ما هو كشف ورد نقطة النهاية؟
- مصطلحات إدارة الهوية والوصول
- ما هو كشف ورد نقطة النهاية؟
تهديدات نقاط النهاية والرد عليها (EDR)، والمعروفة أيضاً باسم اكتشاف تهديدات نقاط النهاية والرد عليها (ETDR)، هو مصطلح شامل لحل برنامج يراقب باستمرار أجهزة نقاط النهاية، ويشمل أجهزة كمبيوتر وأجهزة كمبيوتر محمول الخاصة بالمستخدم النهائي، والخوادم، وأجهزة الجوال، وأجهزة إنترنت الأشياء (IoT)، لجمع بيانات التهديد وتحليلها، وتنبيه فرق التأمين لعمليات الاختراق في الوقت الفعلي.
كيف يعمل الكشف عن تهديدات نقاط النهاية والرد عليها (EDR)؟
حيث إن الكشف عن تهديدات نقاط النهاية والرد عليها مصطلح شامل، تختلف الميزات والقدرات الخاصة لحلول الكشف عن تهديدات نقاط النهاية والرد عليها بشكل كبير بين الموردين وحتى في التنفيذ. بشكل عام تقع أدوات الكشف عن تهديدات نقاط النهاية والرد عليها ضمن فئة من الثلاث فئات التالية:
- منصة مخصصة للكشف عن تهديدات نقاط النهاية والرد عليها (EDR)
- مجموعة من الأدوات الأصغر تستخدم معاً للقيام بالكشف عن تهديدات نقاط النهاية والرد عليها (EDR)
- ميزة الكشف عن تهديدات نقاط النهاية والرد عليها (EDR) المضمنة في منتج أمن آخر، مثل برنامج مكافحة فيروسات من الجيل التالي. ويوفر بعض موردي إدارة معلومات الأمان والأحداث (SIEM) الكشف عن تهديدات نقاط النهاية والرد عليها (EDR) كجزء من حزمهم.
تعمل حلول الكشف عن تهديدات نقاط النهاية والرد عليها عبر جمع القياس عن بُعد من أجهزة نقاط النهاية بما في ذلك السجلات وتفاصيل الملف وعمليات التشغيل ومراقبة الأداء وبيانات التهيئة وتحليلها للكشف عن أنماط التهديد المحتملة.
أبسط أنظمة الكشف عن تهديدات نقاط النهاية والرد عليها هي أدوات تنبيه خالصة. حيث تجمع البيانات وتحللها وتعرضها للموظفين البشر لعرضها والتصرف بناء عليها. ويتم حفظ البيانات في قاعدة بيانات مركزية ويمكن عادة تغذيتها في حل لإدارة معلومات الأمان والأحداث (SIEM).
تتضمن أنظمة الكشف عن تهديدات نقاط النهاية والرد عليها الأكثر تقدماً ميزات مثل:
- آليات استجابة مؤتمتة يمكنها اتخاذ إجراءات تصحيحية محددة إذا ما تم الكشف عن تهديد مثل تسجيل خروج مستخدم نهائي أو وقف عمليات مخترقة أو إيقاف جهاز نقطة النهاية تماماً.
- أدوات الرد على التهديد التي تساعد موظفي الأمن البشرين في فهم ما يتم، أي أجهزة وأنظمة تتأثر وكيفية وقف الهجوم وكيفية منع الهجمات المستقبلية.
- ميزات التعليم الآلي والتحليلات القائمة على تكنولوجيا الذكاء الصناعي التي تستخدم التحليل السلوكي لوضع أنشطة الجهاز في السياق وتحديد التهديدات الجديدة والمنبثقة، وتتضمن التهديدات التي لا تلائم القواعد السابقة التهيئة للكشف عن تهديدات نقاط النهاية والرد عليها. وقد يتضمن هذا تحديد السلوك غير الطبيعي للإطار المجاني MITRE ATT&CK للمساعدة في كشف الأنماط.
- أدوات الطب الشرعي التي تساعد موظفي الأمن في إنشاء مواعيد وتحديد الأنظمة المتأثرة وجمع الأدلة خلال الرد على حدث والتحليل اللاحق لعملية الاختراق. وقد يستخدم موظفو الأمن أدوات الطب الشرعي للكشف عن تهديدات نقاط النهاية والرد عليها للبحث بشكل استباقي عن تهديدات أخرى غير مكتشفة في بيئة البيانات.
أهمية الكشف عن تهديدات نقاط النهاية والرد عليها
أنظمة الكشف عن تهديدات نقاط النهاية والرد عليها تزداد شعبية بسبب الزيادة الكبيرة في أجهزة نقاط النهاية المتصلة بالشبكات التنظيمية، وتشمل أجهزة الكمبيوتر وأجهزة الكمبيوتر المحمول، فضلاً عن الهواتف الجوالة وأجهزة إنترنت الأشياء. ترى الجهات المهددة هذه الأجهزة على أنها "أهداف سهلة" ومن خلالها تستطيع اختراق الشبكات، وتستخدم طرق هجوم وبرامج ضارة متطورة بصورة متزايدة لمهاجمتها.
يتم الخلط بين أدوات الكشف عن تهديدات نقاط النهاية والرد عليها وحلول مكافحة الفيروسات في بعض الأحيان. وتكون العديد من أنظمة الكشف عن تهديدات نقاط النهاية والرد عليها مجمعة مع برنامج مكافحة فيروسات أو بيانات مستفاد منها من قاعدة بيانات حل مكافحة فيروسات.
على الرغم من أن برنامج مكافحة الفيروسات يحمي أجهزة نقاط النهاية من أنواع البرامج الضارة المختلفة المعروفة والمدرجة في قاعدة بيانات المنتج. وخلافاً لذلك، يستخدم الكشف عن تهديدات نقاط النهاية والرد عليها التحليل الذكي للكشف عن التهديدات الجديدة والمنبثقة، وتشمل التهديدات التي لا يستطيع برنامج مكافحة الفيروسات كشفها مثل البرامج الضارة عديمة الملف والهجمات التي تستفيد من بيانات الاعتماد المسروقة والتهديدات المستمرة المتقدمة (APT) والبرامج الضارة الحديثة للغاية ولم يتم إدراجها بعد في أي قاعدة بيانات لبرامج مكافحة الفيروسات.
تمد حلول مكافحة الفيروسات المستخدمين بالمعلومات الأساسية فقط، وتحديداً عدد التهديدات التي يحظرها البرنامج ونوعها، خلال فترة زمنية محددة. تسجل أنظمة الكشف عن تهديدات نقاط النهاية والرد عليها البيانات السياقية الخاصة بالهجمات الإضافية وعالية القيمة مثل المعلومات المتعلقة بالجهة المهددة وكشف الاتجاهات التاريخية التي تستطيع المنظمات استخدامها لإرشاد استراتيجيتها الأمنية.
كيفية استخدام الشركات للكشف عن تهديدات نقاط النهاية والرد عليها
فضلاً عن كشف التهديدات التي قد تتخطي حلول مكافحة الفيروسات وأدوات الأمن الأخرى لولا وجودها، تسرع أنظمة الكشف عن تهديدات نقاط النهاية والرد عليها استجابة الحدث وتساعد في تخفيف أثر الجهود وإمداد الفرق الأمنية برؤية كاملة لسلوك نقاط النهاية عبر بيئة البيانات وتمكين تصيد التهديدات الاستباقي.
جعل موظف الأمن يلعب دوراً فعالاً في أمن نقاط النهاية هو أمر أساسي لنشر ناجح للكشف عن تهديدات نقاط النهاية والرد عليها. فضلاً عن متابعة تنبيهات الكشف عن تهديدات نقاط النهاية والرد عليها، يجب أن يكون لدى المنظمات استراتيجية إدارة تصحيح قوية لإبقاء أجهزة نقاط النهاية محدثة. وعادة ما تتضمن تحديثات البرامج تصحيحات أمنية مهمة وإهمال تطبيقها في وقت مناسب قد يؤدي إلى تهديد أمن نقطة النهاية بشدة.
تكوينات السحابة الخاطئة تمثل مشكلة أخرى شائعة يمكن أن تخفض أمن نقاط النهاية. وتساعد الرؤية التي توفرها حلول الكشف عن تهديدات نقاط النهاية والرد عليها لتكوينات نقاط النهاية فرق تكنولوجيا المعلومات والأمن في منع إعدادات تكوين السحابة الخاطئة، وبالمثل فإن بيئة السحابة التي يتم صيانتها بشكل ملائم تحسن من أمن نقاط النهاية.