نرم افزار Symantec EDR چیست؟

راه‌حلهای تشخیص و پاسخ نقطه پایانی EDR

پیش‌بینی میشود که پذیرش نرم افزار EDR طی چند سال آینده به میزان قابل توجهی افزایش یابد.

با توجه به آخرین گزارشات سایبری، انتظار میرود فروش راه‌‌حلهای EDR – هم در محل و هم مبتنی بر ابر- تا سال 2026 به 7.27 میلیارد دلار با نرخ رشد سالانه نزدیک به 26% برسد.

یکی از عواملی که باعث افزایش پذیرش EDR میشود، افزایش تعداد نقاط پایانی متصل به شبکه‌ها است.

عامل دیگر، افزایش پیچیدگی حملات سایبری است که اغلب بر نقاط پایانی بعنوان اهداف آسانتر برای نفوذ به شبکه تمرکز میکنند.

اصطلاح EDR توسط آنتون چواکین در گارتنر برای توصیف سیستم‌های امنیتی نوظهور که فعالیتهای مشکوک را در هاست‌ها و نقاط پایانی شناسایی و بررسی میکنند، با استفاده از درجه بالایی از اتوماسیون برای قادر ساختن تیم‌های امنیتی برای شناسایی سریع و پاسخگویی به تهدیدات پیشنهاد شد.

وظایف اولیه سیستم امنیتی EDR عبارتند از:

• نظارت و جمع‌آوری داده‌های فعالیت از نقاط پایانی که میتواند تهدیدی را نشان دهد
• این داده‌ها را برای شناسایی الگوهای تهدید تجزیه و تحلیل کنید
• بطور خودکار به تهدیدهای شناسایی شده برای حذف یا مهار آنها پاسخ دهید و به پرسنل امنیتی اطلاع دهید
• ممیزی قانونی و ابزار تجزیه و تحلیل برای تحقیق در مورد تهدیدات شناسایی شده و جستجو برای فعالیتهای مشکوک.

معرفی سولوشن Symantec EDR

سولوشن پیشرفته امنیتی نرم افزار Symantec EDR از یادگیری ماشینی و تجزیه و تحلیل رفتاری برای شناسایی و افشای فعالیتهای مشکوک استفاده میکند.

شما میتوانید با استفاده از SES EDR، فعالیتهای مشکوک را در محیط خود شناسایی کنید و اقدامات مناسب را انجام دهید.

SES EDR در مورد فعالیتهای بالقوه مضر به شما هشدار میدهد، رویدادها را برای اولویت‌بندی سریع آماده میکند و به شما امکان میدهد درطول تجزیه و تحلیل پزشکی قانونی حملات احتمالی، سوابق فعالیت دستگاه را پیمایش کنید.

EDR از رویدادهایی که برای فعالیتها در شبکه Symantec Endpoint Security (SES) ایجاد میشوند جهت بررسی استفاده میکند.

رویدادها در یک مدل دیتابیس توزیع شده با استفاده از هر دو یا یکی از پایگاه داده ابری یا یک پایگاه داده محلی روی دستگاه‌ها ذخیره میشوند.

سیستم امنیتی EDR سیمانتک رویدادهای ضبط کننده فعالیت نقطه پایانی را که در دستگاهها ضبط و ذخیره میشوند، بررسی میکند، هوش داخلی خود را اعمال میکند و رویدادها را در دیتابیس ابری بارگذاری میکند.

ویژگی‌های ارزشمند نرم افزار Symantec EDR

ویژگی‌های ارزشمند Symantec Endpoint Detection and Response شامل سهولت استفاده، ادغام با آنتی‌ویروس، مقیاس‌پذیری، جداسازی شبکه و کنترل دستگاه است.

این محصول بطور مؤثر عوامل اندپوینت را بدون نصب اضافی مدیریت میکند و شکار تهدید، به‌روزرسانی‌های خودکار و قابلیت‌های قوی تشخیص و پاسخ را ارائه میدهد.

کاربران از پایداری، محافظت پیشرفته در برابر تهدید و توانایی انجام اسکن‌های بزرگ بطور کارآمد قدردانی میکنند.

رابط کاربری آن کاربرپسند است، با تنظیمات جهانی قابل اعتماد، فناوری فریب مؤثر و گزینه‌های استقرار سریع هم در فضای ابری و هم در محل.

“در Symantec Endpoint Detection & Response، ارزشمندترین ویژگی‌ها شکار تهدید و اینست که مشتریان میتوانند گزارشها را از چندین کامپیوتر و سرور در یک مکان جمع‌آوری کنند.”

“ارزشمندترین ویژگی‌های این راهکار اینست که استفاده از آن آسان است و پشتیبانی خوبی دارد.”

“امنیت آن خوب است.”

خلاصه مزایا و معایب Symantec EDR

• Symantec Endpoint Detection and Response با نرم‌افزار آنتی‌ویروس ادغام میشود و ویژگی‌های AV plus ADR را ارائه میدهد.
• این نرم‌افزار بطور مؤثر آسیب‌پذیری‌ها را شناسایی کرده و اسکن‌ها را بدون تأثیر بر شبکه انجام میدهد و ویژگی‌های امنیتی مانند جداسازی شبکه و بررسی فرآیند را ارائه میدهد.
• کاربران برای کنترل دستگاه و امنیت USB آن ارزش قائل هستند.
• قیمت‌گذاری آن معقول است.
• با اینحال، فاقد ادغام جامع با سیستمهای غیر SAP است و بهبودهایی در جرم‌شناسی شبکه و تشخیص روز صفر مورد نیاز است.
• گزارش مشکلات و پشتیبانی فنی ضعیف مانع رضایت مشتری میشود.

قابلیت‌های جدید نرم افزار EDR هوش تهدید را بهبود میبخشد

ویژگی‌ها و سرویسهای جدید، توانایی سولوشن‌های EDR را برای شناسایی و بررسی تهدیدها افزایش میدهند.

بعنوان مثال، سرویسهای اطلاعاتی تهدید شخص ثالث، مانند Trellix Global Threat Intelligence، کارآیی راه‌حلهای امنیتی نقطه پایانی را افزایش میدهند.

سرویسهای اطلاعاتی تهدید، مجموعه‌ای از اطلاعات در مورد تهدیدهای فعلی و ویژگی‌های آنها را به سازمان ارائه میدهند.

این هوش جمعی به افزایش توانایی نرم افزار EDR برای شناسایی اکسپلویت‌ها، بویژه حملات چند لایه و روز صفر کمک میکند.

همچنین، قابلیت‌های تحقیقی جدید در برخی راه‌حلهای EDR میتواند از هوش مصنوعی و یادگیری ماشینی برای خودکارسازی مراحل یک فرآیند تحقیقی استفاده کند.

این قابلیت‌های جدید میتوانند رفتارهای پایه سازمان را بیاموزند و از این اطلاعات، همراه با سایر منابع اطلاعاتی تهدید، برای تفسیر یافته‌ها استفاده کنند.

نوع دیگری از اطلاعات تهدید، پروژه تاکتیک‌ها، تکنیک‌ها و دانش مشترک (ATT&CK) است که در MITRE، یک گروه تحقیقاتی غیرانتفاعی، در دست اجرا است.

Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK) تهدیدات سایبری را براساس عوامل مختلفی دسته‌بندی میکند، مانند تاکتیک‌های مورداستفاده برای نفوذ به یک سیستم فناوری اطلاعات، نوع آسیب پذیری‌های سیستم مورد سوءاستفاده، ابزارهای بدافزار مورد استفاده و گروههای مجرم مرتبط با حمله.

تمرکز کار بر شناسایی الگوها و ویژگی‌هایی است که بدون توجه به تغییرات جزئی در یک فرآیند، بدون تغییر باقی میمانند. جزئیاتی مانند آدرسهای IP، کلیدهای رجیستری و شماره دامنه میتوانند اغلب تغییر کنند.

اما روشهای مهاجم یا «modus operandi» معمولاً یکسان باقی میمانند. یک نرم افزار Symantec EDR میتواند از این رفتارهای رایج برای شناسایی تهدیدهایی که ممکن است به روشهای دیگری تغییر کرده باشند، استفاده کند.

از آنجاییکه متخصصان امنیت با تهدیدات سایبری پیچیده‌تر و تنوع بیشتر در تعداد و انواع نقاط پایانی دسترسی به شبکه مواجه میشوند، به کمک بیشتری از آنالیز خودکار و پاسخی که راه‌حلهای edr ارائه میدهند، نیاز دارند.