نرم افزار Symantec EDR چیست؟ تشخیص و پاسخ نقطه پایانی (EDR)، راهحل امنیتی یکپارچه نقطه پایانی است که نظارت مستمر و جمعآوری دادههای نقطه پایانی را با قابلیتهای پاسخ و تحلیل خودکار مبتنی بر قوانین ترکیب میکند.
این اصطلاح توسط آنتون چواکین در گارتنر برای توصیف سیستمهای امنیتی نوظهور که فعالیتهای مشکوک را در هاستها و نقاط پایانی شناسایی و بررسی میکنند، با استفاده از درجه بالایی از اتوماسیون برای قادر ساختن تیمهای امنیتی برای شناسایی سریع و پاسخگویی به تهدیدات پیشنهاد شد.
وظایف اولیه سیستم امنیتی EDR عبارتند از:
- نظارت و جمعآوری دادههای فعالیت از نقاط پایانی که میتواند تهدیدی را نشان دهد
- این دادهها را برای شناسایی الگوهای تهدید تجزیه و تحلیل کنید
- بطور خودکار به تهدیدهای شناسایی شده برای حذف یا مهار آنها پاسخ دهید و به پرسنل امنیتی اطلاع دهید
- ممیزی قانونی و ابزار تجزیه و تحلیل برای تحقیق در مورد تهدیدات شناسایی شده و جستجو برای فعالیتهای مشکوک.
اتخاذ راهحلهای تشخیص و پاسخ نقطه پایانی
پیشبینی میشود که پذیرش EDR طی چند سال آینده به میزان قابل توجهی افزایش یابد.
با توجه به گزارشات Stratistics MRC’s EDR-Global Market Outlook (2017-2026)، انتظار میرود فروش راهحلهای EDR – هم در محل و هم مبتنی بر ابر- تا سال 2026 به 7.27 میلیارد دلار با نرخ رشد سالانه نزدیک به 26% برسد.
یکی از عواملی که باعث افزایش پذیرش EDR میشود، افزایش تعداد نقاط پایانی متصل به شبکهها است.
عامل دیگر، افزایش پیچیدگی حملات سایبری است که اغلب بر نقاط پایانی بعنوان اهداف آسانتر برای نفوذ به شبکه تمرکز میکنند.
اجزای کلیدی نرم افزار Symantec EDR
نرم افزار Symantec EDR یک هاب یکپارچه برای جمعآوری، همبستگی و تجزیه و تحلیل دادههای نقطه پایانی و همچنین برای هماهنگی هشدارها و پاسخ به تهدیدات فوری فراهم میکند.
ابزارهای نرم افزار EDR دارای سه جزء اساسی هستند:
- ایجنتهای جمعآوری دادههای نقطه پایانی. ایجنتهای نرمافزار نظارت نقطه پایانی را انجام میدهند و دادهها را در یک دیتابیس مرکزی جمعآوری میکنند.
- پاسخ خودکار. قوانین از پیش پیکربندی شده در یک راهحل EDR میتوانند تشخیص دهند که دادههای دریافتی نشاندهنده نوع شناخته شدهای از نقض امنیتی است و یک پاسخ خودکار را ایجاد میکند، مانند خروج کاربر نهایی یا ارسال هشدار به یکی از کارکنان.
- تجزیه و تحلیل و ممیزی قانونی. یک سیستم تشخیص و پاسخ نقطه پایانی ممکن است هم آنالیز بلادرنگ را برای تشخیص سریع تهدیدهایی که کاملاً با قوانین از پیش پیکربندی شده مطابقت ندارند و هم ابزارهای ممیزی برای شکار تهدید یا انجام تجزیه و تحلیل پس از مرگ یک حمله را شامل شود.
ابزارهای ممیزی متخصصان امنیت را قادر میسازد تا نقضهای گذشته را بررسی کنند تا درک بهتری از نحوه عملکرد یک اکسپلویت و نحوه نفوذ آن در امنیت داشته باشند.
متخصصان امنیت فناوری اطلاعات از ابزارهای ممیزی برای جستجوی تهدیدات موجود در سیستم، مانند بدافزار یا سایر سوء استفادههایی که ممکن است در یک نقطه پایانی پنهان شده باشند، استفاده میکنند.
قابلیتهای جدید نرم افزار EDR هوش تهدید را بهبود میبخشد
ویژگیها و سرویسهای جدید، توانایی راهحلهای EDR را برای شناسایی و بررسی تهدیدها افزایش میدهند.
بعنوان مثال، سرویسهای اطلاعاتی تهدید شخص ثالث، مانند Trellix Global Threat Intelligence، کارایی راهحلهای امنیتی نقطه پایانی را افزایش میدهند.
سرویسهای اطلاعاتی تهدید، مجموعهای از اطلاعات در مورد تهدیدهای فعلی و ویژگیهای آنها را به سازمان ارائه میدهند.
این هوش جمعی به افزایش توانایی نرم افزار EDR برای شناسایی اکسپلویتها، بویژه حملات چند لایه و روز صفر کمک میکند.
همچنین، قابلیتهای تحقیقی جدید در برخی راهحلهای EDR میتواند از هوش مصنوعی و یادگیری ماشینی برای خودکارسازی مراحل یک فرآیند تحقیقی استفاده کند.
این قابلیتهای جدید میتوانند رفتارهای پایه سازمان را بیاموزند و از این اطلاعات، همراه با سایر منابع اطلاعاتی تهدید، برای تفسیر یافتهها استفاده کنند.
نوع دیگری از اطلاعات تهدید، پروژه تاکتیکها، تکنیکها و دانش مشترک (ATT&CK) است که در MITRE، یک گروه تحقیقاتی غیرانتفاعی، در دست اجرا است.
Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK) تهدیدات سایبری را براساس عوامل مختلفی دستهبندی میکند، مانند تاکتیکهای مورداستفاده برای نفوذ به یک سیستم فناوری اطلاعات، نوع آسیب پذیریهای سیستم مورد سوء استفاده، ابزارهای بدافزار مورد استفاده و گروههای مجرم مرتبط با حمله.
تمرکز کار بر شناسایی الگوها و ویژگیهایی است که بدون توجه به تغییرات جزئی در یک فرآیند، بدون تغییر باقی میمانند. جزئیاتی مانند آدرسهای IP، کلیدهای رجیستری و شماره دامنه میتوانند اغلب تغییر کنند.
اما روشهای مهاجم یا «modus operandi» معمولاً یکسان باقی میمانند. یک نرم افزار Symantec EDR میتواند از این رفتارهای رایج برای شناسایی تهدیدهایی که ممکن است به روشهای دیگری تغییر کرده باشند، استفاده کند.
از آنجاییکه متخصصان امنیت با تهدیدات سایبری پیچیدهتر و تنوع بیشتر در تعداد و انواع نقاط پایانی دسترسی به شبکه مواجه میشوند، به کمک بیشتری از آنالیز خودکار و پاسخی که راهحلهای edr ارائه میدهند، نیاز دارند.
معرفی Symantec EDR
فعالیتهای مشکوک را در محیط خود شناسایی کنید و با استفاده از SES EDR اقدامات مناسب را انجام دهید.
Symantec EDR از یادگیری ماشینی و تجزیه و تحلیل رفتاری برای شناسایی و افشای فعالیتهای مشکوک استفاده میکند.
همچنین به شما در مورد فعالیتهای بالقوه مضر هشدار میدهد، حوادث را برای تریاژ سریع اولویت بندی میکند، و به شما امکان میدهد سوابق فعالیت دستگاه را در حین تجزیه و تحلیل ممیزی قانونی حملات احتمالی هدایت کنید.
