Kaspersky EDR Optimum چیست و چه کاربردی دارد؟

 

در دنیای امروزی، کاهش ریسک‌های امنیتی موجود در سازمان‌ها و تشخیص حملات هدفمند و دفع آن‌ها از اهمیت بالایی برخوردار است. به همین دلیل کمپانی سرشناس کسپرسکی تصمیم گرفته تا علاوه بر کاهش ریسک‌های موجود و مقابله با حملات هدفمند پیشرفته فعلی، راهکاری مقرون به صرفه‌تر از محصولات تخصصی ارائه شده در حوزه امنیت در سمت کاربران رائه دهد. این راهکار در عین حال که شما را در مقابل حملات امن نگاه میدارد، کاهش هزینه‌های جاری در جهت امن کردن ساز و کار شما را نیز به ارمغان آورده است. Kaspersky EDR Optimum مقرون به صرفه‌تر از محصول EDR معمول برای سازمان‌ها است و می‌تواند تشخیص خودکار حملات را برای شبکه شما به ارمغان بیاورد.

 

 

چرا سازمان‌ها به EDR Optimum احتیاج دارند؟

 

این روزها حملات هدفمند بر خلاف گذشته به شکلی گسترده و در ابعاد مختلف می‌توانند شبکه های مختلف را هدف قرار دهند. اکنون دیگر مقصد حملات پیشرفته تنها کشورها یا سازمان‌های حساس دولتی نیستند بلکه تمامی شرکت‌های بزرگ و کوچک که حتی فکرش را نمیکردند روزی متوجه حملات این چنینی شوند نیز هدف این حملات قرار دارند. طبق گزارشات ثبت شده از هر ۱۰ حمله هدفمند یک حمله موفق آمیز بوده و شبکه را تحت تاثیر قرار داده. همچنین خسارات وارد شده پس از حملات هدفمند پیشرفته به صورت نجومی در حال افزایش است. توجه به این نکته ضروری است که، حملات هدفمند اغلب در جهت وارد کردن خسارت‌های مالی به سازمان و با اهداف خاص به سازمان تحمیل می‌شوند. به گونه‌ای که در حال حاضر حداقل خسارت مالی پس از بروز یک حمله هدفمند به سازمان، چیزی حدود ۱٫۴۱ میلیون دلار در شبکه های کوچک و متوسط و در شبکه های بزرگتر و ارگان‌های حساس به ۲٫۷ میلیون دلار می‌رسد.

از نمونه‌های این خسارات می‌توان به صرف زمان برای تحلیل حمله و هزینه برای دفع حملات، پرداختن غرامت‌های سنگین برای رخنه امنیتی ایجاد شده یا نشت اطلاعات، افت سهام سازمان در کارزارهای اجتماعی و… اشاره کرد. در این زمان، به کارگیری ابزار مناسب و تخصصی جهت جلوگیری از تهدیدهای و کاهش خسارت های ناشی از حملات احتمالی در مجموعه اهمیت ویژه‌ای دارد. زیرا منابع سازمان‌ها محدود است. علاوه بر اینکه منابع سخت‌افزاری در مجموعه‌های مختلف، تعداد نیروهای متخصص در زمینه امنیت سایبری(threat Hunting) و تیم پاسخ به حملات یکی از بزرگترین معضلات موجود در سازمان‌های مختلف محسوب می‌شود

همچنین ارائه آموزش چنین نیروی متخصصی در مجموعه نیاز به وقت و هزینه زیادی برای سازمان دارد. البته این موضوع مشکل چندان جدیدی نیست و از گذشته تا کنون در ۹۰ درصد مجموعه‌های مختلف دیده شده است. مطابق گزارش‌های ارائه شده پیرامون این موضوع، از هر ۳۳ سازمان، ۲ سازمان، از کمبود نیروی متخصص در زمینه امنیت سایبری رنج می‌برند. بهترین راه برای برای مقابله با حملات نوین هدفمند در چنین سازمان‌هایی، استفاده از راهکار مناسب جهت تشخیص خودکار و همچنین دفع حملات به صورت اتوماتیک است. علاوه بر رفع مشکل نیروی انسانی متخصص، راهکار استفاده شده باید مشکل مربوط به کمبود سخت ا‌فزار و منابع در مجموعه را نیز پیش‌بینی کرده و با حداقل استفاده از منابع بتواند بیشترین بهره‌وری را در زمینه تشخیص و دفع حملات هدفمند برای مجموعه به ارمغان بیاورد.

 

 

راهکار EDR Optimum چگونه به سازمان‌ها کمک می‌کند؟

 

• کاهش ریسک‌های امنیتی برای قربانی در مواجهه با حملات هدفمند
• پیاده‌سازی Security in Depth در سمت کاربران
• تشخیص حملات پیچیده و هدفمند به صورت خودکار
• ارائه ابزار تجزیه و تحلیل به تیم IT سازمان جهت تسهیل در فرآیند تشخیص و دفع حملات هدفمند
• امکان ساخت IOC و اسکن عمیق آنها در سطح شبکه
• ارائه قابلیت پاسخ به حمله با امکان Single Click
• ارائه قابلیت پاسخ به حمله با امکان Single Click
• کاملا خودکار و همگام شده با محصولات EPP

 

 

ویژگی‌های ممتاز EDR Optimum در برابرحملات عبارتند از:

 

قدرتمند در تشخیص حملات

 

اولین قدم در مقابله با تهدیدات سایبری اگاهی از تهدید است و اساس محصول EDR Optimum بر این اصل بنا شده. این راهکار از تکنیک‌های تشخیص متنوع در جهت شناسایی حمله استفاده می‌کند و قادر به شناسایی هر نوع حمله‌ای است. ازجمله این حملات می‌توان به موارد زیر اشاره کرد:

• حملات بدون استفاده از بدافزار یا Malwareless
• پیاده‌سازی Security in Depth در سمت کاربران
• Lateral Movement
• رفتارهای مشکوک و…

 

 

تشخیص بلادرنگ حملات

 

می‌دانیم که تنها تشخیص تهدید کافی نیست! بلکه باید بتوانید به موقع و پیش از بروز مخاطره برای سازمان با تهدید شناسایی شده مقابله کنید. راهکار EDR Optimum در هر دو بخش نقاط پایانی و شبکه با تهدیدات و حملات شناسایی شده مقابله می‌کند. از جمله قابلیت‌های این محصول در تشخیص بلادرنگ محصولات می‌توان به موارد زیر اشاره کرد:

• ایزوله کردن ایستگاه‌کاری دارای آلودگی
• اسکن عمیق ایستگاه میزبان از راه دور
• قرنطینه و پاک‌سازی فایل یا فایل‌های آلوده از سطح شبکه
• مسدود کردن Process آلوده شناسایی شده
• جلوگیری از اجرای فرآیند (Execute) در سطح شبکه

 

 

خودکارسازی فرآیندهای تجزیه و تحلیل

 

در زمان بروز یک حمله حتی در صورت داشتن نیروی متخصص در مجموعه، تیم امنیت سایبری مدت زمان زیادی را صرف تجزیه و تحلیل داده‌های مختلف در سطح شبکه کند، تا بتواند در جهت تشخیص و مقابله با حمله اقدامات لازم را انجام دهد.این کار نیازمند بیشینه امنیتی و تجربه مواجهه با تهدید یا حمله است. از طرف دیگر، در این زمان تکنیک های تشخیص حمله و مقابله با آن در اسرع وقت نیز از اهمیت ویژه‌ای برخوردار است. با EDR Optimum شما دیگر نیازی به تیم تجزیه و تحلیل و اختصاص زمان زیاد جهت تحلیل داده‌ها نخواهید داشت. زیرا داده‌ها به صورت خودکار تحلیل شده و اطلاعات جامعی را در اختیار شما قرار خواهد داد. همه موارد ذکر شده منجر به:

• دید مناسب نسبت به شبکه و حملات
• دریافت اطلاعات کامل از حوادث در شبکه
• تجسم Kill-Chain
• تاریخچه وقایع و تحلیل داده و ریشه یابی علت حملات
• مقابله با حادثه در سریعترین زمان
• طراحی قابلیت مقابله با حمله با یک کلیک(Single Click)
• اسکن میزبان های دارای IOC و پاسخ به تهدیدات
• کارایی بالا به وسیله همگام سازی با راهکارهای موجود
• امنیت بالا بدون هزینه های نجومی و اضافی
• یکپارچه سازی شده با راهکار KES
• قابلیت کنترل بدون نیاز به راه اندازی راهکار و یا سرویس اضافی) از طریق KSC)

در ادامه مشاهده چند نمونه ساده از تشخیص حملات کافی است تا پی ببرید که استفاده از این محصول تا چه اندازه در سازمان‌ها حیاز اهمیت است. زیرا به واسطه استفاده از این راهکار و قابلیت‌های طراحی شده در آن، می‌توانید در سریع‌ترین زمان و بدون داشتن نیروی متخصص نسبت به تشخیص و مقابله با حملات اقدام کرد.

 

 

پاسخ به حمله

 

• بواسطه استفاده از قابلیت Single Click پرونده مورد نظر را قرنطینه نموده و Process مربوط به مسدود مینمایید.
• بواسطه ساخت تسک مربوطه سیستم میزبان را ایزوله نموده و به صورت خودکار رفتار مشابه را در شبکه یافت مینمایید.
• تجسم Kill-Chain
• سیستم میزبان حادثه را ایزوله نموده. به صورت اتوماتیک از روند ایجاد شده IOC تهیه و در کنسول قرار میدهیم. پس از این مورد پرونده مورد نظر را در شبکه قرنطینه و پس از آن اسکن عمیق در جهت شناسایی موارد مشابه را اجرا می‌نماییم.

 

 

تحقیق در مورد حمله

 

• به واسطه تجسم Kill-chain مشخص می‌شود که یک پرونده در طی یک روند بدون امضا از روی سیستم حذف شده است.
• اطلاعات کامل در مورد میزبان حادثه، تاریخ ایجاد پرونده، اطلاح پرونده، امضا و … در زنجیره موجود در گزارش‌ها مشهود می‌باشد.
• داده های مورد نظر در حمله با آدرس مربوطه ارتباط برقرار میکنند و بر اساس مشخصات و گزارش‌های ثبت شده مشخص می‌شود دو تغییر در کلید های رجیستری ایجاد شده است.

 

 

تشخیص حمله

 

• پرونده مخرب توسط محصول شناسایی شده و در لیست گزارش‌های کنسول مشاهده شده است.
• حمله از نوع فرآیند تزریق شناسایی می‌شود.
• ارتباط مشکوک شناسایی شد.

 

 

برتری EDR Optimum نسبت به سایر راهکارها

 

ویژگی‌های متمایز محصول EDR Optimum نسبت به سایر راهکارهای مشابه عبارتند از:

 

 

برآورده نمودن انتظارات بازار در آینده

 

با توجه به پیشرفت و توسعه بدافزارهای مورد استفاده توسط هکرها در دنیا، ابزارهای مورد استفاده جهت تشخیص و دفع حملات نیز نیاز به توسعه دارند. واضح است که در آینده نزدیک تنها ابزارهای End point جهت برقراری امنیت ایستگاه‌های کاری در مجموعه کافی نخواهد بود! بلکه تمامی برندهای مطرح دنیا باید در آینده نزدیک به ابزار EDR جهت دفع حملات پیشرفته مجهز شوند.

به همین دلیل آزمایشگاه‌های مطرح در جهت بررسی برندهای مختلف نیز به محصولاتی که از این ویژگی پشتیبانی نمی‌کنند، امتیازی نداده و از لیست آزمایشگاه‌های مطرح دنیا همچون Gartner و Av-Comparatives حذف خواهند شد.

 

 

کاربردی‌تر بودن نسبت به محصولات Kata و EDR

 

محصولات Kata و EDR که پیش از این نیز توسط کسپرسکی ارائه شده بودند، برای متخصصین امنیت اطلاعات و شرکت‌های بزرگ طراحی و توزیع شده بود. سازمان‌هایی که از این ابزار استفاده میکردند باید دارای تیم تخصصی تحلیل بدافزار باشند تا بتوانند از ابزار مذکور استفاده نمایند. در حال حاضر حملات تنها مربوط به سازمان‌های بزرگ نبوده و شبکه‌های کوچکتر را نیز تحت تاثیر قرار می‌دهند به همین منظور کسپرسکی راهکار EDR Optimum را برای استفاده از تمامی مجموعه‌های مختلف تهیه و توزیع نموده است.

 

 

نیازمندی سخت افزاری پایین نسبت به راهکار EDR و KATA معمول

 

بر خلاف محصولات Kata و EDR، راهکار EDR Optimum نیازمندی سخت افزاری حداقلی دارد و پیش نیازهای سخت افزاری بالا در این راهکار حذف شده‌اند.

 

 

پیاده‌سازی EDR Optimum در سازمان‌ها

 

مزایای پیاده‌سازی این محصول در سازمان‌ها عبارتند از:

 

 

راهکار پیشنهادی بر اساس سطح مشتری

 

با توجه به اینکه سازمان‌ها از نظر تعداد و سطح به سه دسته تقسیم بندی می‌شوند، بر همین اساس پیشنهاد شرکت آرمان داده پویان بر اساس سطح مشتری و تعداد کاربران به شرح زیر است.

 

سطح۱: سازمان‌های کوچک

 

شبکه در این سطح اغلب توسط یک نفر از نیروهای فناوری اطلاعات اداره می‌شود و اغلب موارد مربوط به پشتیبانی نرم افزار و سخت افزار، امنیت و… بر عهده یک نفر است. معمولا در این مجموعه‌ها تیمی تحت عنوان تیم تحلیل و تشخیص بدافزار وجود ندارد و یک نفر مسئول تمام کارها است. برای مشتریان این سطح اغلب محصول EPP (End Point Protection ) پیشنهاد می‌شود. از قابلیت های موجود در این محصول می‌توان به موارد زیر اشاره کرد:

• قدرت تشخیص بالا (High detection rate​)
• پیشگیری خودکار (Automatic prevention​)
• اصلاح خودکار (Automatic remediation)

 

سطح ۲: سازمان‌های متوسط

 

در این نوع از سازمان‌ها معمولا یک یا چند نفر از متخصصین و کارشناسان ارشد در حوزه فناوری اطلاعات در نقش هدایت کننده شبکه فعالیت می‌کنند و موارد امنیتی مجموعه را انجام می‌دهند. به این گروه از مشتری‌ها محصول EDR در کنار محصول EPP پیشنهاد می‌شود. این گروه علاوه بر قابلیت‌های ارائه شده برای مشتریان سطح یک موارد زیر را نیز دریافت می‌کنند:

• تشخیص پیشرفته (Advanced detection​)
• تجزیه و تحلیل عمیق داده‌ها(Data for root cause analysis​)
• پاسخ در زمان واقعی(Real-time response​)
• پیشگیری پیشرفته (Advanced prevention​)

 

سطح ۳: سازمان‌های بزرگ

 

شبکه های بزرگ معمولا دارای تیم تجزیه تحلیل و امنیت شبکه هستند. اغلب در این مجموعه‌ها تیم‌های مختلف SOC، Cert، CSIRT و… به صورت تخصصی در حال مدیریت شبکه و بررسی در لحظه وقایع ثبت شده در مجموعه هستند. محصول XDR برای استفاده در این مجموعه‌ها مناسب است. این مشتریان علاوه بر موارد ارائه شده برای سطح اول و دوم، قابلیت‌های زیر را نیز دریافت می‌کنند:

• دید کامل در شبکه (Completevisibility​)
• ابزار تحلیل و تشخیص قدرتمند
• تحلیل بر اساس وقایع گذشته (Retrospectiveanalysis​)
• شکار تهدیدهای احتمالی(Prospectivethreat hunting​)
• دسترسی به سامانه ThreatIntelligence کسپرسکی

‚به طور کلی راهکار EDR در سه حالت مختلف ارائه شده است:

• EDR Optimum
• EDR Optimum+ KSB
• EDR Expert(XDR)

 

مجوز راهکار

 

به طور کلی مجوز راهکار بر اساس تعداد Node در دو حالت ارائه میگردد:

 

Base

 

این نوع از مجوز علاوه بر قابلیت های راهکار EDR، قابلیت‌های نسخه Advance کسپرسکی برای ایستگاه‌های کاری را نیز دارا است. این نسخه از راهکار قابلیت استفاده روی دستگاه‌های WorkStation، Servers و موبایل را دارد.

 

Add-On

 

این نوع از مجوز برای مشتریانی استفاده می‌شود که در حال استفاده از نسخه های مختلف End point هستند. پس از خرید و اضافه کردن مجوز در کنسول مرکزی نرم افزار کسپرسکی، قابلیت‌های نسخه EDR روی رده‌های مختلف Select، Advanced و Total فعال می‌شود. این نسخه از راهکار روی دستگاه‌های Workstation، Server را دارد.