EDR چیست و چگونه کار می‌کند؟

راه‌کار EDR که مخفف Endpolint Detection and Response است (و در جامعه امنیت به عنوان راه‌کار تشخیص و پاسخ نقطه پایانی شناخته می‌شود)، و گاهی اوقات از آن با عنوان EDTR نیز یاد می‌شود، یک راه‌حل امنیتی نقطه پایانی است که به طور مداوم دستگاه‌های کاربر نهایی را برای شناسایی و پاسخ به تهدیدات سایبری مانند باج‌افزار و بدافزار نظارت می‌کند. در واقع EDR نوعی حفاظت از نقطه پایانی است که از اطلاعات جمع‌آوری شده از دستگاه‌های نقطه پایانی برای درک نحوه رفتار تهدیدات سایبری و روش‌های واکنش سازمان‌ها به تهدیدات سایبری استفاده می‌کند.
در حالی که برخی از اشکال حفاظت نقطه پایانی صرفاً بر روی مسدود کردن تهدیدات متمرکز هستند، تشخیص و پاسخ نقطه پایانی رویکردی جامع‌تر را دنبال می‌کند. از طریق نظارت مستمر نقطه پایانی و تجزیه و تحلیل دقیق داده‌ها، کسب‌وکارها می‌توانند درک بهتری از اینکه چگونه یک تهدید، نقطه پایانی را آلوده می‌کند و مکانیسم‌هایی که توسط آن در سراسر شبکه پخش می‌شود، به دست آورند. سازمان‌ها می‌توانند بجای برطرف کردن تهدیدات سایبری، از بینش‌های به‌دست‌آمده از طریق ابزارهای EDR، برای تقویت امنیت در برابر حملات آینده و کاهش زمان تشخیص برای نفوذ احتمالی استفاده کنند.
اصطلاح EDR اولین بار توسط نویسنده مشهور و کارشناس امنیت سایبری آنتون چاووکین در سال 2013 به عنوان راهی برای فراخوانی «ابزارهایی که عمدتاً بر روی شناسایی و بررسی فعالیت‌های مشکوک در نقاط پایانی متمرکز هستند، ابداع شد. امروزه این اصطلاح به «تشخیص و پاسخ نقطه پایانی» کوتاه شده است.

راه‌حل EDR چگونه کار می‌کند؟

راه‌حل‌های امنیتی EDR فعالیت‌ها و رویدادهایی را که در نقاط پایانی و همه بارهای کاری اتفاق می‌افتند را ثبت می‌کنند و به تیم‌های امنیتی دید لازم برای کشف حوادثی که پنهان هستند، ارائه می‌کنند. یک راه‌حل EDR مناسب باید دید پیوسته و جامعی را در مورد آنچه در نقاط پایانی اتفاق می‌افتد، در زمان واقعی، ارائه دهد. ابزار EDR باید قابلیت‌های پیشرفته تشخیص، بررسی و واکنش به تهدید را ارائه دهد؛ از جمله جست‌وجوی داده‌ها حادثه و تریاژ هشدارها، اعتبارسنجی فعالیت‌های مشکوک، شکار تهدیدات، و شناسایی و معار فعالیت‌های مخرب.

اما به طور کلی راه‌حل EDR توسط سه نوع رفتار تعریف می‌شود:

مدیریت نقطه پایانی:

این مورد به توانایی EDR برای استقرار در یک نقطه پایانی، ثبت داده‌های نقطه پایانی، سپس ذخیره آن داده‌ها در مکانی جداگانه برای تجزیه و تحلیل در حال حاضر یا در آینده، اشاره دارد. EDR می‌تواند به عنوان یک برنامه مستقل مستقر شود یا به عنوان بخشی از راه‌حل امنیتی نقطه پایانی جامع گنجانده شود. دومی دارای مزیت افزوده ترکیب قابلیت‌های متعدد در یک عامل نقطه پایانی واحد و ارائه یک صفحه شیشه‌ای است که از طریق آن مدیران می‌توانند نقطه پایانی را مدیریت کنند.

تحلیل داده‌ها

فن‌آوری EDR می‌تواند تله‌متری خام را از نقاط پایانی تفسیر کند و متادیتا‌های نقطه پایانی (یا هوش تهدید سایبری) تولید کند که کاربران انسانی می‌توانند از آن برای تعیین چگونگی از بین رفتن حمله قبلی، چگونگی کاهش حملات آینده و اقداماتی که می‌توان برای جلوگیری از آن حملات انجام داد، استفاده کنند.

شکار تهدید

واکنش به رویداد و شکار تهدید به توانایی EDR برای گرفتن ایمیج از یک نقطه پایانی در زمان‌های مختلف و ایمیج‌گیری مجدد یا بازگشت به وضعیت خوب قبلی در صورت حمله اشاره دارد. راه‌کار EDR همچنین به مدیران این امکان را می‌دهد که نقاط پایانی را جدا کرده و از گسترش بیشتر نفوذ در شبکه جلوگیری کنند. اصلاح و بازگشت می‌تواند خودکار، دستی یا ترکیبی از این دو باشد.

عملکردهای کلیدی راه‌کار EDR

فناوری EDR دید جامع را در تمام نقاط پایانی با IOA (Indicator of Attack) همراه کرده و تجزیه و تحلیل رفتاری را اعمال می‌کند. این کار میلیاردها رویداد را در زمان واقعی تجزیه و تحلیل می‌کند تا به طور خودکار آثار رفتار مشکوک را شناسایی کند. اگر دنباله‌ای از رویدادها با IOA شناخته شده مطابقت داشته باشد، ابزار EDR فعالیت را به عنوان یک عامل مخرب شناسایی می‌کند و به طور خودکار یک هشدار تشخیص ارسال می‌کند.

با این حال چند کارکرد اصلی دیگر را نیاز می‌توان ذکر کرد:

نظارت مستمر برای تهدیدات احتمالی
جمع‌آوری داده‌های فعالیت‌ها در دستگاه‌های نقطه پایانی
تجزیه و تحلیل داده‌ها برای ایجاد الگوها
هشدار به تیم‌های امنیتی در مورد تهدیدات سایبری احتمالی
پاسخ خودکار به تهدیدات شناسایی شده

تفاوت بین EDR و آنتی ویروس چیست؟

قبل از پرداختن به تفاوت بین EDR و آنتی‌ویروس، اجازه دهید تعاریف خود را مستقیم بیان کنیم. ما می‌دانیم که EDR نوعی محافظت از نقطه پایانی است که از داده‌های نقطه پایانی در برابر حملات سایبری محافظت می‌کند. پس آنتی ویروس چیست؟ موسسه Malwarebytes Labs آنتی‌ویروس را این‌گونه تعریف می‌کند: «اصطلاحی قدیمی که برای توصیف نرم‌افزار امنیتی که بدافزارها را شناسایی و از بین می‌برد.» آنتی‌ویروس، ویروس‌های کامپیوتری را متوقف می‌کند، اما می‌تواند تهدیدهای مدرن مانند باج‌افزار، ابزارهای تبلیغاتی مزاحم و تروجان‌ها را نیز متوقف کند. با این حال اصطلاح مدرن‌تر ضد بدافزار (Anti Malware) تلاش می‌کند تا اصطلاحات را با آنچه که این فناوری در واقع انجام می‌دهد، به‌روز کند. عموم مردم تمایل دارند از این دو اصطلاح به جای هم استفاده کنند. برای اهداف این مقاله، ما از اصطلاح مدرن‌تر استفاده می‌کنیم و فقط آن را «ضد بدافزار» می‌نامیم.

راه‌حل EDR در مقابل ضد بدافزار

حالا برای درک تفاوت بین EDR و ضد بدافزار، باید به موارد استفاده این دو راه‌کار توجه کنیم. از یک طرف شما ضد بدافزاری را دارید که برای مصرف‌کننده‌ای طراحی شده است که به دنبال محافظت از چند دستگاه شخصی (مانند تلفن هوشمند، لپ‌تاپ و تبلت) در شبکه خانگی خود است. از سوی دیگر، شما راه‌کار EDR را برای کاربر تجاری دارید که از صدها و یا احتمالاً هزاران دستگاه نقطه پایانی محافظت می‌کند. دستگاه‌ها می‌توانند ترکیبی از دستگاه‌های متعلق به سازمان و یا متعلق به افراد و کارمندان (BYOD) باشند. و کارمندان ممکن است از هر تعداد نقطه اتصال وای فای عمومی ناامن به شبکه شرکت متصل شوند.

وقتی صحبت از تجزیه و تحلیل تهدیدات سایبری می‌شود، مصرف‌کننده معمولی فقط می‌خواهد بداند که دستگاه‌های آنها محافظت شده است. گزارش‌دهی فراتر از تعداد تهدیدات و نوع تهدیدات مسدود شده در یک بازه زمانی مطرح نیست. در حالی که این موضوع برای یک کاربر تجاری کافی نیست. سرپرست‌های امنیتی باید بدانند «قبلاً در نقاط پایانی من چه اتفاقی افتاده است و در حال حاضر در نقاط پایانی من چه اتفاقی می‌افتد؟» ضد بدافزار در پاسخ به این سؤالات عاجز است، اما این جایی است که EDR برتر است و توانایی برآورده کردن خواسته مدیران امنیت را دارد.

مزایای راه‌حل EDR

در هر لحظه که مدیر امنیت بخواهد می‌تواند از طریق EDR به عملکرد روزانه یک نقطه پایانی، دید جامعی داشته باشد. هنگامی که چیزی خارج از هنجار اتفاق می‌افتد، به مدیران هشدار داده می‌شود، داده‌ها ارائه می‌شود و تعدادی گزینه به آنها ارائه می‌شود. به عنوان مثال، نقطه پایانی را جدا کنید، تهدید را قرنطینه کنید، یا اصلاح کنید.

چرا سازمان‌ها به راه‌کار EDR نیاز دارند؟

طبق گزارش Malwarebytes Lab در سال 2021، شناسایی بدافزار در رایانه‌های تجاری ویندوز به طور کلی 24 درصد کاهش یافته است. مجرمان سایبری در حال دور شدن از حملات مقطعی به مصرف‌کنندگان هستند، در عوض تلاش‌های خود را نه تنها بر مشاغل، بلکه بر مؤسسات آموزشی و نهادهای دولتی نیز متمرکز می‌کنند.

بزرگ‌ترین تهدید در حال حاضر باج‌افزارها هستند. شناسایی باج‌افزارها در شبکه‌های تجاری به بالاترین حد خود رسیده است که عمدتاً به دلیل باج‌افزارهای Ryuk، Phobos، GandCrab و Sodinokibi است. ناگفته نماند تروجان‌هایی مانند Emotet که پیلودهای باج‌افزار ثانویه را حمل می‌کنند نیز در دسته تهدیدات اصلی به شمار می‌روند. سازمان‌ها در هر اندازه‌ای مورد هدف باندهای تبهکار سایبری، بازیگران تهدید، هکتیویست‌ها و هکرهای مورد حمایت دولت‌ها، قرار می‌گیرند؛ که به دنبال کسب امتیازات بزرگ از شرکت‌هایی هستند که دارای ذخیره‌سازی اطلاعات ارزشمند در شبکه‌هایشان هستند. دولت‌های محلی، مدارس، بیمارستان‌ها و ارائه‌دهندگان خدمات مدیریت‌شده (MSP) به همان اندازه ممکن است قربانی نقض داده‌ها یا نفوذ باج‌افزار شوند.

با در نظر گرفتن این داده‌های هوشیارکننده، راه‌حل EDR برای محافظت از نقاط پایانی، کارکنان، داده‌های شما، مشتریانی که به آنها خدمات می‌دهید و کسب‌وکارتان در برابر مجموعه‌ای خطرناک از تهدیدات سایبری و آسیب‌هایی که می‌توانند ایجاد کنند، بسیار مهم است.