نقطة النهاية والاستجابة لها (EDR)
يعد اكتشاف نقطة النهاية والاستجابة لها (EDR) ، المعروف أيضا باسم الكشف عن تهديدات نقطة النهاية والاستجابة لها (ETDR) ، حلا أمنيا متكاملا لنقطة النهاية يجمع بين المراقبة المستمرة في الوقت الفعلي وجمع بيانات نقطة النهاية مع قدرات الاستجابة والتحليل الآلي القائمة على القواعد. تم اقتراح هذا المصطلح من قبل Anton Chuvakin في Gartner لوصف أنظمة الأمان الناشئة التي تكتشف الأنشطة المشبوهة وتحقق فيها على المضيفين ونقاط النهاية ، باستخدام درجة عالية من الأتمتة لتمكين فرق الأمن من تحديد التهديدات والاستجابة لها بسرعة.
الوظائف الأساسية لنظام أمان EDR هي:
مراقبة وجمع بيانات النشاط من نقاط النهاية التي قد تشير إلى وجود تهديد
تحليل هذه البيانات لتحديد أنماط التهديد
الاستجابة تلقائيا للتهديدات المحددة لإزالتها أو احتوائها، وإخطار أفراد الأمن
الطب الشرعي وأدوات التحليل للبحث عن التهديدات المحددة والبحث عن الأنشطة المشبوهة
اعتماد حلول EDR
ومن المتوقع أن يزداد اعتماد هذا النظام زيادة كبيرة خلال السنوات القليلة المقبلة. وفقا ل Stratistics MRC للكشف عن نقطة النهاية والاستجابة لها - توقعات السوق العالمية (2017-2026) ، من المتوقع أن تصل مبيعات حلول EDR - سواء المحلية أو المستندة إلى السحابة - إلى 7.27 مليار دولار بحلول عام 2026 ، بمعدل نمو سنوي يقارب 26٪.
أحد العوامل التي تدفع الزيادة في اعتماد EDR هو الارتفاع في عدد نقاط النهاية المرتبطة بالشبكات. المحرك الرئيسي الآخر هو التطور المتزايد للهجمات الإلكترونية ، والتي غالبا ما تركز على نقاط النهاية كأهداف أسهل للتسلل إلى الشبكة.
المكونات الرئيسية لأمن EDR
يوفر أمان EDR مركزا متكاملا لجمع بيانات نقطة النهاية وربطها وتحليلها ، بالإضافة إلى تنسيق التنبيهات والاستجابات للتهديدات الفورية. تحتوي أدوات EDR على ثلاثة مكونات أساسية:
وكلاء جمع بيانات نقطة النهاية. يقوم وكلاء البرامج بإجراء مراقبة نقطة النهاية وجمع البيانات - مثل العمليات والاتصالات وحجم النشاط وعمليات نقل البيانات - في قاعدة بيانات مركزية.
الاستجابة الآلية. يمكن للقواعد التي تم تكوينها مسبقا في حل EDR التعرف على الوقت الذي تشير فيه البيانات الواردة إلى نوع معروف من الخرق الأمني وتؤدي إلى استجابة تلقائية ، مثل تسجيل خروج المستخدم النهائي أو إرسال تنبيه إلى أحد الموظفين.
التحليل والطب الشرعي. قد يشتمل نظام الكشف عن نقطة النهاية والاستجابة لها على كل من التحليلات في الوقت الفعلي ، للتشخيص السريع للتهديدات التي لا تتناسب تماما مع القواعد التي تم تكوينها مسبقا ، وأدوات الطب الشرعي لصيد التهديدات أو إجراء تحليل ما بعد الوفاة للهجوم.
يستخدم محرك التحليلات في الوقت الفعلي الخوارزميات لتقييم وربط كميات كبيرة من البيانات ، والبحث عن الأنماط.
تمكن أدوات الطب الشرعي متخصصي أمن تكنولوجيا المعلومات من التحقيق في الانتهاكات السابقة لفهم كيفية عمل الاستغلال بشكل أفضل وكيفية اختراقه للأمن. يستخدم محترفو أمن تكنولوجيا المعلومات أيضا أدوات الطب الشرعي للبحث عن التهديدات في النظام ، مثل البرامج الضارة أو عمليات الاستغلال الأخرى التي قد تكمن دون أن يتم اكتشافها في نقطة النهاية.
تعمل قدرات EDR الجديدة على تحسين المكافحة الذكية للتهديدات
تعمل الميزات والخدمات الجديدة على توسيع قدرة حلول EDR على اكتشاف التهديدات والتحقيق فيها.
على سبيل المثال، تعمل خدمات استخبارات التهديدات التابعة لجهات خارجية، مثل Trellix Global Threat Intelligence، على زيادة فعالية حلول أمان نقطة النهاية. توفر خدمات المكافحة الذكية للتهديدات للمؤسسة مجموعة عالمية من المعلومات حول التهديدات الحالية وخصائصها. يساعد هذا الذكاء الجماعي على زيادة قدرة EDR على تحديد عمليات الاستغلال ، خاصة الهجمات متعددة الطبقات وهجمات يوم الصفر. يقدم العديد من موردي أمان EDR اشتراكات المكافحة الذكية للتهديدات كجزء من حل أمان نقطة النهاية الخاص بهم.
بالإضافة إلى ذلك ، يمكن لقدرات التحقيق الجديدة في بعض حلول EDR الاستفادة من الذكاء الاصطناعي والتعلم الآلي لأتمتة الخطوات في عملية التحقيق. يمكن لهذه القدرات الجديدة معرفة السلوكيات الأساسية للمؤسسة واستخدام هذه المعلومات، إلى جانب مجموعة متنوعة من مصادر استخبارات التهديدات الأخرى، لتفسير النتائج.
نوع آخر من استخبارات التهديدات هو مشروع التكتيكات والتقنيات والمعرفة المشتركة (ATT&CK) الجاري في MITRE ، وهي مجموعة بحثية غير ربحية تعمل مع حكومة الولايات المتحدة. ATT&CK هي قاعدة معرفية وإطار عمل مبني على دراسة ملايين الهجمات الإلكترونية في العالم الحقيقي.
تصنف ATT&CK التهديدات الإلكترونية حسب عوامل مختلفة ، مثل التكتيكات المستخدمة للتسلل إلى نظام تكنولوجيا المعلومات ، ونوع نقاط ضعف النظام التي تم استغلالها ، وأدوات البرامج الضارة المستخدمة ، والجماعات الإجرامية المرتبطة بالهجوم. ينصب تركيز العمل على تحديد الأنماط والخصائص التي تظل دون تغيير بغض النظر عن التغييرات الطفيفة في الاستغلال. يمكن أن تتغير التفاصيل مثل عناوين IP ومفاتيح التسجيل وأرقام المجال بشكل متكرر. لكن أساليب المهاجم - أو "طريقة العمل" - عادة ما تظل كما هي. يمكن ل EDR استخدام هذه السلوكيات الشائعة لتحديد التهديدات التي ربما تم تغييرها بطرق أخرى.
نظرا لأن متخصصي أمن تكنولوجيا المعلومات يواجهون تهديدات إلكترونية متزايدة التعقيد ، فضلا عن تنوع أكبر في عدد وأنواع نقاط النهاية التي تصل إلى الشبكة ، فإنهم بحاجة إلى مزيد من المساعدة من التحليل الآلي والاستجابة التي توفرها حلول الكشف عن نقاط النهاية والاستجابة.