تهدیدهای منجر به توسعه EDR
EDR
سامانه EDR با هدف شناسایی حملات پیچیده و پایش مستمر وضعیت امنیتی رایانه ها طراحی و بهعنوان چتر امنیتی با بهرهگیری از هوش مصنوعی و هوش تهدید، سازمان را در مقابل طیف وسیعی از تهدیدات و حملات پیشرفته سایبری محافظت میکند. شناسایی و اعلام گزارش فعالیتهای مشکوک، بد افزارها و شناسایی آسیبپذیریها در یک اکوسیستم امنیتی از ویژگیهای این محصول یکپارچه امنیتی است.
در این راهکار پایانه ها و سیستم ها جهت کشف هرگونه ناسازگاری در سیاستهای امنیتی، فعالیتهای مشکوک در سطح سرویسها و همچنین بدافزارها بررسی شده و با تجزیه و تحلیل آنها با الگوریتمهای پیشرفته، به نفوذ و تخریب در زیرساخت سازمان پی برده و در آخر با اعمال سیاست مناسب، پاسخ درخور به تهدید انجام میپذیرد.
در طراحی سامانه EDR، یکپارچهسازی یکی از مهمترین اولویتها بوده و این سامانه با پوشش حجم وسیعی از نیازمندیهای حوزه امنیت از قبیل مدیریت، کنترل و نظارت بر دادههای سازمانی و رویدادها تا حد زیادی نیاز مدیران را پوشش میدهد. گزارشهای خروجی این سامانه یکی از مهمترین ابزارهای جمعآوری اطلاعات برای مرکز عملیات امنیت (SOC) بوده و کمک شایانی در تحلیل و جلوگیری از مخاطرات امنیتی مینماید.
- آمادگی جهت پاسخ به فوریت سایبری
- کمک به تامین تداوم و بازیابی کارآمد
- تقویت زیرساختهای کسب و کار
- حفاظت از اطلاعات و داراییهای حیاتی شبکه
- محافظت از سیستمهای سازمان در برابر تهدیدات پیشرفته و پیچیده
- مشاهده گستره فعالیت تهدید در کل شبکه
- امکان کشف منبع تهدید و نحوه وقوع آن
- بهرهگیری از یک ابزار تشخیص خودکار
- جلوگیری از آسیب بیشتر به کلاینتها از طریق پاسخ سریع و خودکار
شناسایی نفوذ (Intrusion Detection)
عامل سامانه ایستگاههای کاری را برای یافتن بد افزارها، ناهنجاریها و Rootkitها رصد میکند. همچنین سرور سامانه با دریافت اطلاعات پایانهها اقدام به تحلیل نفوذ بر اساس امضاهای موجود می نماید.
پاسخگویی به مخاطرات (Incident Response)
عامل سامانه این قابلیت را دارد تا بدون نیاز به پیکربندی خاصی به مخاطرات پیشآمده پاسخ دهد. بهعنوان نمونه این عامل قادر خواهد بود تا دسترسی آدرس منبع سیستم مهاجم را بر اساس برخی از ضوابط قطع نماید.همچنین این قابلیت وجود خواهد داشت تا با اجرای دستورات از راه دور و بررسی IOCها پاسخ مناسبی در خصوص مخاطره پیشآمده داده شود.
دیدبانی سلامت فایل (File Integrity Monitoring)
عامل با پایش تغییرات فایلها اقدام به شناسایی تغییرات در فایل، مجوزها، مالکیت اسناد و مشخصه های فایلها می نماید.همچنین عامل سامانه، کاربر و یا برنامه تغییردهنده فایل را شناسایی میکند.
شناسایی آسیبپذیریها (Vulnerability Detection)
عامل سامانه با جمعآوری و ارسال اطلاعات نرمافزارهای نصب شده بر روی پایانهها به سرور و استفاده از یک مرجع (CVE) اقدام به شناسایی آسیبپذیریها بر روی سیستم میکند. این تشخیص آسیبپذیری به شناسایی نقاط ضعف رایانه ها کمک کرده و به مدیر شبکه این اجازه را میدهد تا قبل از رخداد امنیتی، اقدام لازم را انجام دهد.
بررسی پیکربندی امنیتی داراییها
این مؤلفه استانداردها و شاخصهای ایمنی را پایش کرده و در ادامه پایانه یا نرمافزارهای آسیبپذیر را معرفی میکند. سیاستهای فوق با نیازمندیها و مشخصه های سازمان قابل انطباق بوده و هشدارهای اعلامی از سوی سامانه شامل توصیههای لازم جهت رفع موارد اعلام شده میباشد.
تحلیل رویدادنامه ها
عامل سامانه با خوانش رخداد نامههای مرتبط با سیستمعامل و برنامههای کاربردی، رخداد نامهها را بهصورت امن به سرور تحلیل و آنالیز ارسال میکند. سرور گزارشگیری سامانه با توجه به قوانین موجود گزارشی شامل خطاهای سیستمعامل و برنامه های کاربردی، پیکربندی های اشتباه، فعالیتهای بد افزارها و تخطی از سیاستها را بر اساس پایانه های سازمان ارائه میکند.
تجزیه و تحلیل اطلاعات لاگ (Log Data Analysis)
عامل سامانه با خواندن log سیستمعامل و برنامه های کاربردی، آنها را به طور ایمن برای ذخیرهسازی و تحلیل به سرور هدایت میکند. به این ترتیب از خطاهای برنامه یا سیستم، تنظیمات و پیکربندی غلط، فعالیتهای مخرب یا موفقیتآمیز، نقض خطمشی و سایر موارد امنیتی و عملیاتی آگاهی خواهیم داشت