اقرأ في هذا المقال
- ما هي أنواع التهديدات التي تكشفها تقنية EDR؟
- لماذا تعتبر تقنية EDR مهمه؟
- ما هي الميزات التي يجب مراعاتها عند اختيار تقنية EDR
ما هي أنواع التهديدات التي تكشفها تقنية EDR؟
بالإضافة إلى هجمات القوة الغاشمة والتهديدات الأخرى المعروفة، يمكن لـ (EDR) الحماية من الهجمات التي تتجاوز الأنظمة التقليدية، تشمل هذه الهجمات:
- “EDR” اختصار ل”Endpoint Detection and Response”.
هجمات متعددة المراحل
يمكّن جمع البيانات وتحليلها المستمر من (EDR) من ربط الأحداث التي قد لا تبدو مشبوهة عند النظر إليها بمفردها، من خلال ربط هذه الأحداث، يمكن لحلول (EDR) الكشف عن أنماط هجوم متعددة المراحل، مثل الاستطلاع، كما يمكن بعد ذلك منع هؤلاء المهاجمين من الوصول في جميع نقاط الدخول، في بعض الأحيان قبل حدوث هجوم الاختراق.
البرامج الضارة المليئة بالتهديدات
نظرًا لأن (EDR) يعتمد على تحليل السلوك بدلاً من التوقيعات، فيمكنه اكتشاف الهجمات الجديدة والقائمة على العمليات، على سبيل المثال، يمكن لـ (EDR) تحديد العمليات التي تديرها البرامج الضارة التي لا تحتوي على ملفات، والتي تعمل في الذاكرة، حيث لا تقوم هذه البرامج الضارة بكتابة الملفات على القرص، لذا لا يتمكن برنامج مكافحة الفيروسات من اكتشافها.
التهديدات الداخلية والحسابات المخترقة
عندما يتم تنفيذ الهجمات من خلال إساءة استخدام أوراق الاعتماد، فإن الطريقة الوحيدة لاكتشاف التهديد تكون من خلال تحليل السلوك، حيث يمكن للتهديدات والهجمات من الداخل مع بيانات الاعتماد المخترقة تمرير إجراءات التفويض والمصادقة بشكل نظامي وشرعي، ومع ذلك، يمكن لـ (EDR) اكتشاف وقت استخدام بيانات الاعتماد بطرق غير متوقعة، مثل الوصول إلى الشبكات من عناوين (IP) الأجنبية، كما يمكن لحل (EDR) بعد ذلك حظر هؤلاء المستخدمين وإيقاف الهجوم.
- “IP” اختصار ل”Internet Protocol”.
لماذا تعتبر تقنية EDR مهمه؟
نظرًا لأن المزيد من جوانب الأعمال أصبحت رقمية ويتم تخزين المزيد من المعلومات في السحابة، تزداد المدفوعات المحتملة للهجمات الإلكترونية الناجحة، يؤدي هذا إلى زيادة المحاولات وتطوير أساليب هجوم جديدة، تتطلب حماية بيانات المستخدم وأنظمته من هذه الهجمات بواسطة نظامًا متقدمًا وذكيًا للكشف والاستجابة، حيث يمكن أن يوفر (EDR) هذه الحماية وهو قادر على اكتشاف التهديدات التي تتجاوز الأنظمة التقليدية والاستجابة لها، تعتمد الأدوات التقليدية على الاكتشاف المستند إلى التوقيع ومطابقة عناصر الهجوم مع أنماط أو ملفات التهديد المعروفة، كما يعتمد (EDR) بدلاً من ذلك على تحليل الأحداث والسلوك، مما يمكّنه من اكتشاف النشاط المشبوه بغض النظر عما إذا كان تهديدًا معروفًا أو ثغرة امنية مخفية.
يعد تطبيق هذه الإمكانات على نقاط النهاية أمرًا حيويًا لحماية الأنظمة، حيث أن نقاط النهاية هي عبارة عن بوابات الشبكات الخاصة بالمستخدم، باستخدام (EDR) لحماية محيط الشبكة، يمكن اكتشاف وإيقاف معظم، إن لم يكن كل، الهجمات التي قد تحدث على الأنظمة، هذا مهم بشكل متزايد مع توسع الشبكات، كما يؤدي تكامل أجهزة إنترنت الأشياء (IoT) والهواتف الذكية ومحطات العمل عن بُعد إلى زيادة تعقيد حماية الشبكة، حيث يمكن لـ (EDR) إضفاء الطابع المركزي على المراقبة والتحكم في نقاط النهاية الإضافية، مما يمنع الثغرات في الدفاعات.
- “IoT” اختصار ل “Internet of things”.
ما هي الميزات التي يجب مراعاتها عند اختيار تقنية EDR
لا تزال (EDR) تقنية جديدة نسبيًا مع توسيع الخيارات والقدرات، فعند اختيار حل (EDR)، هنالك مجموعة متنوعة من الخيارات للاختيار من بينها ولكن لا يتم إنشاؤها جميعًا على قدم المساواة، لضمان الحصول على أفضل حماية ممكنة، يجب التأكد من البحث عن الإمكانات التالية:
- الرؤية: يجب أن توفر الحلول رؤية في الوقت الفعلي عبر نقاط النهاية الخاصة بالمستخدم، وهذا يشمل وضوح الاتصالات والتطبيقات والعمليات، كما يجب أن توفر الحلول أيضًا وصولًا مركزيًا إلى السجلات.
- قاعدة بيانات التهديد: يجب أن تتضمن الحلول قاعدة بيانات معلومات التهديد، كما يجب أن تتضمن قاعدة البيانات هذه معلومات من قواعد البيانات الخارجية وأن تكون قادرة على إضافة تفاصيل خاصة بالشبكة.
- الحماية السلوكية: يجب أن تشمل الحلول محركات تحليل السلوك، كما تحتاج هذه المحركات إلى تمكين المستخدم من تتبع الحركة الجانبية عبر الشبكة الخاصة به والموارد.
- السرعة: يجب أن تعمل الحلول في الوقت الفعلي وتوفر تنبيهات دقيقة وأتمتة الاستجابة للتهديدات، وهذا يتطلب محركات كشف تنتج الحد الأدنى من الإيجابيات الخاطئة والقدرة على تعيين سياسات استجابة آلية.
- الحلول المستندة إلىالسحابة: حيث يمكن لهذه الحلول أن تحمي الشبكة دون التأثير على أداء نقاط النهاية، يجب أن تتكامل هذه الحلول بسلاسة مع الأنظمة الحالية وتوفر وصولاً بديهيًا عن بُعد إلى عناصر التحكم.