وبلاگ

عبور از EDR سنتی، نیازهای جدید، رویکردهای جدید برای مقابله با تهدیدات سایبری

در دنیای امروز که تهدیدات سایبری به سرعت در حال تکامل هستند، سازمان‌ها به رویکردهای جدیدی برای مقابله با این تهدیدات نیاز دارند. امنیت سایبری اغلب به عنوان یک مسابقه تسلیحاتی بین مدافعان و مهاجمان توصیف می‌شود، جایی که هر طرف به دنبال برتری بر دیگری است. این رقابت در پنج سال اخیر به وضوح نمایان شده است، چرا که سازمان‌ها به سرعت به راه‌حل‌های شناسایی و پاسخ به تهدیدات در نقطه پایانی (EDR) روی آورده‌اند.

 

ظهور EDR: پاسخی به تهدیدات پیچیده‌تر

راه‌حل‌های EDR به عنوان پاسخی به افزایش پیچیدگی تهدیدات سایبری از سوی گروه‌های مهاجم ظاهر شدند. این گروه‌ها با بهره‌گیری از ابزارهای موجود بر روی سیستم‌های کامپیوتری و استفاده از اسکریپت‌ها و کدهای اجرایی که مستقیماً در حافظه اجرا می‌شوند، به انجام حملات هدفمند روی آوردند. این روش که به “استفاده از ابزارهای موجود” مشهور است، به مهاجمان این امکان را می‌دهد تا در محیط‌های کاربری نفوذ کرده و بدون ایجاد فایل‌های اضافی، حرکات جانبی خود را انجام دهند.

 

چالش‌های EDR سنتی

راه‌حل‌های سنتی EDR توانسته‌اند تا حدی دید بیشتری به تهدیدات مخفیانه ایجاد کنند و برخی از جنبه‌های پاسخ به حملات را بهبود بخشند. اما در عین حال، این راه‌حل‌ها نتوانسته‌اند با چندین چالش کلیدی مقابله کنند. سازمان‌ها اکنون با هجوم گسترده‌ای از حملات هدفمند روبرو هستند که نیازمند رویکردی کامل‌تر برای شناسایی، تحقیق و پاسخ به تهدیدات هستند.

 

نیاز به شناسایی واقعی و کارآمد

EDR‌های سنتی اغلب داده‌های فراوانی را در اختیار تحلیلگران قرار می‌دهند تا آنها خودشان از بین کوه‌های اطلاعات سایبری به دنبال تهدیدات بگردند. اما حتی بهترین شکارچیان تهدید نیز نیاز به حمایت دارند، از جمله شناسایی تکنیک‌های پیشرفته حمله، تحلیل‌هایی که فعالیت‌های غیرعادی و رفتارهای پرت را کشف کنند، و تحلیل‌های مبتنی بر هوش مصنوعی که از داده‌های جمع‌آوری‌شده از هزاران مشتری در میلیون‌ها نقطه پایانی بهره می‌برند. ابزارهایی که رویدادها و حوادثی با نرخ بالای هشدارهای نادرست تولید می‌کنند، منابع محدود تیم‌های امنیتی را به تحلیل‌برده و آنها را خسته می‌کنند.

 

خودکارسازی وظایف تکراری

متخصصان پاسخ به حوادث، شکارچیان تهدید و کارشناسان جرم‌شناسی سایبری باید قادر باشند تا بهترین شیوه‌ها را خودکار کنند، مشابه آنچه در مخزن تحلیل‌های سایبری MITRE شرح داده شده است. علاوه بر این، تیم‌های SOC باید بتوانند کتابخانه‌های خود از گردش کارهای تحقیقاتی را بسازند تا تمامی پاسخ‌دهندگان از تخصص بهترین تحلیلگران SOC بهره‌مند شوند. خودکارسازی وظایف تکراری می‌تواند بهره‌وری کل تیم را افزایش دهد.

 

بحران کمبود نیروی انسانی

یکی دیگر از چالش‌های عمده‌ای که سازمان‌ها با آن روبرو هستند، کمبود شدید نیروی انسانی متخصص در حوزه امنیت سایبری است. این مشکل باعث می‌شود که استخدام و نگهداشت نیروهای متخصص شکار تهدید و تحلیلگر بسیار دشوار باشد. توانایی تقویت آسان تیم‌های SOC موجود و افزودن تخصص‌های حیاتی برای پر کردن شکاف‌های مهارتی و تضمین پوشش ۲۴ ساعته در ۷ روز هفته، به حفظ نیروها کمک کرده و به تیم‌های امنیتی اجازه می‌دهد تا بر روی حوادث و ابتکارات با اولویت بالا تمرکز کنند. بسیاری از سازمان‌ها نیز خواستار داشتن یک راه‌حل EDR کاملاً مدیریت‌شده با تحلیلگران SOC اختصاصی هستند. در این زمینه، مقیاس و تجربه اهمیت دارد. پشتیبانی جامع از یک ارائه‌دهنده Managed EDR نیازمند تیمی جهانی از صدها تحلیلگر SOC با آموزش‌های گسترده و تخصص بالا در مناطق و صنایع مختلف است. این تخصص عمیق باعث افزایش کارآیی شکار تهدیدات، تحقیقات جرم‌شناسی و سرعت پاسخ به حملات نوظهور و خارج از ساعات کاری می‌شود.

 

پیش از حمله یا پس از حمله؟ چرا نه هر دو؟

ابزارهای EDR سنتی اغلب تمرکز خود را یا بر روی قابلیت‌های پیش از حمله یا پس از حمله قرار داده‌اند، اما سازمان‌ها به هر دو مورد نیاز دارند تا با تهدیدات فعلی و نوظهور مقابله کنند. مشتریان نیازمند یک ابزار EDR و یک سرویس EDR مدیریت‌شده هستند که توسط ابزارهای پیشرفته برای سناریوهای پیش از حمله و پس از حمله تقویت شده باشد.

 

راه‌حل EDR سیمانتک

سیمانتک با یکپارچه‌سازی یک محصول EDR پیشرفته و یک سرویس EDR مدیریت‌شده به تمامی این چالش‌ها پاسخ می‌دهد. این راه‌حل‌ها به راحتی توسط سازمان‌ها برای افزایش کارآیی امنیتی مورد استفاده قرار می‌گیرند. علاوه بر این، سیمانتک با تزریق تخصص محققان حملات نخبه و تیم جهانی تحلیلگران SOC خود به راه‌حل EDR، دید بیشتری به تهدیدات و دقت بیشتری در شناسایی حملات ایجاد می‌کند.

 

نسخه ۴.۰ EDR سیمانتک شامل:

 

بیش از ۳۰۰ شناسایی حمله پیشرفته که به آشکارسازی روش‌های حمله “استفاده از ابزارهای موجود” کمک می‌کند، از جمله تحلیل‌های سایبری MITRE.

شناسایی مهاجمان فعال با استفاده از تحلیل‌های حملات هدفمند که با یادگیری ماشین پیشرفته و اطلاعات جهانی تقویت شده‌اند.

کتابخانه‌های خودکار پیش‌ساخته که به تیم‌ها اجازه می‌دهد به سرعت عملکردهای امنیتی را آغاز کرده و از روش‌های تحقیقاتی کارشناسان بهره ببرند.

ایجاد کتابخانه‌های سفارشی که روش‌های تحقیقاتی پاسخ‌دهندگان با تجربه را ضبط کرده و این کتابخانه‌ها را به عنوان هشدارهای سفارشی اجرا کنند.

غنی‌سازی MITRE ATT&CK که به آشکارسازی شکاف‌ها در چرخه حمله کمک کرده و ریسک‌های امنیتی را برجسته می‌کند و به ساده‌سازی بهبودهای امنیتی کمک می‌کند.

ابزارهای پیشرفته برای پیش از حمله و پس از حمله که سطح بهره‌وری بالایی را برای تمامی تحلیلگران از سطوح ابتدایی تا تحلیلگران پیشرفته IR تضمین می‌کنند.

پشتیبانی از گزینه‌های استقرار انعطاف‌پذیر در ابر، سیستم‌های محلی و ترکیبی برای سیستم‌های macOS، لینوکس و ویندوز؛ نقطه‌های پایانی SEP و غیر SEP.

سیمانتک Managed EDR شامل موارد زیر است:

تحلیلگران SOC متخصص سیمانتک به هر مشتری اختصاص داده می‌شوند، با توجه به صنعت و منطقه، که به پر کردن شکاف‌های مهارتی درون‌سازمانی و ارائه حمایت‌های حیاتی در ساعات خارج از نوبت کمک می‌کند و پوشش ۲۴ ساعته و ۷ روز هفته را در شش مرکز SOC جهانی تضمین می‌کند.

شکار تهدیدات مدیریت‌شده که حملات مخفیانه و ناشناخته را با تجزیه و تحلیل لاگ‌های امنیتی از طریق پلتفرم فناوری SOC سیمانتک و تحلیل‌های داده‌های کلان و همبستگی یافته‌ها با شبکه جهانی اطلاعات سیمانتک شناسایی می‌کند.

شکار تهدیدات بر اساس شاخص‌های نوظهور حمله و تکنیک‌ها و روش‌های تاکتیکی (TTPs) با استفاده از چارچوب MITRE ATT&CK و تحلیل‌های انسانی بهبود یافته است.

تحلیلگران SOC سیمانتک شاخص‌های حیاتی یک حمله در نقاط پایانی محلی و ابری را به دقت بررسی می‌کنند و به سرعت بر روی تهدیدات عمل می‌کنند.

تحلیلگران SOC سیمانتک با استفاده از EDR سیمانتک از طریق یک عامل واحد با حفاظت نقطه پایانی سیمانتک (SEP) به مقابله با حملات می‌پردازند و نقاط پایانی آلوده را از طریق اقدامات پیش‌مجاز مهار می‌کنند.

Managed EDR سیمانتک شامل فرآیند شروع سریع با کیفیت بالا و تعامل مستمر تیم SOC از طریق گزارش‌های ماهانه سفارشی، بررسی‌های منظم کسب‌وکار، گزارش‌های تهدیدات نوظهور و دسترسی ۲۴ ساعته و ۷ روز هفته از طریق تلفن، پورتال، ایمیل و چت آنلاین است. آلما شبکه نماینده سیمانتک در ایران ، آماده ارائه گزارشات و حملات هکرها و رفع مشکلات شما مشتریان گرامی می باشد.

 

این راه‌حل‌ها به سازمان‌ها کمک می‌کند تا با استفاده از ابزارهای پیشرفته و تیم‌های متخصص، تهدیدات سایبری را به طور مؤثرتری شناسایی و به آنها پاسخ دهند و از امنیت سیستم‌های خود اطمینان حاصل کنند.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

شش + 14 =