطه پایانی مانند مسدود کردن دسترسی به شبکه، مسدود کردن یک فرآیند یا سایر اقداماتی که میتواند حمله را مهار و کاهش دهد.
سیستم امنیتی EDR (Endpoint Detection and Response) توسط گارتنر در سال 2013 به عنوان نوع جدیدی از فناوری امنیتی تعریف شد
تفاوتهای کلیدی بین EPP و EDR
چند تفاوت کلیدی بین EPP و EDR وجود دارد که در جدول زیر به صورت خلاصه شرح داده شده است:
تفاوتهای کلیدی بین EPP و EDR
پلتفرم EPP و سیستم امنیتی EDR مکمل یکدیگر هستند
از بین EPPو EDR کدامیک اهمیت بیشتری دارد؟
تحلیلگران توصیه میکنند از ترکیبی از EPP و EDR برای محافظت از نقاط پایانی استفاده کنید. پلتفرم EPPاولین خط دفاعی است که میتواند از تهدیدات قبل از رسیدن به نقطه پایانی جلوگیری کند، در حالی که سیستم امنیتی EDRمبتنی بر «فرضیه داشتن نقطه ضعف» است، این درک که شما هرگز نمیتوانید حفاظت کامل را به عهده بگیرید و باید ابزاری برای پاسخگویی مؤثر به یک حمله موفقیتآمیز را داشته باشید.
اگر مجبور شدید از بین EPPو EDR یکی را انتخاب کنید، کدام ارجح است؟
استفاده از پلتفرم EPPبسیار مهم است زیرا میتواند در برابر تهدیدات مرسوم و همچنین بسیاری از تهدیدات پیشرفته محافظت کند. مانند یک قفل پیچیده روی در شما، از سرقت جلوگیری نمیکند، اما نفوذ مهاجمان به محیط شما را بسیار دشوارتر میکند. در بسیاری از موارد، مهاجمان دیگر اهداف آسانتر را ترجیح میدهند و از تلاش عمده برای غلبه بر دفاع EPP اجتناب میکنند.
EDR نیز بسیار حائز اهمیت است زیرا قابلیت دید و ابزارهای عملیاتی را فراهم میکند که به تیمهای امنیتی اجازه میدهد به یک حمله واکنش نشان دهند. بسیاری از حملات، به ویژه تهدیدات پایدار پیشرفته (APTs)، بر نقاط پایانی به عنوان یک حلقه ضعیف از محیط امنیتی متمرکز هستند. سیستم امنیتی EDRمیتواند زمان مورد نیاز برای شناسایی حملات موفقیتآمیز در نقاط پایانی را به طور چشمگیری کاهش دهد، آنها را مهار کند و زنجیره حمله سایبری را که مهاجم را به یک دستگاه خاص هدایت میکند، شناسایی کند.
ین یک معضل است. به عنوان شهردار یک شهر، نمیخواهید بین ماشین پلیس و آمبولانس یکی را انتخاب کنید. غیبت هر یک از آنها شهروندان را در معرض خطر قرار میدهد و به ناچار منجر به از دست رفتن زندگی میشود.
تحلیلگران توصیه میکنند از ترکیبی از EPP و EDR برای محافظت از نقاط پایانی استفاده کنید
سخن پایانی
در این مقاله با تفاوتها و کارکردهای پلتفرم EPPو سیستم امنیتی EDRآشنا شدیم و دریافتیم که برای حفظ امینت سایبری و دفع کامل حملات وارده، این دو برنامه مکمل یکدیگر بوده و استفاده از هر دو آنها ضرروی میباشد. شما هنگام ساخت مجموعه راه حلهای امنیتی خود، باید اطمینان حاصل کنید که ترکیبی از پیشگیری و تشخیص برای ایمن نگهداشتن کاربران و سیستمهای سازمانی را دارید.