أخطاء شائعة يجب تجنبها عند استخدام EDR
عند اعتماد تقنية (EDR)، يمكن أن يمثل تحسين التنفيذ تحديًا، للتأكد من القيام بتحسين الدفاع الذي يمكن أن يوفره الحل الخاص، يجب التأكد من تجنب هذه الأخطاء الشائعة:
المبالغة في التأكيد على الوقاية
عند اعتماد تقنية (EDR)، يجب عدم التركيز بشدة على إمكانات المنع، على الرغم من وجود حلول (EPP) و (EDR) المدمجة، إلا أن معظمها لم ينضج بعد ولا يمكنه توفير نفس مستوى الحماية مثل الحلول المخصصة، حيث انه بدلاً من ذلك، من الأفضل اختيار حلول مستقلة ولكنها تكميلية، إن التركيز على إيجاد الحلول التي تتكامل بسلاسة يوفر للمستخدم الوقاية والحماية الموثوقة دون تضحيات.
إذا كان يجب على المستخدم اختيار حل مشترك، فيجب التأكد من تقييم قدراته بالضبط، فهو بحاجة إلى فهم ما يمكن أن يحميه الحل منه وكيف يمكن مقارنة القدرات الوقائية بالحلول الحالية، على سبيل المثال، هل يوفر الحل بديلاً عن برامج مكافحة الفيروسات الموجودة أم أنه يوفر وقاية إضافية فقط، بالإضافة إلى ذلك، يجب التأكد من فهم كيفية جدولة الحل الذي يتم اختياره، إذا لم تكن الميزات الوقائية مدعومة في الإصدارات المخطط لها، فلن تفيد هذه الميزات.
عدم إنشاء عمليات فرز أو استجابة
يمكن لأدوات تقنية (EDR) أتمتة الكثير من العمل الضروري لحماية نقاط النهاية الخاصة ولكن هذه الحلول ليست سحرية، حيث لا تزال هناك الحاجة إلى إدارة الأدوات وفرز التنبيهات والاستجابة للتهديدات بمجرد تنفيذ الحلول، بينما يمكن الاعتماد على فرق الأمن لمعالجة هذه المهام ديناميكيًا، فإن القيام بذلك يؤدي إلى عدم الاتساق والرقابة، بدلاً من ذلك، يجب على المستخدم إنشاء سياسات وإجراءات تحدد كيفية إدارة الحلول وكيفية أداء الفرق لمهام التحقيق والاستجابة، وعند إنشاء هذه العمليات، يجب التأكد من مراعاة العديد من الأمور منها، تحديد أولويات التنبيه وتوزيع المسؤوليات وسير عمل التحقيق وإجراءات العلاج.
تخصيص الوقت والموارد غير الكافية
للعمل بفعالية، يجب أن تجمع حلول تقنية (EDR) كميات كبيرة من البيانات، قد يستغرق هذا نطاقًا تردديًا كبيرًا وموارد تخزين، أيضًا، على الرغم من أن الأنظمة مصممة للقيام بمعظم أعمال المعالجة والتحليل والارتباط لفرق الأمان، لا تزال هناك حاجة إلى بعض الأعمال اليدوية، حيث انه وبمجرد اكتشاف حدث محتمل، يجب على المحللين تقييم البيانات المتعلقة بالتنبيه والاستجابة وفقًا لذلك، اعتمادًا على مدى تعقيد الحدث، قد يستغرق هذا وقتًا طويلاً، إضافة إلى ذلك، يمكن لتقنية (EDR) إنتاج تنبيهات أسرع مما يمكن للفرق إدارتها، خاصة إذا لم تكرس وقتًا أو موارد كافية لفرق الأمان، للتأكد من عدم مقايضة فعالية (EDR) الخاص، يجب تأكد من حساب ما يلي:
- يتفهم فريق الأمان متوسط الوقت اللازم لفرز التنبيهات ولديه الموظفين اللازمين للرد في الوقت المناسب.
- يفهم الفريق متوسط حجم التنبيهات التي سيتم إنشاؤها في فترة معينة ويمكنه تحديد أولويات التنبيهات بفعالية.
- يمكن تكريس موظف واحد على الأقل بدوام كامل لإدارة الحل الخاص، إذا لم يكن كذلك، يجب أن التفكير في اعتماد حل مُدار، حيث يمكن أن تمكّن هذه الحلول من الاستعانة بمصادر خارجية للجهود، مما يجعل تقنية (EDR) قابلة للتطبيق للمؤسسات الصغيرة.
أفضل ممارسات أمان EDR
بالإضافة إلى تجنب الأخطاء المذكورة، هناك العديد من أفضل الممارسات التي يمكن استخدامها لتحسين فعالية تنفيذ (EDR) منها:
عدم تجاهل المستخدمين
يمثل المستخدمون، غالبًا عن غير قصد، مخاطر كبيرة على الأنظمة، قد يقومون بمشاركة الملفات عن غير قصد أو تعديل البيانات عن غير قصد أو الوقوع ضحية لسرقة بيانات الاعتماد، حيث يقوض المستخدمون أيضًا بشكل متكرر جهود الأمان من خلال العمل حول الأنظمة، على سبيل المثال، عندما تتطلب حلول الأمان خطوات تسجيل دخول متعددة، فمن المرجح أن يشارك المستخدمون بيانات الاعتماد، لمنع المستخدمين من تقديم مخاطر إضافية، يجب التأكد من تثقيفهم بشأن الإجراءات الأمنية وسبب أهمية هذه الإجراءات، كما يجب منع المستخدمين من التلاعب بتكوينات أو إعدادات الأمان والتأكد من أن الحلول شفافة قدر الإمكان، من الناحية المثالية، يجب ألا يدرك المستخدمون أن الحلول الأمنية موجودة.
دمج الأدوات الخاصة
تم تصميم حلول تقنية (EDR) لحماية محيط الشبكة، وليس النظام بالكامل، ولتحقيق الأمان الشامل، تتم الحاجة إلى دمج (EDR) مع تقنيات أخرى، مثل أدوات المصادقة والتشفير، فإذا كان ذلك ممكنًا، فيجب محاولة التأكد من أن الأدوات تتكامل بطريقة مركزية، حيث يمكن أن تحسن المركزية من كفاءة الجهود الأمنية وتزيد من رؤية النظام والتحكم فيه، على وجه الخصوص، يجب الوضع في الاعتبار تكامل (EDR) مع حل إدارة معلومات النظام والأحداث (SIEM)، كما تمكّن حلول (SIEM) من تجميع البيانات من الأنظمة، توفر هذه الحلول تنبيهات مركزية ورؤية وغالبًا ما تتضمن محركات تحليل ذكية يمكنها مساعدة المستخدم في تحسين الأنظمة والاستجابة للحوادث.
تقسّيم الشبكة
تجزئة الشبكة هي استراتيجية تعزل البيانات والخدمات والتطبيقات بناءً على مستوى الأولوية، حيث يمكّن من حماية الطبقات والتحكم الدقيق في من وماذا لديه حق الوصول إلى الأصول المختلفة الخاصة، كما يمكّن التقسيم أيضًا من الحد من قدرة المهاجمين على السفر بشكل جانبي عبر الشبكة، مما يحد من الضرر الذي يمكن أن يسببه المهاجمون، بينما تمكّن بعض أدوات (EDR) من عزل نقاط النهاية ردًا على الهجمات، فإن هذا ليس بنفس فعالية التجزئة، تم تصميم هذا النوع من العزل لاصطياد المهاجمين أينما كانوا بعد اكتشافهم، ومع ذلك،حيث يمكن أن يؤدي التقسيم إلى إبطاء المهاجمين قبل الاكتشاف، عند تنفيذ التجزئة.
تحديد خطة الاستجابة للحوادث (IRP)
(IRP) هي خطة تمكّن المستخدم من التنفيذ الفعال للمعلومات التي توفرها حلول (EDR) وأدوات الأمان الأخرى، يمكن أن تضمن (IRP) أن عمليات المنع والكشف والاستجابة شاملة وفعالة، حيث تساعد هذه الخطط على تحديد المسؤول بوضوح عن الاستجابة للحوادث في المؤسسة والخطوات التي يتعين عليهم اتخاذها عند وقوع حادث، أثناء إنشاء الخطة، يجب جرد الأصول والأدوات والسياسات والإجراءات الحالية، حيث يمكن بعد ذلك تطبيق هذه المعلومات لإنشاء عمليات قوية.
- “IRP” اختصار ل”Intramural Research Program”.
اتخاذ تدابير استباقية
تم تصميم أدوات الأمان مثل (EDR) للمساعدة على الاستجابة للهجمات في أسرع وقت ممكن وتخفيف الضرر، ومع ذلك، هذا لا يعني أنه يجب الاعتماد على الحلول وحدها، فبدلاً من ذلك، يجب اتخاذ تدابير استباقية لتقليل نقاط ضعف النظام والقضاء على مسارات الهجوم، حيث يجب القيام بمراجعة الأنظمة بشكل دوري بحثًا عن مشكلات الأمان المعروفة، مثل البرامج القديمة أو التكوينات الخاطئة، والتحقق مما إذا كان هناك منافذ مفتوحة لم يتم استخدامها أو بيانات اعتماد لم تعد مطلوبة والقيام بإلغاء هذه المنافذ عندما يكون ذلك ممكنًا، من الناحية المثالية، يجب أن تكون عمليات التدقيق هذه جزءًا من سياسات وإجراءات الأمان الحالية، والتي يجب فرضها باستمرار.
تصغير المحيط
ليس من الممكن حذف كل نقطة نهاية في المحيط ولكن يمكن تقييد عدد النقاط التي يتم تضمينها، حث يؤدي تضمين نقاط النهاية الضرورية فقط إلى تقليل عدد الخيارات المتاحة للمهاجمين بالإضافة إلى العبء الواقع على فريق الأمان، حيث إذا وجد نقاط نهاية يمكن التخلص منها والتأكد أيضًا من تعطيل أي اتصالات يتم استخدامها نقاط نهاية، بالإضافة إلى ذلك، القيام بتنظيف أي بيانات محتجزة أو معلومات الشبكة من الأجهزة للتأكد من أنه لا يمكن الوصول إليها محليًا، كما انه إذا وجد نقاط نهاية ليست قيد الاستخدام النشط ولكن لا يمكن إزالتها، فيجب التفكير في تعطيل الأجهزة وإعادة تمكين نقاط النهاية عند الحاجة.