پایگاه دانش آلما / سیمانتک بررسی ویژگی های ماژول EDR آنتی ویروس سیمانتک

بررسی ویژگی های ماژول EDR آنتی ویروس سیمانتک

بررسی ویژگی های ماژول EDR آنتی ویروس سیمانتک

بررسی ویژگی های اصلی ماژول EDR سیمانتک

هنگامی که اقدامات پیشگیرانه با شکست مواجه می شوند، این پنج اقدام می توانند شما را نجات دهند.

مهاجمان مخفیانه‌تر می‌شوند، روش‌های آن‌ها تا جایی تکامل می‌یابد که حملات آنها می‌تواند حتی از دفاع‌های پیشگیرانه‌تر امنیتی سایبری اجتناب کند. این مقاله نمونه هایی از موارد استفاده را ارائه می دهد که در آن تشخیص و پاسخ اندپوینت (EDR) می تواند به شما در شناسایی و توقف حملات پیچیده کمک کند.

تشخیص و پاسخ نقطه پایانی (EDR) سیمانتک چیست؟

تشخیص و پاسخ نقطه پایانی (EDR) یک راه حل امنیتی نقطه پایانی یکپارچه است که نظارت مستمر و جمع آوری داده های نقطه پایانی در زمان واقعی را با قابلیت های پاسخ و تحلیل خودکار مبتنی بر قوانین ترکیب می کند.

EDR دومین خط دفاعی را بعد از آنتی ویروس های سنتی سیمانتک و حتی آنتی ویروس های نسل بعدی (NGAV) ارائه می دهد، که به طور فزاینده ای مورد نیاز است زیرا مهاجمان از تکنیک های پیشرفته برای فرار از این دفاع های خط اول استفاده می کنند. EDR تیم‌های امنیتی را برای شناسایی و پاسخ سریع به حملات پیشرفته، تعیین دقیق نحوه نفوذ مهاجمان به محیط، و (در صورت استقرار با NGAV و برخی راه‌حل‌های دیگر) تجهیز می‌کند تا بتواند سیاست‌هایی را برای جلوگیری از حملات مشابه در آینده تنظیم کند.

سیستم های کامپیوتری و سیستم های عامل تا حدی مورد حمله قرار می‌گیرند، زیرا مردم در آنجا هستند و افراد در برابر مهندسی اجتماعی، فیشینگ و سایر حملاتی که از کاربران پرمشغله و حواس‌پرتی سوء استفاده می‌کنند آسیب‌پذیر هستند. (در واقع، عنصر انسانی در 74 درصد از تمام نقض‌ها نقش دارد.) آسیب‌پذیری‌ها در نقاط پایانی، از جمله نرم‌افزارهای قدیمی و سیستم‌های عامل، سازمان‌ها را بیشتر در معرض حملات قرار می‌دهند.

 

EDR در برابر همه این تهدیدات با عمل به عنوان یک شبکه ایمنی به شما کمک می کند تا تهدیداتی را که از حفاظت نقطه پایانی شما عبور می کنند را شناسایی کنید و شما را برای پاسخگویی سریع و کارآمد مجهز می کند.

 

راه‌حل‌های EDR به تیم‌های امنیتی اجازه می‌دهد تا در فعالیت‌های تشخیص و پاسخ پیشرفته شرکت کنند که بدون کمک EDR دشوار، زمان‌بر و تصادفی هستند. نمونه‌های EDR و قابلیت‌های پیشرفته‌ای که EDR فعال می‌کند، شامل پاسخ به حادثه، اصلاح از راه دور، تریاژ/تجسم هشدار، شکار تهدید می باشد.

پاسخ در هنگاه حمله (حادثه) توسط ماژول EDR سمانتک

توانایی پاسخگویی سریع و با اطمینان به حوادث امنیت سایبری شناسایی شده می تواند تفاوت بین حداقل اختلال در کسب و کار و آسیب فاجعه بار را نشان دهد. استراتژی‌ها و تاکتیک‌های مناسب واکنش به حادثه (IR) برای محدود کردن شعاع انفجار حملات ضروری هستند. طبق گزارش هزینه نقض داده ها در سال 2023، موثرترین استراتژی IR برای شناسایی و پاسخ سریعتر به یک نقض، تشکیل یک تیم IR و آزمایش طرح IR خود قبل از اجرای آن است. بر اساس این گزارش، انجام این کار زمان مورد نیاز برای شناسایی تخلفات را 54 روز کاهش می دهد.

در حالی که برنامه‌ها و رویه‌های مؤثر IR ضروری هستند، داشتن اطلاعات مناسب برای واکنش نشان دادن به حمله نیز ضروری است  و این به معنای داشتن اجزای مناسب در پس زمینه امنیتی است. این جایی است که راه حل های EDR وارد می شوند. هنگام مقایسه راه حل های EDR، به دنبال راه حلی باشید که به طور مداوم داده های فعالیت نقطه پایانی را ثبت و ذخیره می کند. این به تیم IR شما یک سیستم ثبت فعالیت نقطه پایانی برای ردیابی شواهد تهدیدهای شناسایی شده و شناسایی الگوهای رفتاری می دهد. EDR پیشرفته دید و زمینه ای را که تیم های IR برای انجام کارشان به طور موثر نیاز دارند فراهم می کند و بینش های عملی که آنتی ویروس های قدیمی و حتی بسیاری از راه حل های محافظت از نقطه پایانی به سادگی نمی توانند ارائه دهند.

اصلاح از راه دور توسط EDR سیمانتک

قبلاً اشاره کردیم که حرکت سریع و قاطعانه پس از شناسایی یک تهدید چقدر حیاتی است. این می تواند در عصری که اعضای تیم امنیتی و SOC از چندین سایت از جمله دفاتر اداری چالش برانگیز باشد.

راه‌حل‌های پیشرفته از معماری‌های بومی Cloud بهره می‌برند تا، به‌عنوان مثال، به مدیران پوسته راه دوری بدهند که دید را مستقیماً به هر نقطه پایانی در سرتاسر سازمان ارائه می‌کند – یک قابلیت کلیدی زمانی که تیم‌ها باید در سریع‌ترین زمان ممکن به میزبان‌های آلوده پاسخ دهند.

تجسم هشدار به وسیله EDR سیمانتک

از هر یک از اعضای تیم SOC بپرسید و آنها تأیید خواهند کرد: خستگی هشدار واقعی است. یکی از مهم ترین قابلیت ها برای مبارزه با خستگی هشدار، تجسم هایی است که به تحلیلگران اجازه می دهد تا هشدارها را تریاژ کنند. با ابزار مناسب، تحلیلگران می توانند به سرعت و به راحتی آنچه را که در طول توالی حمله رخ داده است، درک و هضم کنند. این به تنظیم سیاست هایی برای جلوگیری از تکرار حمله مشابه کمک می کند.

ایده خوبی است که هر فروشنده EDR قابلیت های تجسم هشدار را بررسی کنید. به دنبال راه حل هایی باشید که به صورت بصری همه رویدادهای مرتبط با هشدار را نشان دهند. شما باید بتوانید یک فرآیند یا رویداد فردی را برای دیدن شهرت، TTPها (تاکتیک ها، تکنیک ها و رویه ها)، خط فرمان استفاده شده و سایر اطلاعات انتخاب کنید. تجسم باید اطلاعات عملی را در مورد رویدادهایی که در طول یک هشدار رخ داده است ارائه دهد، از جمله محل اعمال پیشگیری، منبع، و آنچه مهاجم ممکن است تلاش کرده باشد. شما باید به چیزی کمتر قانع شوید.

شکار تهدیدات EDR سیمانتک

 

شکار تهدید برای این صنعت جدید نیست، اما قطعاً برای بسیاری از تیم‌های امنیتی، به‌ویژه تیم‌های جدید EDR، مفهوم جدیدی است. شکار تهدید به دنبال شاخص‌های سازش (IOC) در سرورهای ابری عمومی و خصوصی، نقاط پایانی و شبکه‌ها است. این IOC ها می توانند نشانه سازش، نفوذ یا خروج داده ها باشند.

 

شکار تهدید با واکنش حادثه متفاوت است زیرا شکار تهدید پیشگیرانه است، در حالی که واکنش حادثه واکنشی است. با این حال، این دو نقش دست به دست هم می دهند. در واقع، بسیاری از تیم‌های امنیتی، کارمندان خود را برای شکار تهدید تعیین می‌کنند. غالباً اینها پاسخ دهندگان حادثه موفقی هستند که تجربه آنها به آنها کمک می کند تا دقیقاً تعیین کنند که مهاجم چگونه رفتار خواهد کرد و در آینده چه کاری انجام خواهد داد.

برای ساده‌سازی شکار تهدید و اطمینان از اثربخشی آن، به دنبال راه‌حل‌هایی باشید که داده‌های جامع و اطلاعات تهدید گسترده را جمع‌آوری می‌کند و تمام اطلاعات مورد نیاز برای شکار فعالانه تهدیدات، کشف رفتار مشکوک، اختلال در حملات در حال انجام، تعمیر سریع آسیب، مدیریت آسیب‌پذیری و آدرس‌دهی را در اختیار شما قرار می‌دهد. شکاف در دفاع راه‌حل‌های برتر به شما امکان می‌دهند در داده‌های نقطه پایانی بدون فیلتر خام جستجو کنید، حتی اگر نقطه پایانی آفلاین باشد. با ایجاد فهرست‌های نظارت خودکار، باید بتوانید شکار خود را در شرکت‌های بزرگ مقیاس‌بندی کنید  و هرگز یک تهدید را دوبار شکار نکنید.

 

تحقیقات و پیگیری EDR سیمانتک

تعیین دقیق نحوه نفوذ، از جمله شناسایی TTPها و درک مسیری که مهاجمان طی کرده اند، برای جلوگیری از حملات مشابه در آینده حیاتی است. اینجاست که دید گسترده‌ای به دست می‌آید: هرچه بازرسان پزشکی قانونی به داده‌های بیشتری دسترسی داشته باشند، تجزیه و تحلیل دقیق‌تر آنها می‌شود.

 

راه حل EDR شما باید بتواند کل زنجیره حمله را تجسم کند. این امر شناسایی علت اصلی یک حادثه را آسان تر می کند. تحلیلگران همچنین باید بتوانند به سرعت از هر مرحله از حمله عبور کنند تا بینشی در مورد رفتار مهاجم به دست آورند، شکاف های امنیتی را ببندند و از هر تکنیک حمله جدید بیاموزند.

 تهدیدها به قدری سریع در حال پیشرفت هستند که احتمالاً به فکر استقرار EDR هستید - اگر نه اکنون، به زودی. نمونه هایی که در بالا توضیح داده شد همگی استدلالی برای انتخاب استراتژیک در پلتفرم EDR شما هستند. برای تعداد فزاینده ای از سازمان ها، این انتخاب یک راه حل تحسین شده EDR از کربن بلک است که پیشگام EDR بود و اکنون بخشی از مجموعه راه حل های گروه امنیتی سازمانی Broadcom است.

 

کربن بلک EDR حملات پیشرفته را از طریق یک رویکرد جامع و یکپارچه برای تیم های امنیتی شناسایی کرده و به آنها پاسخ می دهد. شما فوراً به کاملترین تصویر از یک حمله دسترسی خواهید داشت و تحقیقات طولانی را از روزها به دقیقه کاهش می دهد - یک مزیت مهم در زمانی که هر ثانیه اهمیت دارد. تیم‌های امنیتی می‌توانند به طور فعال تهدیدات را جستجو کنند، رفتارهای مشکوک را کشف کنند، حملات فعال را مختل کنند و شکاف‌های دفاعی را قبل از اینکه مهاجمان بتوانند برطرف کنند.

 

کربن بلک EDR به طور قوی از هر نمونه استفاده ای که در اینجا بحث شده است پشتیبانی می کند - از پاسخ به حادثه، اصلاح از راه دور و تجسم هشدار گرفته تا شکار تهدید و تحقیقات پزشکی قانونی. در واقع، کربن سیاه EDR تمام قابلیت دید نقطه پایانی، اطلاعات متنی (از جمله اسناد، جزئیات عامل تهدید و سایر اطلاعات حمله) را برای پاسخ سریع برای محدود کردن آسیب و توقف حرکت جانبی ارائه می دهد. کربن بلک EDR برای ردیابی مهاجمان ساخته شده است و به آنها جایی برای مخفی شدن نمی دهد!

جهت تهیه ماژول EDR می توانید با شرکت آلما شبکه نماینده شرکت سیمانتک تماس حاصل فرمایید.

بازخوردها
    مطالب مرتبط