تهدیدهای منجر به توسعه EDR

EDR

سامانه EDR با هدف شناسایی حملات پیچیده و پایش مستمر وضعیت امنیتی رایانه ­ها طراحی و به‌عنوان چتر امنیتی با بهره­گیری از هوش مصنوعی و هوش تهدید، سازمان را در مقابل طیف وسیعی از تهدیدات و حملات پیشرفته سایبری محافظت می­کند. شناسایی و اعلام گزارش فعالیت­های مشکوک، بد افزارها و شناسایی آسیب‌پذیری‌ها در یک اکوسیستم امنیتی از ویژگی‌های این محصول یکپارچه امنیتی است.

در این راهکار پایانه ­ها و سیستم ­ها جهت کشف هرگونه ناسازگاری در سیاست­­های امنیتی، فعالیت­های مشکوک در سطح سرویس­ها و همچنین بدافزارها بررسی شده و با تجزیه و تحلیل آنها با الگوریتم‌های پیشرفته، به نفوذ و تخریب در زیرساخت سازمان پی برده و در آخر با اعمال سیاست مناسب، پاسخ درخور به تهدید انجام می‌پذیرد.

در طراحی سامانه EDR، یکپارچه‌سازی یکی از مهم‌ترین اولویت‌ها بوده و این سامانه با پوشش حجم وسیعی از نیازمندی‌های حوزه امنیت از قبیل مدیریت، کنترل و نظارت بر داده‌های سازمانی و رویدادها تا حد زیادی نیاز مدیران را پوشش می‌دهد. گزارش‌های خروجی این سامانه یکی از مهم‌ترین ابزارهای جمع‌آوری اطلاعات برای مرکز عملیات امنیت (SOC) بوده و کمک شایانی در تحلیل و جلوگیری از مخاطرات امنیتی می‌نماید.

 

  •   آمادگی جهت پاسخ به فوریت سایبری
  •   کمک به تامین تداوم و بازیابی کارآمد
  •   تقویت زیرساخت‏‌های کسب ‏و ‏کار
  •   حفاظت از اطلاعات و دارایی‏‌های حیاتی شبکه
 
  • محافظت از سیستم‌های سازمان در برابر تهدیدات پیشرفته و پیچیده
  • مشاهده گستره فعالیت تهدید در کل شبکه
  • امکان کشف منبع تهدید و نحوه وقوع آن
  • بهره‌گیری از یک ابزار تشخیص خودکار
  • جلوگیری از آسیب بیشتر به کلاینت‌ها از طریق پاسخ سریع و خودکار

شناسایی نفوذ (Intrusion Detection)

عامل سامانه ایستگاه­های کاری را برای یافتن بد افزارها، ناهنجاری­ها و Rootkitها رصد می­کند. همچنین سرور سامانه با دریافت اطلاعات پایانه‌ها اقدام به تحلیل نفوذ بر اساس امضاهای موجود می ­نماید.

پاسخگویی به مخاطرات (Incident Response)

عامل سامانه این قابلیت را دارد تا بدون نیاز به پیکربندی خاصی به مخاطرات پیش‌آمده پاسخ دهد. به‌عنوان نمونه این عامل قادر خواهد بود تا دسترسی آدرس منبع سیستم مهاجم را بر اساس برخی از ضوابط قطع نماید.همچنین این قابلیت وجود خواهد داشت تا با اجرای دستورات از راه دور و بررسی IOCها پاسخ مناسبی در خصوص مخاطره پیش‌آمده داده شود.

دیدبانی سلامت فایل (File Integrity Monitoring)

عامل با پایش تغییرات فایل­ها اقدام به شناسایی تغییرات در فایل، مجوزها، مالکیت اسناد و مشخصه ­های فایل­ها می ­نماید.همچنین عامل سامانه، کاربر و یا برنامه تغییردهنده فایل را شناسایی می­کند.

شناسایی آسیب‌پذیری‌ها (Vulnerability Detection)

عامل سامانه با جمع‌آوری و ارسال اطلاعات نرم‌افزارهای نصب شده بر روی پایانه‌ها به سرور و استفاده از یک مرجع (CVE) اقدام به شناسایی آسیب‌پذیری‌ها بر روی سیستم می­کند. این تشخیص آسیب‌پذیری به شناسایی نقاط ضعف رایانه­ ها کمک کرده و به مدیر شبکه این اجازه را می­دهد تا قبل از رخداد امنیتی، اقدام لازم را انجام دهد.

بررسی پیکربندی امنیتی دارایی‌ها

این مؤلفه استاندارد­ها و شاخص­های ایمنی را پایش کرده و در ادامه پایانه یا نرم‌افزارهای آسیب‌پذیر را معرفی می­کند. سیاست­های فوق با نیازمندی­ها و مشخصه­ های سازمان قابل انطباق بوده و هشدارهای اعلامی از سوی سامانه شامل توصیه‌های لازم جهت رفع موارد اعلام شده می‌باشد.

تحلیل رویدادنامه ها

عامل سامانه با خوانش رخداد نامه‌های مرتبط با سیستم‌عامل و برنامه­های کاربردی، رخداد نامه‌ها را به‌صورت امن به سرور تحلیل و آنالیز ارسال می­کند. سرور گزارش­گیری سامانه با توجه به قوانین موجود گزارشی شامل خطاهای سیستم‌عامل و برنامه­ های کاربردی، پیکربندی ­های اشتباه، فعالیت­های بد افزار­ها و تخطی از سیاست­ها را بر اساس پایانه ­های سازمان ارائه می­کند.

تجزیه و تحلیل اطلاعات لاگ (Log Data Analysis)

عامل سامانه با خواندن log سیستم‌عامل و برنامه­ های کاربردی، آنها را به طور ایمن برای ذخیره‌سازی و تحلیل به سرور هدایت می­کند. به‌ این‌ ترتیب از خطاهای برنامه یا سیستم، تنظیمات و پیکربندی غلط، فعالیت­های مخرب یا موفقیت‌آمیز، نقض خط‌مشی و سایر موارد امنیتی و عملیاتی آگاهی خواهیم داشت

سازوکار EDR

 

     

     

    معماری EDR

     
     
     
    • این فیلد برای اعتبار سنجی است و باید بدون تغییر باقی بماند .