تفاوت EDR و EDR Optimum کسپرسکی

قبل از اینکه در مورد تفاوت EDR و EDR Optimum کسپرسکی صحبت کنیم باید بدانیم EDR چیست و چرا به‌عنوان یکی از ضروریات امنیتی به آن احتیاج داریم.

چرا به EDR نیاز داریم

در زمان‌های نه‌چندان دور حملات سایبری به‌صورت غیر هدفمند و توسط بدافزارها به‌صورت انبوه صورت می‌گرفتند.

انبوه به این معنا که یا به‌صورت اتوماتیک با ارسال ایمیل از یک منبع ثابت و به اهداف تصادفی، یا از طریق وب سایت‌های فیشینگ به وقوع می‌پیوستند. شرکت‌های امنیتی در مقابل این‌گونه حملات اقدام به طراحی حفاظت‌اند پوینت Endpoint Protection Platformکردند.

در مواجهه با شناسایی مؤثر مبتنی بر EPP، مهاجمان به تاکتیک پرهزینه‌تر، اما مؤثرتر، برای انجام حملات هدفمند علیه قربانیان خاص روی آوردند. به دلیل هزینه زیاد، معمولاً از حملات هدفمند علیه شرکت‌ها باهدف کسب سود از طریق باج‌خواهی استفاده می‌شود. شناسایی گام اول حملات هدفمند است.  این‌گونه از حملات برای نفوذ به سیستم IT قربانی و فرار از سد حفاظتی آن طراحی می‌شوند.

با توجه به اینکه حملات توسط انسان هدایت می‌شوند و روش‌های متفاوتی را در برمی‌گیرند حملات هدفمند می‌توانند به‌راحتی از سد EPP عبور کنند.

EPP تنها روی یک اندپوینت و تحرکات خارجی و داخلی مرتبط به آن تمرکز می‌کند درحالی‌که حملات پیشرفته‌تر از طریق سروهای مختلف یک زنجیره حمله را طراحی می‌کنند و تنها ممکن است برخی از این تحرکات توسط EPP شناسایی شوند و مشکوک به نظر نرسند.

همچنین EPP به‌صورت مستقل و خودکار عمل می‌کند و پروتکل‌های مشخصی را در شناسایی استفاده می‌نماید. به همین دلیل مهاجمان به‌راحتی می‌توانند ازنظر آن‌ها پنهان شوند.

شکل‌گیری کسپرسکی EDR

کسپرسکی EDR توانایی حفاظت را به راهکارهای EPP موجود افزود EDR روی حملات هدفمند تمرکز دارد ولی EPP صرفاً روی حملات گسترده و با پیچیدگی کمتر اشراف دارد.

این راه‌حل امنیتی با تجزیه‌وتحلیل کنش بدافزارها و همه وقایع به‌صورت کلی، تمام زنجیره حمله را شناسایی می‌کند.

همچنین قابلیت رؤیت رویداد چند میزبانه را داراست. به این معنی که تجمیع آثار حمله پراکنده در سراسر سیستم IT را بررسی می‌کند.

تهدیدات را با محاسبات سنگین و پیچیده فراتر ازآنچه در زیرساخت اندپوینت موجود است، بدون اینکه روی جریان معمول کار تداخلی ایجاد کند تشخیص می‌دهد.

کسپرسکی EDR تمام رویدادها را به‌طور مستمر مورد ارزیابی قرار داده و داده‌های مربوط را بدون توجه به مشکوک بودن یا نبودن گردآوری می‌کند. به همین دلیل می‌تواند در مقابل بدافزارهای ناشناخته مؤثرتر عمل کند. البته مکان غیرفعال کردن این قابلیت وجود دارد ولی در این شرایط اطلاعت احراز هویت مسروقه دیگر به‌عنوان یک رفتار مشکوک تلقی نمی‌شوند، و همچنین بدافزارهای ناشناخته نیز به کار خود ادامه می‌دهند.

تهدیدات تک میزبان برای EPP قابل‌شناسایی بوده‌اند کسپرسکی EDR لایه‌هایی از تشخیص را با دامنه چند میزبان اضافه می‌کند. در کنار شناسایی رویداد محور EDR هر چیزی را که مشکوک به نظر برسد به هسته مرکزی می‌فرستد تا با استفاده از الگوریتم‌های مبتنی بر یادگیری ماشین مورد ارزیابی عمیق‌تر قرار بگیرند.

شناسایی دستی یا «شکار تهدید» یک جستجوی فعال است که توسط کاربر برای ره‌گیری حملات و تهدیدات به کار می‌رود. EDR اجازه شناسایی تهدیدات را از جای‌جای تاریخچه وقایع ثبت‌شده به شما می‌دهد. کاربر می‌تواند در حافظه به تعقیب حملات و رویدادهای مشکوک پرداخته و ارتباط آن‌ها را برای بازسازی زنجیره حمله احتمالی کشف نماید. آیتم‌های جستجو می‌توانند از فیلترهای مختلفی برای کسب نتایج دقیق‌تر استفاده کنند.

می‌توان به‌صورت دستی موارد و مشکوک را برای تحلیل عمیق انتخاب کرد. کاربر همچنین این گزینه وجود دارد که کاربر نسبت به وقایع مستقیماً واکنش نشان دهد این اقدام می‌تواند شامل بازسازی وقایع در زنجیره حمله، تداخل در فرآیند با پاک کردن، قرنطینه و یا اجرای نرم‌افزارها و بازگردانی تغییراتی که توسط EPP به علت فعالیت بدافزارها شکل‌گرفته‌اند.

باوجود چنین قابلیت‌های در ثبت وقایع و بررسی عمیق آن‌ها همچنین در اختیار داشتن نگاه کلی به شبکه به‌جای تمرکز بر تنها یک اندپوینت می‌توان گفت کسپرسکی EDR می‌تواند شکل پیشرفته‌تری از تهدیدات را شناسایی و خنثی نمایند.

کسپرسکی EDR Optimum

Kaspersky Endpoint Detection and Response (EDR) Optimum یک ابزار خودکار متمرکز است که حملات پیشرفته و هدفمند را به روش‌هایی که کار را برای کارکنان و منابع IT آسان می‌کند، بررسی می‌کند.

Kaspersky EDR Optimum ضمن استفاده از عامل، دید بهبودیافته، ظرفیت تحلیل علت ریشه و پاسخ خودکار را به EPP قوی موجود (Kaspersky Endpoint Security for Business) اضافه می‌کند. داده‌ها از این میزبان‌ها جمع‌آوری و تجزیه‌وتحلیل می‌شوند و گزارش، اطلاعات دقیق وقایع و گزینه‌های پاسخ در مورد حوادث از طریق کنسول Kaspersky Security Center ارائه می‌شوند. پاسخ به حوادث می‌تواند به‌صورت خودکار یا بافرمان کاربر باشد. پاسخ خودکار به‌منظور پاسخگویی به حوادث مشابه در بسیاری از میزبان‌ها بدون دخالت انسان تنظیم می‌شود کارکرد Kaspersky EDR Optimum را تا حد امکان ساده‌شده است.

پس از نصب، کارکنان امنیت فناوری اطلاعات فقط باید هرچند وقت یک‌بار کنسول را بررسی کنند تا وقایع ایجادشده را پردازش نمایند، تجزیه‌وتحلیل علت اصلی را انجام داده و به حوادث پاسخ دهند. این سطح بالای خودکارسازی، نیازی به مأمور امنیتی برای بررسی حجم عظیمی از داده‌ها در هرروز را از بین می‌برد. در عوض، به آن‌ها کمک می‌کند تا توجه خود را بر روی کنش‌های مشکوک متمرکز کنند و تمام اطلاعات موردنیاز را در اختیار آن‌ها بگذارند.

به‌بیان‌دیگر Kaspersky EDR Optimum برای سازمان‌هایی طراحی‌شده که از منابع کافی مانند در دسترس نبودن متخصص امنیتی یا فقدان منابع مالی موردنیاز، برای حضور متخصص امنیت درون‌سازمانی برخوردار نیستند.

این راهکار امنیتی برای شناسایی و پاسخ خودکار تهدیدات از ابزارهای اطلاعاتی زیر استفاده می‌کند.

شبکه امنیتی کسپرسکی KSN : یک زیرساخت ابری است که دسترسی آنلاین به پایگاه دانش کسپرسکی فراهم می‌کند این پایگاه دانش‌بنیان حاوی اطلاعات از اعتبار نرم‌افزارها و بخشی از وب سایت‌ها است.

استفاده از پایگاه داده کسپرسکی باعث اطمینان از افزایش سرعت در پاسخ به تهدیدات، بهبود عملکرد و جلوگیری از پیام شناسایی خطا می‌شود.

یکپارچه‌سازی با شبکه خصوصی امنیت کسپرسکی KPSN که به کاربران اجازه دسترسی به پایگاه داده و سایر اطلاعات آماری را می‌دهد بدون اینکه اطلاعاتی از سمت کاربر ارائه شود.

یکپارچه‌سازی با مرکز اطلاعت تهدیدات کسپرسکی که حاوی اطلاعات وب سایت‌ها است.

تمام این منابع به EDR Optimum اجازه می‌دهد در برخورد و شناسایی خطرات بالقوه و تهدیدات امنیتی با حداکثر سرعت و دقت به‌صورت خودکار عمل کند. و مهم ترین تفاوت EDR و EDR Optimum کسپرسکی در همین خلاصه می شود.

نتیجه گیری:

هر دو سامانه امنیتی EDR Optimum و کسپرسکی EDR برای شناسایی عوامل تهدید صرفاً روی بدافزارهای شناخته‌شده و روش‌های مرسوم تأکید نمی‌کنند، بلکه علاوه بر این موارد با تجزیه تحلیل دقیق سیستم رفتارهای کاربران و تعاملات میان آن هار ثبت و ضبط نموده و به‌دقت مورد تجزیه تحلیل قرار می‌دهند.

هر زمان که رفتار مشکوکی از سمت هر کاربر برخورد کنند، به‌طور خاص مورد ارزیابی و کنترل قرار خواهد گرفت و در صورت ادامه‌دار بودن، به‌عنوان تهدید شناسایی می‌شوند.

آنچه در کسپرسکی EDR Optimum به‌عنوان یک مزیت ویژه افزوده‌شده است امکان خودکار سازی به‌واسطه یکپارچه‌سازی با پایگاه داده کسپرسکی جهت انطباق رفتارها با داده‌های به‌دست‌آمده دیگر است.

منبع: پایگاه دانش پارس تدوین