بسم الله الرحمن الرحيم
الحمد لله رب العالمين، وصلى الله وسلم وبارك على عبده ورسوله نبينا محمد وعلى آله وصحبه أجمعين
ما هو EDR؟
يعد اكتشاف نقطة النهاية endpoint security والاستجابة لها (EDR) أحد أشكال حماية الأجهزة نقطة النهاية endpoint security التي تستخدم البيانات التي تم جمعها من الأجهزة نقطة النهاية endpoint security لفهم كيفية تصرف التهديدات السيبرانية والطرق التي تستجيب بها المؤسسات للتهديدات السيبرانية. بينما تركز بعض أشكال حماية نقطة النهاية endpoint security فقط على منع التهديدات ، يحاول اكتشاف نقطة النهاية endpoint security والاستجابة نهجًا أكثر شمولية. من خلال المراقبة المستمرة لنقطة النهاية endpoint security والتحليل الدقيق للبيانات ، يمكن للشركات اكتساب فهم أفضل لكيفية إصابة تهديد أو آخر بنقطة نهاية والآليات التي ينتشر من خلالها عبر الشبكة. بدلاً من معالجة التهديدات المرتجلة ، يمكن للمؤسسات استخدام الرؤى المكتسبة عبر EDR لتقوية الأمان ضد الهجمات المستقبلية وتقليل الوقت المكوث للإصابة المحتملة.
فكر في EDR على أنه مسجل بيانات الرحلة لنقاط النهاية الخاصة بك. أثناء الرحلة ، يسجل ما يسمى بـ "الصندوق الأسود" عشرات من نقاط البيانات ؛ على سبيل المثال ، الارتفاع وسرعة الهواء واستهلاك الوقود. في أعقاب حادث تحطم طائرة ، استخدم المحققون البيانات من الصندوق الأسود لتحديد العوامل التي ربما تكون قد ساهمت في تحطم الطائرة. في المقابل ، يتم استخدام هذه العوامل المساهمة لمنع حوادث مماثلة في المستقبل. وبالمثل ، يمكن استخدام القياس عن بعد لنقطة النهاية endpoint security أثناء الهجوم الإلكتروني وبعده (على سبيل المثال ، العمليات قيد التشغيل والبرامج المثبتة واتصالات الشبكة) لمنع الهجمات المماثلة.
تمت صياغة مصطلح "الكشف عن التهديدات النهائية والاستجابة لها" من قبل خبير الأمن السيبراني أنطون تشافوكين في عام 2013 كوسيلة لاستدعاء "الأدوات التي تركز بشكل أساسي على اكتشاف الأنشطة المشبوهة (وتتبع ) والتحقيق فيها مشاكل أخرى على المضيفين / نقاط النهاية. "
في الوقت الحاضر ، تم اختصار المصطلح إلى مجرد "اكتشاف نقطة النهاية endpoint security والاستجابة لها". عندما يتحدث الأشخاص عن EDR ، فمن المحتمل أنهم يشيرون إلى نوع من حماية نقطة النهاية endpoint security التي تتضمن إمكانات EDR. فقط ضع في اعتبارك أن المصطلحين ليسا واحدًا في نفس الوقت. لا يمكن لمسجل بيانات الرحلة التحكم في الطائرة وتجنب وقوع كارثة أثناء سيناريو تحطم الطائرة. وبالمثل ، فإن EDR وحده لا يكفي لإيقاف هجوم إلكتروني بدون برامج متكاملة لمكافحة الفيروسات ، ومكافحة البرامج الضارة ، ومكافحة الاستغلال ، وغيرها من إمكانيات التخفيف من حدة التهديدات.
كيف يعمل EDR؟
يتم تعريف اكتشاف نقطة النهاية endpoint security والاستجابة لها بشكل عام من خلال ثلاثة أنواع من السلوك.
إدارة نقطة النهاية endpoint security. يشير هذا إلى قدرة EDR على النشر على نقطة نهاية ، وتسجيل بيانات نقطة النهاية endpoint security ، ثم تخزين تلك البيانات في موقع منفصل لتحليلها الآن أو في المستقبل. يمكن نشر EDR كبرنامج مستقل أو تضمينه كجزء من حل شامل لحماية نقطة النهاية endpoint security. يتمتع الأخير بميزة إضافية تتمثل في الجمع بين إمكانات متعددة في وكيل نقطة نهاية واحد وتقديم جزء واحد يمكن للمسؤولين من خلاله إدارة نقطة النهاية endpoint security.
تحليل البيانات. EDR قادر على تفسير القياس الخام عن بعد من نقاط النهاية وإنتاج بيانات وصفية لنقطة النهاية endpoint security يمكن للمستخدمين البشريين استخدامها لتحديد كيفية سقوط هجوم سابق ، وكيف يمكن أن تنخفض الهجمات المستقبلية ، والإجراءات التي يمكن اتخاذها لمنع تلك الهجمات.
صيد التهديد. يفحص EDR البرامج والعمليات والملفات التي تطابق المعلمات المعروفة للبرامج الضارة. يتضمن Threat Hunting أيضًا القدرة على البحث في جميع اتصالات الشبكة المفتوحة للوصول غير المصرح به المحتمل.
الاستجابة للحادث. يشير هذا إلى قدرة EDR على التقاط صور لنقطة نهاية في أوقات مختلفة وإعادة الصورة أو التراجع إلى حالة جيدة سابقة في حالة وقوع هجوم. يوفر EDR أيضًا للمسؤولين خيار عزل نقاط النهاية ومنع المزيد من الانتشار عبر الشبكة. يمكن أن تكون المعالجة والتراجع آليًا أو يدويًا أو مزيجًا من الاثنين.
قبل الخوض في الاختلاف بين EDR ومكافحة الفيروسات ، دعنا نوضح تعريفاتنا. نحن نعلم أن EDR هو نوع من حماية نقطة النهاية endpoint security التي تستفيد من بيانات نقطة النهاية endpoint security والأشياء التي نتعلمها من تلك البيانات باعتبارها حصنًا ضد الإصابة المستقبلية - فما هو مكافحة الفيروسات؟
تعرّف على أنه "مصطلح قديم يستخدم لوصف برامج الأمان التي تكتشف البرامج الضارة وتحميها وتزيلها". بهذا المعنى ، فإن تسمية "مكافحة الفيروسات" تسمية خاطئة إلى حد ما. نعم ، يوقف برنامج مكافحة الفيروسات فيروسات الكمبيوتر ، ولكنه يمكنه أيضًا إيقاف التهديدات الحديثة مثل برامج الفدية والبرامج الإعلانية وأحصنة طروادة أيضًا. يحاول المصطلح الأكثر حداثة "مكافحة البرامج الضارة" تحديث المصطلحات مع ما تفعله التكنولوجيا بالفعل ؛ على سبيل المثال ، أوقف البرامج الضارة. يميل الناس إلى استخدام المصطلحين بالتبادل.
سنستخدم المصطلح الأكثر حداثة ونطلق عليه فقط "مكافحة البرامج الضارة".
الآن ، لفهم الفرق بين EDR ومكافحة البرامج الضارة ، يتعين علينا النظر في حالات الاستخدام. من ناحية ، يتوفر لديك برنامج مكافحة البرامج الضارة المصمم للمستهلك الذي يتطلع إلى حماية عدد قليل من الأجهزة الشخصية (مثل الهاتف الذكي والكمبيوتر المحمول والكمبيوتر اللوحي) على شبكته المنزلية.
من ناحية أخرى ، لديك EDR لمستخدم الأعمال ، مما يحمي المئات ، وربما الآلاف من أجهزة نقطة النهاية endpoint security. يمكن أن تكون الأجهزة مزيجًا من العمل المملوك للعمل والموظف . وقد يتصل الموظفون بشبكة الشركة من أي عدد من نقاط اتصال WiFi العامة التي يحتمل أن تكون غير آمنة.
عندما يتعلق الأمر بتحليل التهديدات ، فإن المستهلك العادي يريد فقط أن يعرف أن أجهزته محمية. لا يتجاوز إعداد التقارير عدد التهديدات وأنواع التهديدات التي تم حظرها في فترة زمنية معينة. هذا لا يكفي لمستخدم الأعمال.
يحتاج مسؤولو الأمان إلى معرفة "ماذا حدث لنقاط النهاية الخاصة بي سابقًا وما الذي يحدث على نقاط النهاية الخاصة بي الآن؟" مكافحة البرامج الضارة ليست جيدة في الإجابة على هذه الأسئلة ، ولكن هذا هو المكان الذي تتفوق فيه EDR.
في أي لحظة ، يعد EDR نافذة على الوظائف اليومية لنقطة النهاية endpoint security. عندما يحدث شيء خارج القاعدة ، يتم تنبيه المسؤولين ، وتقديم البيانات وإعطاؤهم عددًا من الخيارات ؛ على سبيل المثال ، عزل نقطة النهاية endpoint security أو عزل التهديد أو علاجه.
لماذا تحتاج الشركات EDR؟
وفقًا لتقرير حالة البرامج الضارة لعام الصادر 2020 ، ارتفعت الهجمات على الشركات بنسبة 13٪ من 2018 إلى 2019. وخلال نفس الوقت ، انخفضت هجمات المستهلكين فعليًا بنسبة 2٪. يبتعد مجرمو الإنترنت عن الهجمات الجزئية على المستهلكين ، وبدلاً من ذلك يركزون جهودهم ليس فقط على الأعمال التجارية ، ولكن أيضًا على المؤسسات التعليمية والهيئات الحكومية.
أكبر تهديد في الوقت الحالي هو انتزاع الفدية. وصلت عمليات اكتشاف برامج الفدية على شبكات الأعمال إلى أعلى مستوياتها على الإطلاق ، ويرجع ذلك إلى حد كبير إلى سلالات Ryuk و Phobos و GandCrab و Sodinokibi ransomware. ناهيك عن أحصنة طروادة مثل Emotet ، والتي تحمل حمولات برامج الفدية الثانوية. ولا يقتصر الأمر على مجرد الاسم الكبير ، بل إن شركات Fortune 500 تتضرر. يتم استهداف المنظمات من جميع الأحجام من قبل عصابات المجرمين الإلكترونيين والجهات الفاعلة في تهديد الذئاب المنفردة ونشطاء القرصنة والمتسللين الذين ترعاهم الدولة الذين يبحثون عن عشرات كبيرة من الشركات التي لديها ذاكرة تخزين مؤقت للبيانات القيمة على شبكاتهم. مرة أخرى ، إنها قيمة البيانات ، وليس حجم الشركة. من المحتمل أيضًا أن تكون الحكومات والمدارس والمستشفيات ومقدمو الخدمات ضحية لخرق البيانات أو الإصابة ببرامج الفدية.
ضع في اعتبارك متوسط تكلفة خرق البيانات. ويقدر تقرير IBM "تكلفة خرق البيانات" لعام 2019 الرقم بـ 3.92 مليون دولار. في الولايات المتحدة الرقم أعلى من ذلك حيث بلغ 8.19 مليون دولار.
مع وضع هذه البيانات الواقعية في الاعتبار ، تعد حماية نقطة النهاية endpoint security أمرًا بالغ الأهمية لحماية نقاط النهاية الخاصة بك وموظفيك وبياناتك والعملاء الذين تخدمهم وأعمالك من مجموعة خطيرة من التهديدات الإلكترونية والأضرار التي يمكن أن تسببها.
المشاركات
ليست هناك تعليقات:
إرسال تعليق
(( مَا يَلْفِظُ مِنْ قَوْلٍ إِلَّا لَدَيْهِ رَقِيبٌ عَتِيدٌ))