EDR Optimum
Kaspersky EDR Optimum چیست و چه کاربردی دارد؟
Kaspersky Endpoint Detection & Response
در دنیای امروزی، کاهش ریسکهای امنیتی موجود در سازمانها و تشخیص حملات هدفمند و دفع آنها از اهمیت بالایی برخوردار است. به همین دلیل کمپانی سرشناس کسپرسکی تصمیم گرفته تا علاوه بر کاهش ریسکهای موجود و مقابله با حملات هدفمند پیشرفته فعلی، راهکاری مقرون به صرفهتر از محصولات تخصصی ارائه شده در حوزه امنیت در سمت کاربران رائه دهد. این راهکار در عین حال که شما را در مقابل حملات امن نگاه میدارد، کاهش هزینههای جاری در جهت امن کردن ساز و کار شما را نیز به ارمغان آورده است. Kaspersky EDR Optimum مقرون به صرفهتر از محصول EDR معمول برای سازمانها است و میتواند تشخیص خودکار حملات را برای شبکه شما به ارمغان بیاورد.
چرا سازمانها به EDR Optimum احتیاج دارند؟
این روزها حملات هدفمند بر خلاف گذشته به شکلی گسترده و در ابعاد مختلف میتوانند شبکه های مختلف را هدف قرار دهند. اکنون دیگر مقصد حملات پیشرفته تنها کشورها یا سازمانهای حساس دولتی نیستند بلکه تمامی شرکتهای بزرگ و کوچک که حتی فکرش را نمیکردند روزی متوجه حملات این چنینی شوند نیز هدف این حملات قرار دارند. طبق گزارشات ثبت شده از هر ۱۰ حمله هدفمند یک حمله موفق آمیز بوده و شبکه را تحت تاثیر قرار داده. همچنین خسارات وارد شده پس از حملات هدفمند پیشرفته به صورت نجومی در حال افزایش است. توجه به این نکته ضروری است که، حملات هدفمند اغلب در جهت وارد کردن خسارتهای مالی به سازمان و با اهداف خاص به سازمان تحمیل میشوند. به گونهای که در حال حاضر حداقل خسارت مالی پس از بروز یک حمله هدفمند به سازمان، چیزی حدود ۱٫۴۱ میلیون دلار در شبکه های کوچک و متوسط و در شبکه های بزرگتر و ارگانهای حساس به ۲٫۷ میلیون دلار میرسد.
از نمونههای این خسارات میتوان به صرف زمان برای تحلیل حمله و هزینه برای دفع حملات، پرداختن غرامتهای سنگین برای رخنه امنیتی ایجاد شده یا نشت اطلاعات، افت سهام سازمان در کارزارهای اجتماعی و… اشاره کرد. در این زمان، به کارگیری ابزار مناسب و تخصصی جهت جلوگیری از تهدیدهای و کاهش خسارت های ناشی از حملات احتمالی در مجموعه اهمیت ویژهای دارد. زیرا منابع سازمانها محدود است. علاوه بر اینکه منابع سختافزاری در مجموعههای مختلف، تعداد نیروهای متخصص در زمینه امنیت سایبری(threat Hunting) و تیم پاسخ به حملات یکی از بزرگترین معضلات موجود در سازمانهای مختلف محسوب میشود.
همچنین ارائه آموزش چنین نیروی متخصصی در مجموعه نیاز به وقت و هزینه زیادی برای سازمان دارد. البته این موضوع مشکل چندان جدیدی نیست و از گذشته تا کنون در ۹۰ درصد مجموعههای مختلف دیده شده است. مطابق گزارشهای ارائه شده پیرامون این موضوع، از هر ۳۳ سازمان، ۲ سازمان، از کمبود نیروی متخصص در زمینه امنیت سایبری رنج میبرند. بهترین راه برای برای مقابله با حملات نوین هدفمند در چنین سازمانهایی، استفاده از راهکار مناسب جهت تشخیص خودکار و همچنین دفع حملات به صورت اتوماتیک است. علاوه بر رفع مشکل نیروی انسانی متخصص، راهکار استفاده شده باید مشکل مربوط به کمبود سخت افزار و منابع در مجموعه را نیز پیشبینی کرده و با حداقل استفاده از منابع بتواند بیشترین بهرهوری را در زمینه تشخیص و دفع حملات هدفمند برای مجموعه به ارمغان بیاورد.
راهکار EDR Optimum چگونه به سازمانها کمک میکند؟
- کاهش ریسکهای امنیتی برای قربانی در مواجهه با حملات هدفمند
- پیادهسازی Security in Depth در سمت کاربران
- تشخیص حملات پیچیده و هدفمند به صورت خودکار
- ارائه ابزار تجزیه و تحلیل به تیم IT سازمان جهت تسهیل در فرآیند تشخیص و دفع حملات هدفمند
- امکان ساخت IOC و اسکن عمیق آنها در سطح شبکه
- ارائه قابلیت پاسخ به حمله با امکان Single Click
- کم هزینه و کاربردی بودن
- کاملا خودکار و همگام شده با محصولات EPP
بازررسی حادثه
بازرسی حوادث امنیتی و تمامی تغییرات فنی و غیر فنی که در نقاط پایانی اتفاق افتاده است.
تشخیص حادثه
تشخیص حوادث امنیتی با استفاده از پایش فعالیتهای نقاط پایانی، تخطی از قوانین و IOCها
جمع آوری داده فارنزیک
جمعآوری دادهها، از کار افتادن RAM، اسنپ شاتهای HDD و مابقی تحلیلها
مهار و پاسخگویی به حادثه
پاک کردن فایلهای آلوده، برگردان (roll-back) به وضعیت قبل از تغییرات و ایجاد و پیادهسازی راهکارهای بهبود
EDR Optimum چگونه در برابر حملات عمل میکند؟
ویژگیهای ممتاز EDR Optimum در برابرحملات عبارتند از:
قدرتمند در تشخیص حملات
اولین قدم در مقابله با تهدیدات سایبری اگاهی از تهدید است و اساس محصول EDR Optimum بر این اصل بنا شده. این راهکار از تکنیکهای تشخیص متنوع در جهت شناسایی حمله استفاده میکند و قادر به شناسایی هر نوع حملهای است. ازجمله این حملات میتوان به موارد زیر اشاره کرد:
- حملات بدون استفاده از بدافزار یا Malwareless
- Lateral Movement
- رفتارهای مشکوک و…
تشخیص بلادرنگ حملات
میدانیم که تنها تشخیص تهدید کافی نیست! بلکه باید بتوانید به موقع و پیش از بروز مخاطره برای سازمان با تهدید شناسایی شده مقابله کنید. راهکار EDR Optimum در هر دو بخش نقاط پایانی و شبکه با تهدیدات و حملات شناسایی شده مقابله میکند. از جمله قابلیتهای این محصول در تشخیص بلادرنگ محصولات میتوان به موارد زیر اشاره کرد:
- ایزوله کردن ایستگاهکاری دارای آلودگی
- اسکن عمیق ایستگاه میزبان از راه دور
- قرنطینه و پاکسازی فایل یا فایلهای آلوده از سطح شبکه
- مسدود کردن Process آلوده شناسایی شده
- جلوگیری از اجرای فرآیند (Execute) در سطح شبکه
خودکارسازی فرآیندهای تجزیه و تحلیل
در زمان بروز یک حمله حتی در صورت داشتن نیروی متخصص در مجموعه، تیم امنیت سایبری مدت زمان زیادی را صرف تجزیه و تحلیل دادههای مختلف در سطح شبکه کند، تا بتواند در جهت تشخیص و مقابله با حمله اقدامات لازم را انجام دهد.این کار نیازمند بیشینه امنیتی و تجربه مواجهه با تهدید یا حمله است. از طرف دیگر، در این زمان تکنیک های تشخیص حمله و مقابله با آن در اسرع وقت نیز از اهمیت ویژهای برخوردار است. با EDR Optimum شما دیگر نیازی به تیم تجزیه و تحلیل و اختصاص زمان زیاد جهت تحلیل دادهها نخواهید داشت. زیرا دادهها به صورت خودکار تحلیل شده و اطلاعات جامعی را در اختیار شما قرار خواهد داد. همه موارد ذکر شده منجر به:
- دید مناسب نسبت به شبکه و حملات
- دریافت اطلاعات کامل از حوادث در شبکه
- تجسم Kill-Chain
- تاریخچه وقایع و تحلیل داده و ریشه یابی علت حملات
- مقابله با حادثه در سریعترین زمان
- طراحی قابلیت مقابله با حمله با یک کلیک(Single Click)
- ایجاد خودکار IOC از یک حادثه همچنین امکان وارد کردن IOC به راهکار
- اسکن میزبان های دارای IOC و پاسخ به تهدیدات
- کارایی بالا به وسیله همگام سازی با راهکارهای موجود
- امنیت بالا بدون هزینه های نجومی و اضافی
- یکپارچه سازی شده با راهکار KES
- قابلیت کنترل بدون نیاز به راه اندازی راهکار و یا سرویس اضافی) از طریق KSC)
برایتان خواهد شد.
در ادامه مشاهده چند نمونه ساده از تشخیص حملات کافی است تا پی ببرید که استفاده از این محصول تا چه اندازه در سازمانها حیاز اهمیت است. زیرا به واسطه استفاده از این راهکار و قابلیتهای طراحی شده در آن، میتوانید در سریعترین زمان و بدون داشتن نیروی متخصص نسبت به تشخیص و مقابله با حملات اقدام کرد.
برتری EDR Optimum نسبت به سایر راهکارها
ویژگیهای متمایز محصول EDR Optimum نسبت به سایر راهکارهای مشابه عبارتند از:
برآورده نمودن انتظارات بازار در آینده
با توجه به پیشرفت و توسعه بدافزارهای مورد استفاده توسط هکرها در دنیا، ابزارهای مورد استفاده جهت تشخیص و دفع حملات نیز نیاز به توسعه دارند. واضح است که در آینده نزدیک تنها ابزارهای End point جهت برقراری امنیت ایستگاههای کاری در مجموعه کافی نخواهد بود! بلکه تمامی برندهای مطرح دنیا باید در آینده نزدیک به ابزار EDR جهت دفع حملات پیشرفته مجهز شوند.
به همین دلیل آزمایشگاههای مطرح در جهت بررسی برندهای مختلف نیز به محصولاتی که از این ویژگی پشتیبانی نمیکنند، امتیازی نداده و از لیست آزمایشگاههای مطرح دنیا همچون Gartner و Av-Comparatives حذف خواهند شد.
کاربردیتر بودن نسبت به محصولات Kata و EDR
محصولات Kata و EDR که پیش از این نیز توسط کسپرسکی ارائه شده بودند، برای متخصصین امنیت اطلاعات و شرکتهای بزرگ طراحی و توزیع شده بود. سازمانهایی که از این ابزار استفاده میکردند باید دارای تیم تخصصی تحلیل بدافزار باشند تا بتوانند از ابزار مذکور استفاده نمایند. در حال حاضر حملات تنها مربوط به سازمانهای بزرگ نبوده و شبکههای کوچکتر را نیز تحت تاثیر قرار میدهند به همین منظور کسپرسکی راهکار EDR Optimum را برای استفاده از تمامی مجموعههای مختلف تهیه و توزیع نموده است.
نیازمندی سخت افزاری پایین نسبت به راهکار EDR و KATA معمول
بر خلاف محصولات Kata و EDR، راهکار EDR Optimum نیازمندی سخت افزاری حداقلی دارد و پیش نیازهای سخت افزاری بالا در این راهکار حذف شدهاند.
پیادهسازی EDR Optimum در سازمانها
مزایای پیادهسازی این محصول در سازمانها عبارتند از:
راهکار پیشنهادی بر اساس سطح مشتری
با توجه به اینکه سازمانها از نظر تعداد و سطح به سه دسته تقسیم بندی میشوند، بر همین اساس پیشنهاد شرکت پارس پویا بر اساس سطح مشتری و تعداد کاربران به شرح زیر است.
سطح۱: سازمانهای کوچک
شبکه در این سطح اغلب توسط یک نفر از نیروهای فناوری اطلاعات اداره میشود و اغلب موارد مربوط به پشتیبانی نرم افزار و سخت افزار، امنیت و… بر عهده یک نفر است. معمولا در این مجموعهها تیمی تحت عنوان تیم تحلیل و تشخیص بدافزار وجود ندارد و یک نفر مسئول تمام کارها است. برای مشتریان این سطح اغلب محصول EPP (End Point Protection ) پیشنهاد میشود. از قابلیت های موجود در این محصول میتوان به موارد زیر اشاره کرد:
- قدرت تشخیص بالا (High detection rate)
- پیشگیری خودکار (Automatic prevention)
- اصلاح خودکار (Automatic remediation)
سطح ۲: سازمانهای متوسط
در این نوع از سازمانها معمولا یک یا چند نفر از متخصصین و کارشناسان ارشد در حوزه فناوری اطلاعات در نقش هدایت کننده شبکه فعالیت میکنند و موارد امنیتی مجموعه را انجام میدهند. به این گروه از مشتریها محصول EDR در کنار محصول EPP پیشنهاد میشود. این گروه علاوه بر قابلیتهای ارائه شده برای مشتریان سطح یک موارد زیر را نیز دریافت میکنند:
- تشخیص پیشرفته (Advanced detection)
- تجزیه و تحلیل عمیق دادهها(Data for root cause analysis)
- پاسخ در زمان واقعی(Real-time response)
- پیشگیری پیشرفته (Advanced prevention)
سطح ۳: سازمانهای بزرگ
شبکه های بزرگ معمولا دارای تیم تجزیه تحلیل و امنیت شبکه هستند. اغلب در این مجموعهها تیمهای مختلف SOC، Cert، CSIRT و… به صورت تخصصی در حال مدیریت شبکه و بررسی در لحظه وقایع ثبت شده در مجموعه هستند. محصول XDR برای استفاده در این مجموعهها مناسب است. این مشتریان علاوه بر موارد ارائه شده برای سطح اول و دوم، قابلیتهای زیر را نیز دریافت میکنند:
- دید کامل در شبکه (Completevisibility)
- ابزار تحلیل و تشخیص قدرتمند
- تحلیل بر اساس وقایع گذشته (Retrospectiveanalysis)
- شکار تهدیدهای احتمالی(Prospectivethreat hunting)
- دسترسی به سامانه ThreatIntelligence کسپرسکی
‚به طور کلی راهکار EDR در سه حالت مختلف ارائه شده است:
- EDR Optimum
- EDR Optimum+ KSB
- EDR Expert(XDR)
مجوز راهکار
به طور کلی مجوز راهکار بر اساس تعداد Node در دو حالت ارائه میگردد:
Base
این نوع از مجوز علاوه بر قابلیت های راهکار EDR، قابلیتهای نسخه Advance کسپرسکی برای ایستگاههای کاری را نیز دارا است. این نسخه از راهکار قابلیت استفاده روی دستگاههای WorkStation، Servers و موبایل را دارد.
Add-On
این نوع از مجوز برای مشتریانی استفاده میشود که در حال استفاده از نسخه های مختلف End point هستند. پس از خرید و اضافه کردن مجوز در کنسول مرکزی نرم افزار کسپرسکی، قابلیتهای نسخه EDR روی ردههای مختلف Select، Advanced و Total فعال میشود. این نسخه از راهکار روی دستگاههای Workstation، Server را دارد.
راه اندازی راهکار
برای پیادهسازی راهکار EDR به سخت افزار مجزا و یا سرور جداگانه از KSC در مجموعه نیازی ندارید! زیرا به طور کلی مراحل راهاندازی راهکار شامل موارد زیر میشود:
- نصب وراه اندازی کنسول مدیریت مرکزی کسپرسکی به همراه وب کنسول(KSC + Web Console)
- نصب وراه اندازی پلاگین نرم افزار KEA(Kaspersky End Point Agent) این ابزار نرم افزار اصلی راهکار EDR هستند که برای فعالسازی و مدیریت ویژگیهای راهکار EDR روی سیستم کاربران نصب میشود. (نرم افزار بسیار کم حجم و کوچک میباشد.)
- نصب وراه اندازی آنتی ویروس کسپرسکی نسخه ۱۱٫۴ به همراه KEA
- فعالسازی KEAبواسطه مجوز خریداری شده توسط سازمان
- ساخت قوانین KEAجهت مدیریت نرم افزار مذکور روی سیستم کاربر
- ساخت گزارشهای مورد نیاز جهت بررسی گزارش آلودگیها
نرم افزارهای نصب شده روی سیستم کاربر
به طور کلی پس از خرید راهکار EDR سه نرم افزار روی سیستم کاربران نصب خواهد شد که عبارتند از:
- Kaspersky Network Agent (رابط سیستم کاربر با کنسول مرکزی جهت مدیریت ابزار KESB)
- Kaspersky End Point Security (نرم افزار آنتی ویروس جهت برقراری امنیت روی سیستم کاربر)
- Kaspersky End Point Agent (رابط سیستم کاربر با کنسول مرکزی جهت مدیریت یابزار EDR)
چرا EDR Optimum را از پارس پویا تهیه کنیم؟
این مجموعه بیش از ۱۰ سال است که در زمینه امن سازی نقاط پایانی در مجموعههای مختلف فعالیت میکند. همچنین پارس پویا گواهینامه پلاتینیوم محصولات کسپرسکی ارائه دهنده محصولات و راهکارهای جدید کسپرسکی در جهت شناسایی حملات هدفمند را دارد. در صورتی که نیاز به آزمایش و شناخت بیشتر این محصول داشته باشید، تیم تخصصی و مجرب پارس پویا آماده راهاندازی راهکار فوق به صورت آزمایشی در مجموعه شما خواهد بود. در نهایت با وجود ارائه خدمات پشتیبانی ۲۴ ساعته در هفت روز شبانه روز، از بابت رفع مشکلاتی احتمالی راهکار در طول مدت زمان استفاده آسوده خاطر خواهید بود.