EPP بهتر است یا EDR؟ کدام یک امنیت بهتری را فراهم می کند؟
ازدحام محصولات Endpoint در بازار محصولات امنیتی، گمانه زنی بین انتخاب بهترین تکنولوژی نسبت به دیگری را دشوار کرده است.
Endpoint چیست؟
دیوایس هایی که به شبکه متصل می شوند و معمولا نقطه پایانی شبکه هستند مانند کامپیوتر، لپ تاپ، موبایل هوشمند، تبلت، سرور. Endpoint در شبکه و … نقاط بسیار مهم و البته آسیب پذیر برای ورود، تخریب و… هستند.
EPP چیست؟
یک پلتفرم حفاظت از (Endpoint (Endpoint Protection Platform است که راه حل یکپارچه امنیتی برای شناسایی و بلاک کردن تهدیدات در سطح دستگاه ها می باشد. معمولا شامل آنتی ویروس، ضد تروجان، رمزنگاری دیتا، فایروال، سیستم پیشگیری از نفوذ(IPS) و جلوگیری از نشت اطلاعات( DLP) است.
EPP از رایج ترین حملات سایبری جلوگیری می کند. EPP های مرسوم ذاتا پیشگیرانه هستند و رویکرد آنها مبتنی بر امضاء می باشد. شناسایی تهدیدات جدید و تازه کشف شده بر اساس تهدیدات و فایل هایی که از قبل شناسایی کرده و با مطابقت دادن امضاء آنها انجام می شود. هرچند آخرین راهکارهای EPP تکامل یافته است و برای تکنیک های تشخیص روی طیف گسترده ای از تهدیدات استفاده می شود.
بعضی از EPPهای شناخته شده عبارتند از:
- Kaspersky Lab Product
- McAfee Endpoint Protection Advanced Suite (Legacy)
- Windows Defender ATP
- SentinelOne Endpoint Protection Platform
- Symantec Endpoint Protection
- Trend Micro OfficeScan
EDR چیست؟
یک پلتفرم و سیستم امنیتی شناسایی و پاسخ (Endpoint (Endpoint Detection and Response است که المان های آنتی ویروس های نسل بعدی Next-Gen Antivirus با ابزار های بیشتری مثل تشخیص و اعلان هشدار ناهنجاری های سیستمی به صورت Real Time را دارد و قابلیت تجزیه و تحلیل جرائم (Forensic Analysis) و قابلیت اصلاح Endpoint را با هم ترکیب می کند.
EDR حملاتی را که شناسایی می کند که EPP نمی تواند آن را شناسایی و تشخیص دهد.
با ثبت کردن وقایع هر گونه اجرا و تغییر فایل، تغییر در ریجستری، اتصال به شبکه و اجرای فایل های باینری در Endpoint سازمان ها، قابلیت شناسایی تهدیدات در EDR به مراتب بهتر از EPP می شود.
بعضی از EDR های شناخته شده عبارتند از:
- CrowdStrike Falcon
- Carbon Black
- FireEye Endpoint Security (HX)
- RSA Netwitness Endpoint
- Endgame
در مواجهه با این دو، انتخاب بین EDR و EPP آسان است. EPP یک مکانیزم دفاعی در خط اول مقابله با تهدیدات شناخته شده است. EDR لایه بعدی امنیتی است که ابزاری های بیشتری را برای شکار تهدیدات، تجزیه و تحلیل جرائم مربوط به نفوذ و پاسخگویی سریع و موثر به حملات در اختیار ما قرار می دهد.
اکنون مشکل انتخاب با افزایش همگرایی این دو محصول بیش از پیش شده است. در حالیکه EDR یک انتخاب اولیه و راه حل برای سازمان ها وشرکت های بزرگ با مراکز عملیاتی Cyber Security قرار گرفته است. پذیرش EDR در حال افزایش است زیرا شناسایی تهدیدات به علاوه قابلیت پاسخگویی به آن – تهدید- ضروری برای سازمان ها،شرکت ها و… می باشد.
تعداد خریدارانی که بدنبال راه حل های همه جانبه برای حافظت از Endpoint های فعال و غیرفعال هستند رو به افزایش است، این امر ارائه دهندگان EDR را سوق می دهد تا جنبه های EPP را در پیشنهادات خود قرار دهند و ارائه دهندگان EPP را برآن داشته تا قابلیت های اولیه EDR را با محصولاتشان ادغام کنند.
IOC چیست؟
شاخص سازش IOCs شواهدی است که مشخص می کند آیا حمله سایبری صورت گرفته است یا خیر. IOCs اطلاعات ارزشمندی در مورد آنچه رخ داده در اختیار ما قرار می دهد، همچنین می توان برای آینده و جلوگیری از حملات مشابه مورد استفاده قرار گیرد. هنگامی که یک حمله مخرب رخ می دهد، ردیابی فعالیت های آن می تواند در سیستم و فایل های log ذخیره شود و به سیستم مرکزی حفاظت یا Security Center ارسال می شود تا این حمله در کل شبکه به راحتی قابل تشخیص باشد. نمونه ای از IOC را در زیر قرار داده شده است.
معمولاً خیلی از EDR ها Use Case ی هستند، متمرکز و بدنبال IOC (Indicators of Compromise) در Endpoint ها هستند. که البته در محصولات EPP این قابلیت موجود است.
اغلب سازمان ها و یا شرکت ها در حال حاضر از EPP استفاده می کنند(حداقل اونهایی که به امنیت اطلاعات اهمیت می دهند.).اما بعضی از آنها بدنبال تکمیل و ارتقاء در زمینه شکار تهدیدات ! (Threat Hunting) و واکنش به حوادث هستند.(اگر شما بدنبال راه حل مناسب اید ،توصیه می شود نیاز و منابع خود را اول بسنجید و بعد اقدام کرده و هزینه زیادی خرج نکنید.)
حال آنکه بسیار شرکت های کوچک و متوسط در حال ارتقاء سیستم های خود به فناوری EDR برای افزایش سطح امنیتی Endpoint هستند اما بسیاری از آنها منابع کافی برای استفاده حداکثری از این قابلیت را ندارند!. بکارگیری ویژگی های پیشرفته EDR از قبیل تجزیه و تحلیل، نظارت بر رفتارها و هوش مصنوعی نیازمند منابع – چه سخت افزاری و چه انسانی- ، متخصصان امنیتی و زمان می باشد.
(SOAR (Security Orchestration, Automation and Response چیست؟
مجموعه از راه حل هایی که از منابع مختلف توسط سازمان ها جمع آوری می شوند تا به بعضی از تهدیدات سطح پایین بدون کمک انسانی پاسخ دهد.
یک سرویس امنیتی Endpoint مدیریت شده با آخرین تکنولوژی، نیازمند یک تیم با مدرک CSOC (Cyber Security Operations Center) – البته تایید شده – و هوش مصنوعی است. خدمات مدیریت شده می تواند مسئولیت هر روزه نظارت و پاسخگویی به هشدارها را کاهش داده و SOAR را ارتقاء داده و شکار تهدیدات و پاسخگویی به حوادث را اصلاح و بهبود ببخشد.
برخی قابلیت های اساسی که باید برای انتخاب EPP باید در نظر داشته باشید:
- بررسی و ارزیابی محصول در تشخیص بدافزار توسط کارشناسان مثل AV-Test ، Gartner
- پیشگیری از اکسپلویت های معمول، از جمله باج افزار(Ransomware)
- تشخیص و پیشگیری از تزریق کد (Code Injection)
- برخورداری از فایروال مبتنی بر میزبان
- بررسی محتوای اطلاعات مرورگرها
- قابلیت نوشتن Role هایی برای برنامه ها، فایل ، Process و… ،البته قابل تنظیم و سفارشی شدن.
در اینجا برخی از قابلیت های اساسی برای انتخاب EDR ، با در نظرگرفتن تشخیص تهدیدات و پاسخ به حادثه:
- تشخیص رفتارهای بالقوه مخرب . نمونه: بدافزار اول کلید ریجستری ویرایش یا ایجاد کرده و سپس اجرا می شود.
- قابلیت ارائه به صورت شماتیک از Host های آسیب دیده در Attack (بسیار به تیم امنیت برای شناسایی روش و تکنیکAttacker کمک می کند)
- اطلاعات مربوط به تهدید را بررسی و چشم اندازی از تهدید های پیشرو برای ما مشخص کند
- ارائه راهنمایی در مورد چگونگی پاسخ به تهدید به جای فقط نشان دادن هشدار و اعلان
- به ما این امکان را بدهد در صورت رخ دادن حمله با ایزوله کردن سیستم ها آسیب دیده جلوی پیشرفت حمله را گرفته وآن را متوقف کنیم.
موفق باشید.
