در دنیای امروز که تهدیدات سایبری به سرعت در حال تکامل هستند، سازمانها به رویکردهای جدیدی برای مقابله با این تهدیدات نیاز دارند. امنیت سایبری اغلب به عنوان یک مسابقه تسلیحاتی بین مدافعان و مهاجمان توصیف میشود، جایی که هر طرف به دنبال برتری بر دیگری است. این رقابت در پنج سال اخیر به وضوح نمایان شده است، چرا که سازمانها به سرعت به راهحلهای شناسایی و پاسخ به تهدیدات در نقطه پایانی (EDR) روی آوردهاند.
ظهور EDR: پاسخی به تهدیدات پیچیدهتر
راهحلهای EDR به عنوان پاسخی به افزایش پیچیدگی تهدیدات سایبری از سوی گروههای مهاجم ظاهر شدند. این گروهها با بهرهگیری از ابزارهای موجود بر روی سیستمهای کامپیوتری و استفاده از اسکریپتها و کدهای اجرایی که مستقیماً در حافظه اجرا میشوند، به انجام حملات هدفمند روی آوردند. این روش که به “استفاده از ابزارهای موجود” مشهور است، به مهاجمان این امکان را میدهد تا در محیطهای کاربری نفوذ کرده و بدون ایجاد فایلهای اضافی، حرکات جانبی خود را انجام دهند.
چالشهای EDR سنتی
راهحلهای سنتی EDR توانستهاند تا حدی دید بیشتری به تهدیدات مخفیانه ایجاد کنند و برخی از جنبههای پاسخ به حملات را بهبود بخشند. اما در عین حال، این راهحلها نتوانستهاند با چندین چالش کلیدی مقابله کنند. سازمانها اکنون با هجوم گستردهای از حملات هدفمند روبرو هستند که نیازمند رویکردی کاملتر برای شناسایی، تحقیق و پاسخ به تهدیدات هستند.
نیاز به شناسایی واقعی و کارآمد
EDRهای سنتی اغلب دادههای فراوانی را در اختیار تحلیلگران قرار میدهند تا آنها خودشان از بین کوههای اطلاعات سایبری به دنبال تهدیدات بگردند. اما حتی بهترین شکارچیان تهدید نیز نیاز به حمایت دارند، از جمله شناسایی تکنیکهای پیشرفته حمله، تحلیلهایی که فعالیتهای غیرعادی و رفتارهای پرت را کشف کنند، و تحلیلهای مبتنی بر هوش مصنوعی که از دادههای جمعآوریشده از هزاران مشتری در میلیونها نقطه پایانی بهره میبرند. ابزارهایی که رویدادها و حوادثی با نرخ بالای هشدارهای نادرست تولید میکنند، منابع محدود تیمهای امنیتی را به تحلیلبرده و آنها را خسته میکنند.
خودکارسازی وظایف تکراری
متخصصان پاسخ به حوادث، شکارچیان تهدید و کارشناسان جرمشناسی سایبری باید قادر باشند تا بهترین شیوهها را خودکار کنند، مشابه آنچه در مخزن تحلیلهای سایبری MITRE شرح داده شده است. علاوه بر این، تیمهای SOC باید بتوانند کتابخانههای خود از گردش کارهای تحقیقاتی را بسازند تا تمامی پاسخدهندگان از تخصص بهترین تحلیلگران SOC بهرهمند شوند. خودکارسازی وظایف تکراری میتواند بهرهوری کل تیم را افزایش دهد.
بحران کمبود نیروی انسانی
یکی دیگر از چالشهای عمدهای که سازمانها با آن روبرو هستند، کمبود شدید نیروی انسانی متخصص در حوزه امنیت سایبری است. این مشکل باعث میشود که استخدام و نگهداشت نیروهای متخصص شکار تهدید و تحلیلگر بسیار دشوار باشد. توانایی تقویت آسان تیمهای SOC موجود و افزودن تخصصهای حیاتی برای پر کردن شکافهای مهارتی و تضمین پوشش ۲۴ ساعته در ۷ روز هفته، به حفظ نیروها کمک کرده و به تیمهای امنیتی اجازه میدهد تا بر روی حوادث و ابتکارات با اولویت بالا تمرکز کنند. بسیاری از سازمانها نیز خواستار داشتن یک راهحل EDR کاملاً مدیریتشده با تحلیلگران SOC اختصاصی هستند. در این زمینه، مقیاس و تجربه اهمیت دارد. پشتیبانی جامع از یک ارائهدهنده Managed EDR نیازمند تیمی جهانی از صدها تحلیلگر SOC با آموزشهای گسترده و تخصص بالا در مناطق و صنایع مختلف است. این تخصص عمیق باعث افزایش کارآیی شکار تهدیدات، تحقیقات جرمشناسی و سرعت پاسخ به حملات نوظهور و خارج از ساعات کاری میشود.
پیش از حمله یا پس از حمله؟ چرا نه هر دو؟
ابزارهای EDR سنتی اغلب تمرکز خود را یا بر روی قابلیتهای پیش از حمله یا پس از حمله قرار دادهاند، اما سازمانها به هر دو مورد نیاز دارند تا با تهدیدات فعلی و نوظهور مقابله کنند. مشتریان نیازمند یک ابزار EDR و یک سرویس EDR مدیریتشده هستند که توسط ابزارهای پیشرفته برای سناریوهای پیش از حمله و پس از حمله تقویت شده باشد.
راهحل EDR سیمانتک
سیمانتک با یکپارچهسازی یک محصول EDR پیشرفته و یک سرویس EDR مدیریتشده به تمامی این چالشها پاسخ میدهد. این راهحلها به راحتی توسط سازمانها برای افزایش کارآیی امنیتی مورد استفاده قرار میگیرند. علاوه بر این، سیمانتک با تزریق تخصص محققان حملات نخبه و تیم جهانی تحلیلگران SOC خود به راهحل EDR، دید بیشتری به تهدیدات و دقت بیشتری در شناسایی حملات ایجاد میکند.
نسخه ۴.۰ EDR سیمانتک شامل:
بیش از ۳۰۰ شناسایی حمله پیشرفته که به آشکارسازی روشهای حمله “استفاده از ابزارهای موجود” کمک میکند، از جمله تحلیلهای سایبری MITRE.
شناسایی مهاجمان فعال با استفاده از تحلیلهای حملات هدفمند که با یادگیری ماشین پیشرفته و اطلاعات جهانی تقویت شدهاند.
کتابخانههای خودکار پیشساخته که به تیمها اجازه میدهد به سرعت عملکردهای امنیتی را آغاز کرده و از روشهای تحقیقاتی کارشناسان بهره ببرند.
ایجاد کتابخانههای سفارشی که روشهای تحقیقاتی پاسخدهندگان با تجربه را ضبط کرده و این کتابخانهها را به عنوان هشدارهای سفارشی اجرا کنند.
غنیسازی MITRE ATT&CK که به آشکارسازی شکافها در چرخه حمله کمک کرده و ریسکهای امنیتی را برجسته میکند و به سادهسازی بهبودهای امنیتی کمک میکند.
ابزارهای پیشرفته برای پیش از حمله و پس از حمله که سطح بهرهوری بالایی را برای تمامی تحلیلگران از سطوح ابتدایی تا تحلیلگران پیشرفته IR تضمین میکنند.
پشتیبانی از گزینههای استقرار انعطافپذیر در ابر، سیستمهای محلی و ترکیبی برای سیستمهای macOS، لینوکس و ویندوز؛ نقطههای پایانی SEP و غیر SEP.
سیمانتک Managed EDR شامل موارد زیر است:
تحلیلگران SOC متخصص سیمانتک به هر مشتری اختصاص داده میشوند، با توجه به صنعت و منطقه، که به پر کردن شکافهای مهارتی درونسازمانی و ارائه حمایتهای حیاتی در ساعات خارج از نوبت کمک میکند و پوشش ۲۴ ساعته و ۷ روز هفته را در شش مرکز SOC جهانی تضمین میکند.
شکار تهدیدات مدیریتشده که حملات مخفیانه و ناشناخته را با تجزیه و تحلیل لاگهای امنیتی از طریق پلتفرم فناوری SOC سیمانتک و تحلیلهای دادههای کلان و همبستگی یافتهها با شبکه جهانی اطلاعات سیمانتک شناسایی میکند.
شکار تهدیدات بر اساس شاخصهای نوظهور حمله و تکنیکها و روشهای تاکتیکی (TTPs) با استفاده از چارچوب MITRE ATT&CK و تحلیلهای انسانی بهبود یافته است.
تحلیلگران SOC سیمانتک شاخصهای حیاتی یک حمله در نقاط پایانی محلی و ابری را به دقت بررسی میکنند و به سرعت بر روی تهدیدات عمل میکنند.
تحلیلگران SOC سیمانتک با استفاده از EDR سیمانتک از طریق یک عامل واحد با حفاظت نقطه پایانی سیمانتک (SEP) به مقابله با حملات میپردازند و نقاط پایانی آلوده را از طریق اقدامات پیشمجاز مهار میکنند.
Managed EDR سیمانتک شامل فرآیند شروع سریع با کیفیت بالا و تعامل مستمر تیم SOC از طریق گزارشهای ماهانه سفارشی، بررسیهای منظم کسبوکار، گزارشهای تهدیدات نوظهور و دسترسی ۲۴ ساعته و ۷ روز هفته از طریق تلفن، پورتال، ایمیل و چت آنلاین است. آلما شبکه نماینده سیمانتک در ایران ، آماده ارائه گزارشات و حملات هکرها و رفع مشکلات شما مشتریان گرامی می باشد.
این راهحلها به سازمانها کمک میکند تا با استفاده از ابزارهای پیشرفته و تیمهای متخصص، تهدیدات سایبری را به طور مؤثرتری شناسایی و به آنها پاسخ دهند و از امنیت سیستمهای خود اطمینان حاصل کنند.