کسپرسکی EDR یا همان Endpoint Detection and Response

با توجه به گسترش روزافزون جرایم سایبری و توانمندی هکرها، امنیت اطلاعات سازمان‌ها و ارگان‌ها اعم از دولتی و خصوصی در خطر می‌باشد. لذا هرگونه تهدید امنیتی می‌تواند کاهش بهره‌وری و سطح عملکرد و در نتیجه افزایش هزینه‌های عملیات یک سازمان را در پی داشته باشد. اکنون قصد داریم در این مقاله، راه کاری پیشنهاد دهیم که سازمان‌ها بیش از پیش به آن نیاز دارند. این راه کار، تکنولوژی Kaspersky Endpoint Detection and Response نام دارد.

چرا راهکار کسپرسکی EDR؟

امروزه با توجه به اهمیت و جایگاه کاربران نهایی در سازمان‌ها، هکرها و مجرمین سایبری در تلاش هستند با سوء استفاده از کمبود دانش کاربران و امنیت ناکافی سیستم‌هایشان به اطلاعات حساس و مورد نیاز خود در مورد سازمان و ارگان مورد نظر دست یابند. لذا تکنولوژی Kaspersky Endpoint Detection and Response با ارائه دیدی جامع از وضعیت امنیت سیستم‌های کاربران نهایی نقش بسزایی در مقابله با انواع تهدیدات سایبری ایفا می‌کند. این راه‌کار به تحلیلگران و کارشناسان امنیتی هر سازمان این امکان را می‌دهد تا بتوانند بهترین بازخورد را در برابر حملات پیچیده امنیتی داشته باشند.

با تکنولوژی کسپرسکی EDR شما و سازمانتان می‌توانید:

1. تمام Endpoints را به‌طور مؤثر کنترل و نظارت کنید.

با کنترل و نظارت مستمر بر تمام Endpointها، دید همه‌جانبه‌ای خواهید داشت: درمی‌یابید که تهدید از کجا سرچشمه گرفته و چگونه گسترش یافته و برای جلوگیری از عواقب آن دقیقاً چه کاری می‌توان و باید انجام داد.

چالش:
تیم‌های امنیتی فناوری اطلاعات، دید و شفافیت لازم برای نظارت مؤثر بر Endpointها را ندارند. تشخیص یک حادثه ممکن است هفته‌ها یا حتی ماه‌ها بیشتر از آنچه که باید، طول بکشد؛ تنها به این دلیل که مشاهده و درک اینکه دقیقاً چه اتفاقی افتاده است، چگونه اتفاق افتاده و چطور آن را اصلاح کنیم، می‌تواند بسیار دشوار باشد.

2.کار تیم فناوری اطلاعات خود را ساده کنید.

مهار سریع و دقیق تهدید و حل و فصل حوادث در زیرساخت‌ها به‌وسیله اقدامات متمرکز و خودکار امکان‌پذیر است و به ساده‌سازی کار تیم امنیت فناوری اطلاعات کمک می‌کند؛ بدون Downtime، بدون اینکه بهره‌وری از دست برود و بدون اینکه به منابع اضافی پرهزینه نیاز باشد.

چالش:
وادار کردن تحلیل‌گران به کار در چندین کنسول غیرمتمرکز، سرعت همه چیز را کاهش می‌دهد و در عین حال فرصت‌هایی برای خطاهای انسانی ایجاد می‌کند. همین امر در مورد انجام غیراتوماتیک فرآیندهای تشخیص توسط متخصصان امنیت فناوری اطلاعات هم صادق است.

3. تهدیدها را با موفقیت شناسایی کنید و کاهش دهید.

داده‌های خام به صورت متمرکز جمع‌آوری می‌شوند و قابلیت‌ تحقیق از طریق شاخص‌های منحصربه‌فرد حمله (IoAs)، MITER ATT&CK و دسترسی به پایگاه دانش Threat Intelligence Portal افزایش می‌یابد. همه این موارد به‌طور قابل‌توجهی، شناسایی مؤثر تهدیدهای موجود و واکنش سریع به حادثه، برای پیشگیری و محدود کردن آسیب را تسهیل می‌کنند.

چالش:
عدم آگاهی، ناتوانی در عملیاتی کردن اطلاعات و نداشتن دید واضح از تاکتیک‌ها، تکنیک‌ها و رویه‌های هکرها می‌تواند هم اولویت‌بندی هشدار و هم بررسی و پاسخ بیشتر را مختل کند.

4. سریع‌تر و موثرتر پاسخ دهید.

در مقابله با حملات پیچیده و شبیه به APT، بررسی دقیق و پاسخ سریع‌تر و دقیق‌تر بسیار مهم است. تکنولوژی کسپرسکی EDR یک گردش کار یکپارچه را با متمرکز کردن مدیریت رویداد و تحقیقات انجام‌شده در تمام Endpointها در شبکه شرکت ارائه می‌دهد.

چالش:
شناسایی یک تهدید بالقوه تضمین نمی‌کند که اقدامات بعدی مؤثر باشد. نکته مهمی که وجود دارد، این است که بتوانیم به تهدید به‌طور مؤثر در زمان واقعی پاسخ دهیم و حادثه را به‌طور کامل بررسی کرده و از بروز آن جلوگیری کنیم.

5. حداکثر کارایی را از راه حل خود و کارشناسان خود دریافت کنید.

اگر EPP شما به کارمندان اجازه دهد روی هشدارهایی کار کنند که نیازی به مهارت آن‌ها ندارد، هیچ فایده‌ای ندارد که تحلیلگران با حقوق بالا را برای کار با راه‌حل EDR خود استخدام کنید. راه‌حل‌های EDR ما مبتنی بر بهترین راه‌حل EPP هستند که به‌طور خودکار اکثر هشدارها را کنترل می‌کند و به تحلیل‌گران اجازه می‌دهد تا روی مواردی تمرکز کنند که واقعاً به توجه و تخصص آن‌ها نیاز دارند.

چالش:
اگر تحلیلگران مجبور به اتلاف زمان برای مقابله با هشدارهای بی اهمیت شوند، نمی‌توانند به‌طور کامل روی تهدیدات پیچیده تمرکز کنند. این امر علاوه بر اتلاف منابع، می‌تواند منجر به فرسودگی تحلیل‌گر شود و هشدارهای مهم در میان این همه «سروصدا» شنیده نشوند!

ویژگی‌های Kaspersky EDR Expert

1. تهدیدات را با استفاده از بهترین و پیشرفته‌ترین روش‌ها شناسایی کنید.

برای شناسایی فعالیت‌های مخرب در یک زیرساخت می‌توان از شناسایی تهدیدات بالقوه استفاده کرد.
تکنولوژی کسپرسکی EDR کار تحلیل‌گران را ساده می‌کند.
تکنولوژی Kaspersky Endpoint Detection and Response می‌تواند با استفاده از مجموعه منحصربه‌فرد IoA، اقدامات مشکوک را کشف کرده و امکان شناسایی تهدید را به صورت اتوماتیک در زمان واقعی فراهم کند.
برای ارائه تصویر دقیق‌تری از آنچه اتفاق می‌افتد، می‌توان یک فایل یا فرآیند را برای تجزیه و تحلیل رفتاری به‌صورت دستی یا خودکار به Sandbox ارسال کرد.
شناسایی‌ تهدیدها توسط IoA و Sandbox برای تحلیل بیشتر تاکتیک‌ها، تکنیک‌ها و رویه‌های هکرها به MITER ATT&CK نگاشت می‌شوند.

2. بررسی علل حادثه و جلوگیری از تکرار آن.

تکنولوژی کسپرسکی EDR حفاظت از Endpointها سطح بالایی را ارائه می‌دهد، کارایی SOC را بالا برده و دسترسی به داده‌های گذشته را فراهم می‌کند؛ حتی در شرایطی که Endpointها در معرض خطر هستند یا زمانی که داده‌ها در طول حمله رمزگذاری شده‌اند. افزایش قابلیت‌های تحقیق از طریق IoAs، غنی‌سازی MITER ATT&CK و دسترسی به پایگاه دانش Threat Intelligence Portal، شناسایی تهدید و واکنش سریع را تسهیل می‌کنند و منجر به محدودکردن آسیب و پیشگیری مؤثر می‌شوند.

3. گزینه Telemetry مناسب انتخاب کنید.

یک پایگاه داده متمرکز، Endpoints Telemetry را به‌طور پیش‌فرض به مدت 30 روز ذخیره می‌کند؛ به این معنی که تجزیه و تحلیل Forensic را می‌توان بدون تکیه بر در دسترس بودن Endpointها انجام داد. اگر دریافتید که به زمان بیشتری برای نگهداری Telemetry نیاز دارید، این زمان را می‌توان به 60 یا 90 روز افزایش داد. در زمان نصب اولیه، این شما هستید که با توجه به ظرفیت و ویژگی‌های سخت‌افزار خود، دوره ذخیره‌سازی داده‌ها را تعیین می‌کنید.

4. به روشی که مناسب شماست پاسخ دهید.

کارشناسان فناوری اطلاعات شما باید به ابزارهایی مجهز باشند که پاسخ با یک کلیک را از طریق کنسول مدیریت مرکزی امکان‌پذیر می‌کند، تعداد کارهای غیراتوماتیک را کاهش داده و زمان پاسخ را از چندین ساعت به چند دقیقه کاهش می‌دهد.

5. روان و کارآمد کار کنید.

Endpoint و ابزارهای click-down به محققین شما این امکان را می‌دهد تا به‌راحتی روی عناصر داده در حین ارزیابی مسیر تهدید، تمرکز کنند یا برای کسب اطلاعات بیشتر به بررسی دقیق بپردازند. پیوند دادن رویدادها و ادغام هشدارها به شناسایی تأثیر کامل یک حمله کمک می‌کند.

چه زمانی انتخاب آنتی ویروس Kaspersky EDR ایده‌آل خواهد بود؟

تکنولوژی کسپرسکی EDR ایده‌آل است اگر سازمان شما این موارد را لازم دارد:

ارتقاء امنیت خود با استفاده از یک راه‌حل سازمانی برای پاسخ به حادثه.
شناسایی و پاسخ به تهدید به‌طور خودکار بدون ایجاد اختلال در کسب‌وکار در طول تحقیقات.
درک تاکتیک‌ها، تکنیک‌ها و رویه‌های خاص (TTP) که توسط هکرها برای دستیابی به اهدافشان استفاده می‌شود و دفاع قدرتمندتر و تخصیص مؤثر منابع امنیتی را ممکن می‌سازد.
افزایش امنیت Endpoint و تشخیص تهدید با فناوری‌های پیشرفته.
ایجاد فرآیندهای یکپارچه و مؤثر برای شناسایی تهدید، مدیریت حادثه و واکنش سریع.
افزایش کارایی SOC داخلی به‌منظور جلوگیری از اتلاف زمان برای تجزیه و تحلیل گزارش‌ها و هشدارهای Endpoint نامربوط.
پشتیبانی از انطباق با اجرای گزارش‌های Endpoint، بررسی‌ هشدارها و مستندسازی نتایج تحقیقات.