نه معیار برتر هنگام انتخاب یک راه حل EDR مناسب

گستره راه‌حل‌های امنیت نقاط پایانی از راه‌حل آنتی‌ویروسهای اورجینال تا پلتفرم های تشخیص و پاسخ گسترده (XDR) که چندین راه‌حل امنیتی را برای اکوسیستم بهتر به هم پیوند می‌دهند، توسعه یافته است. همزمان با افزایش درخواست ها برای راه حل های امنیت نقطه پایانی، تولیدکنندگان سعی می کنند راه حل های خود را مطابق با انتظارات خریداران و آخرین گزارشات پژوهشگران بهبود بخشند.
در ادامه نه معیار سنجش برای خریداران EDR در هنگام انتخاب استراتژی امنیت نقطه پایانی آمده است :

یک راه‌حل EDR در هسته اصلی خود باید در برابر تهدیدات فعلی و آینده از نقاط پایانی محافظت کند .سازمان هایی که در چند سال گذشته تغییری در استراتژی امنیتی خود ایجاد نکرده اند، اغلب هنوز از راه حل های قدیمی EPP یا AV که در برابر آخرین بردارهای تهدید، مانند حملات بدون فایل، ضعیف هستند ، استفاده می کنند.
درصورتی که با افزایش نیروی دورکار و متغیر بودن مکان کاربر ، اثر و درجه تاثیر حفاظتی یک راه حل EDR بسیار مهم است . سازمانها باید از امنیت نقاط پایانی و بنابراین انتخاب راه حل EDR مناسب اطمینان حاصل یابند.

همچنین بخوانید : امنیت شبکه و کاربر بدون وابستگی به مکان کاربر

در حال حاضر باج افزار مخرب ترین نوع بدافزار می باشد . همینطور  باج افزار ها یکی از جذاب ترین راههای نفوذ و حمله برای مهاجمان سایبری امروزی ، به ویژه هنگامی که سازمان های دولتی و محلی را هدف قرار می دهند می باشد. ارزیابی‌های MITRE’s Engenuity ATT&CK منبع خوبی برای مشاهده وبررسی اینکه راه حل EDR  انتخابی از یک برند ، چقدر و چگونه به انواع باج افزارها پاسخ می دهد، می باشد. علاوه بر این ، قابلیت های علوم هوش مصنوعی (AI) و یادگیری ماشینی (ML) وقتی صحبت از دفاع در برابر باج‌افزار به میان می‌آید ، بسیار پررنگ هستند. پاسخ سوالهایی مانند: «اگر نقطه پایانی آفلاین باشد، آیا را حل EDR در خانه، می‌تواند در برابر باج‌افزار دفاع کند؟» و یا انواع سیستم‌هایی که کاربر راه حل EDR می‌تواند وظیفه بازگشت را روی آن‌ها انجام دهد ، با علوم هوش مصنوعی و یادگیری ماشین داده می شوند.

همچنین بخوانید : کاربردهای علم یادگیری ماشین در امنیت سایبری

معمولا در بازار پر از رقابت ، حتی تولیدکنندگانی که نمی توانند بیشتر حملات را مسدود و یا اکثر تکنیک های فرعی را در MITER ATT&CK کشف کنند ، در ارزیابی‌ها راهی پیدا می‌کنند تا با استفاده از نتایج، خود را مانند یک راه‌حل EDR سطح بالا جلوه دهند. بهترین راه برای قضاوت در مورد اینکه آیا راه حل EDR حملات را متوقف می کند و تکنیک های فرعی را به درستی کشف می کند، به خاطر مسدود کردن و شکار تهدید، بررسی نکات زیر هنگام بررسی مفید می باشد:

اول، آیا این برندها برای شرکت در تست های حفاظتی انتخاب شده اند؟

یک راه حل EDR ممکن است تکنیک های فرعی  را به خوبی شناسایی کند ولی توانایی متوقف کردن حملات را نداشته باشد.

دوم، آیا این راه حل EDR همه حملاتی که در آن شرکت داشتند را مسدود می کند؟

سوم، آیا آنها بیش از 90٪ از تکنیک های فرعی را در تست شناسایی ، کشف کرده اند ؟ این برای شکار تهدید و حفاظت مهم است .

همچنین بخوانید :

• مزایای شکار تهدید
• راهکارهای شکار تهدید

در حملات باج افزار ، مهاجمان می خواهند سیستم عامل دستگاه را به خطر بیاندازند. خریداران باید چگونگی حفاظت یک راه حل از دستگاه در برابر چنین حمله هایی را درک کنند. استفاده از یک بوت لودر (bootloader) مخرب که bootlocker نیز نامیده می شود ، یک مرحله رایج در فرآیند توسعه بدافزار است. اگر بدافزار موفق شود، بازیابی فایل ها ، ترمیم آسیب های سیستم و یا حتی استفاده از سیستم، که به ویژه در فیلد مراقبت های بهداشتی و درمانی می تواند حیاتی باشد را غیرممکن می کند.
مجموعه EDR که خریداری می کنید باید به عنوان یک فایروال برای هسته سیستم برای محافظت از آن در برابر حملاتی که سعی در شکستن این لایه یا تغییر عملکرد دارند نیز عمل کند.

همچنین بخوانید :

• مدل OSI چیست ؟
• پنج مشخصه شبکه در حوزه پزشکی و سلامت

آیا به فکر اتصال سیستم های OT به شبکه هستید؟ اگر چنین است، آنها نیز به حفاظت نیاز خواهند داشت و بسیاری از آنها از سیستم عامل های قدیمی مانند ویندوز 7 یا XP استفاده می کنند. آیا از سرورهای ویندوز یا لینوکس در محیط خود مانند بسیاری از سازمان های تولیدی، مالی و آموزشی استفاده می کنید؟ آیا سرویس ها و خدماتی برای عرضه  به صورت آنلاین دارید که مردم از آنها استفاده می کنند؟
اگر تولیدکننده این سیستم‌عامل‌ها (قدیمی و جدید) را پشتیبانی می‌کند، بپرسید که آیا هزینه‌های صدور مجوز و لایسنس برای سرورها و هم برای ایستگاه های کاری یکسان می باشد؟

یکی از دلایل تاکیدات برای مجهز شدن به نرم افزار امنیتی نقطه پایانی که از هوش مصنوعی و ML استفاده می کند، کاهش اتکا به امضاها است. انواع مجوزها نقطه پایانی را  محدود و سرعت آن را کاهش می دهند. راه حل های EDR از نظر تأثیر آنها بر روی طیف وسیعی از منابع سیستم بسیار مهم هستند. بنابراین خریدار تنها باید راه حل هایی را در نظر بگیرد که به طور متوسط از کمتر از 1٪ استفاده از CPU استفاده می کنند.

اتوماسیون نقطه تمایز برتری برای EDR می باشد و آن را  از پلتفرم های قدیمی AV و EPP جدا می کند. اتوماسیون و خودکارسازی به یک SOC سنگین و یا کارکنان فناوری اطلاعات کمک می کند تا هشدارها را نادیده نگیرند و برای پاسخگویی زمان بیشتری داشته باشند.

XDR در آینده نزدیک یکی از بزرگترین بخش های در حال رشد در امنیت IT خواهد بود. زیرا یک اصطلاح نسبتا جدیدتر است و هنوز به طور کامل در ذهن بسیاری از مردم تعریف نشده است. یک شرکت توسعه یافته XDR باید دارای یک SIEM و خط تولید SOAR برای گسترش و رشد باشد . به دنبال راه حلی باشید که با مجموعه راه حل های آن شرکت ارتباط داشته باشد و جزو API های شخص ثالث، که گارتنر آنها را “Open XDR” می نامد نباشد. که در این صورت در دسته بندی راه حلهای واقعی مورد نیاز و انتظار مردم قرار نمی گیرد.
دسته بندی

بار کاری کارکنان واحد SOC  معمولا زیاد است .بنابراین داشتن یک تیم برون سپاری،  برای مواجهه باهشدارها و حوادث ناشی از چشم انداز تهدیدات کمک بزرگی است. خدمات شناسایی و پاسخ مدیریت شده (MDR) ، برای همه مشتریان، به ویژه در سال اول جهت کمک به تنظیم دقیق فناوری EDR با محیط کار توصیه می شود.
شرکت های بزرگ در سطح جهانی که به صورت شبانه روزی کار می کنند، خدمات تنظیم و پشتیبانی EDR  را برای مشتریان خود ارائه می دهند.

همه تولیدکنندگان راه حل های EDR یکسان نیستند. برای کشف اینکه چه چیزی برای یک سازمان بهترین است، خریداران باید سوالات مهمی در مورد آن بپرسند . مانند قابلیت‌های پلت‌فرم‌های EDR  موجود در بازار و اینکه از نقاط پایانی خود بدون توجه به جایی که کار می‌کنند محافظت کنند و یا نه.