جدول محتوا
Advanced Endpoint Protection (AEP) چیست؟
Advanced Endpoint Protection (AEP)، یک محصول امنیتی Endpoint نسل جدید است که از هوش مصنوعی (AI)، یادگیری ماشین (ML) و قابلیتهای دیگر اتوماسیون هوشمند استفاده میکند. این محصول، حفاظت سایبری جامعی را در برابر انواع تهدیدهای مدرن، ازجمله بدافزارهای بدون فایل، حملههای مبتنیبر اسکریپت و تهدیدهای روز صفرم فراهم میکند.
چرا سازمانها به قابلیتهای AEP نیاز دارند؟
با توجه به افزایش چشمگیر حملههای سایبری و پیچیدگی حملههای مجرمان سایبری، سازمانها باید اقداماتی را بهمنظور کاهش خطر نفوذ و به حداقل رساندن تأثیر چنین حوادثی انجام دهند. ازآنجاکه هر دستگاه متصلی ممکن است بهعنوان درگاه ورود به شبکه عمل کند، AEP یکی از مهمترین عناصر هر استراتژی امنیتی است.
چه سازمانهایی میتوانند از AEP بهرهمند شوند؟
شرکتها در هر اندازهای، با خطر بیشتری از حملههای سایبری و حملههای پیچیدهتر مواجه هستند. حفاظت Endpoint، بهدلیل تغییر به کار از راه دور و افزایش استفاده از دستگاههای شخصی که سطح حملههای سایبری سازمان را بهشدت گسترش میدهند، بسیار مهم است؛ بنابراین سازمانها با هر اندازهای و در هر صنعت و منطقهای باید برای محافظت در برابر این تهدیدهای مدرن، با یک محصول امنیتی Endpoint نسل جدید جامع و سازگار، اقدام کنند.
ویژگیهای متمایزکنندۀ AEP
ابزارهای امنیتی Endpoint رایج، مانند فایروالها و نرمافزارهای آنتیویروس ممکن است تهدیدهای شناختهشده را شناسایی کنند؛ درحالیکه سیستمهای AEP، از فناوریهای پیشرفتهای برای مقابله با تهدیدهای «شناختهنشده» (تهدیدهای جدید، درحال ظهور یا پیچیده) استفاده میکنند.
ویژگیهای متمایزکنندۀ AEP عبارتاند از:
- فناوری پیشرفته: نسل جدید نرمافزارهای حفاظت Endpoint، فعالیت غیرعادی سیستم، تعامل غیرمعمول نرمافزار و رفتار مشکوک کاربر را شناسایی میکنند و از فناوریهای پیشرفته مانند هوش مصنوعی و یادگیری ماشین، برای شناسایی تهدیدهای شناختهشده و شناختهنشده استفاده میکنند.
- تکامل و خودآموزی: الگوریتمهای استفادهشده در AEP، بهمرور زمان، هوشمندتر و متمرکزتر میشوند و به سازمانها این امکان را میدهند که بهصورت پیوسته، وضعیت امنیتی خود را ارتقا دهند و به تهدیدها، با سرعت و بهرهوری بیشتری واکنش دهند.
- یکپارچهسازی: سیستمهای AEP، بهعنوان بخشی از یک استراتژی امنیت سایبری جامع هستند. این پلتفرمها، با ابزارها و روشهای امنیتی دیگری مانند شکار تهدید هدایتشده توسط کاربر انسانی، بهطور هماهنگ کار میکنند تا سطح دید و امنیت بهتری را فراهم کنند و بهرهوری کلی تیم امنیت اطلاعات را افزایش دهند.
سه مزیت AEP
AEP، چندین مزیت مهم را در مقایسه با محصولهای متداول، برای سازمانها فراهم میکند که شامل موارد زیر است:
- حفاظت ارتقایافته: نسل جدید نرمافزارهای حفاظت Endpoint، از فناوریهای پیشرفته مانند هوش مصنوعی و یادگیری ماشین، برای بهبود جمعآوری و تحلیل دادهها، بهبود سطح دید در سیستم، شناسایی بهتر فعالیت غیرمعمول در سیستم و تسریع در واکنش استفاده میکنند.
- دقت و زمان پاسخ بهبودیافته: بهدلیل اینکه سیستم AEP، هوشمند است و قابلیت یادگیری دارد، دقت و صحت محصول، در گذر زمان بهبود پیدا میکند. این بهنوبۀ خود، قابلیت پیشگیری، شناسایی و واکنش سازمان را تقویت میکند.
- تخصیص منابع بهبودیافته: ابزارهای AEP، بخش مهمی از فرایندهای تحلیل، نظارت، شناسایی و واکنش را خودکار میکنند و باعث میشوند اعضای تیم امنیت اطلاعات، بر فعالیتهایی با اولویت بالاتر مانند ارزیابی و رفعاشکال، تمرکز کنند.
قدرت فضای ابری: چگونه ابزارهای AEP ابری محلی، قابلیت امنیتی سازمان را تقویت میکنند؟
برای موفقیت در جلوگیری از نفوذها، بهرهگیری از دادهها و ابزارهای مؤثر، به یک پلتفرم ابری و مقیاسپذیر نیاز است. رویکرد ابری، امکان تجمیع، بهاشتراکگذاری و بهرهبرداری یکپارچه از این اطلاعات را فراهم میکند و قابلیتهایی مانند پیشبینی، پیشگیری، تشخیص، پوشش و پاسخگویی را ارائه میدهد که که به شکست مکرر مهاجمان سایبری منجر میشود.
یک محصول ابری محلی، مزایای زیر را ارائه میدهد:
- حفاظت بهبودیافته: استفاده از فضای ابری، به سازمانها اجازه میدهد مجموعۀ دادههای پویا را در لحظه، جمعآوری کنند و بنیانی را برای تمامی سیستمهای پیشگیری، نظارت، شناسایی و واکنش فراهم کنند.
- قابلیت مقیاسپذیری بهبودیافته: یکی از مزایای طبیعی فضای ابری، قابلیت تنظیم مداوم منابع برای برآورده کردن نیازهای متغیر سازمان است.
- هزینۀ کمتر: پیادهسازی امنیت Endpoint از طریق ابر، بدون نیاز به خرید، نصب، مدیریت و بهروزرسانی سختافزار و نرمافزار اضافی؛ سریعتر، آسانتر و مقرونبهصرفهتر خواهد بود.
- راهاندازی سریعتر: درحالیکه راهاندازی کامل سیستمهای محلی، ممکن است یک سال طول بکشد، محصولهای مبتنیبر فضای ابر را میتوان با موفقیت، در محیطهایی با دهها هزار میزبان، در چند ساعت پیادهسازی کرد.
- کاهش موارد مرتبط با نگهداری و تعمیرات: بهروزرسانی زیرساختها در فضای ابر، با نظارت فروشنده، بهصورت فوری انجام میشود و به ماهها برنامهریزی که ممکن است کارایی حفاظت و منابع تیمهای IT را کاهش دهد، نیازی ندارد.
انتخاب یک محصول AEP
داده، پایۀ هر استراتژی و محصول امنیت سایبری است؛ بااینحال، جمعآوری و تحلیل دادههای باکیفیت و بهموقع، تنها بخشی از محصول امنیتی مؤثر است. جلوگیری از نفوذ، نیازمند استفاده از این دادهها و بهکارگیری بهترین ابزارها، ازجمله هوش مصنوعی و تحلیلهای رفتاری است تا بتوان پیشبینی کرد که تهدید جدی بعدی کجا ظاهر خواهد شد. به همین منظور، تصمیمگیرندگان باید در یک محصول AEP، به دنبال پنج امر مهم باشند:
پیشگیری
همچنان که مهاجمان سایبری، بهطور فزایندهای بر تاکتیکهای پیچیدۀ بدون فایل و بدون نرمافزار متکی هستند، برای محصولات حفاظت از Endpoint، تشخیص تهدیدهای شناختهشده و شناختهنشده اهمیت بیشتری پیدا کرده است. یک محصول AEP، قابلیتهای زیر را دارد:
- استفاده از فناوریهایی مانند یادگیری ماشینی، بهمنظور شناسایی تهدیدهای نوظهور، پیچیده و پیشرفتهای که از سوی محصولهای سنتی مانند فایروالها و نرمافزارهای آنتیویروس شناسایی نمیشوند.
- استفاده از تحلیل رفتاری برای جستوجوی خودکار علائم حمله و مسدود کردن آنها هنگامی که درحال وقوع هستند.
- ادغام با سایر محصولها و توانمندیهای امنیتی، بهمنظور حفاظت از Endpointها در برابر تمامی انواع تهدیدها، برای اینکه یک وضعیت امنیتی جامع و سازگار ایجاد شود.
شناسایی
نفوذگران سایبری، این انتظار را دارند که با تدابیر پیشگیرانهای روبهرو شوند. به همین خاطر مهارتهای خود را برای عبور از این تدابیر، با استفاده از تکنیکهایی مانند سرقت اطلاعات احراز هویت، حملههای بدون فایل یا حملههای زنجیرۀ تأمین نرمافزار پیشرفته بهبود بخشیدهاند.
(EDR) Endpoint Detection and Response، یکی از بخشهای محصول AEP است که دید لازم تیمهای امنیتی را برای شناسایی سریع مهاجمان سایبری فراهم میکند. یک EDR نسل بعدی، باید موارد زیر را در بر داشته باشد:
- با قابلیت پیشگیری، بهگونهای ادغام شود که زمان شناسایی و پاسخ به حملهها بهبود یابد.
- تمام فعالیتهای مربوط به Endpoint را بهطور کامل، در لحظه و بعد از آن ضبط کند. این دادهها باید با اطلاعات تهدید تقویت شوند و در نتیجه، زمینۀ لازم برای پشتیبانی از فعالیت شکار تهدید و تحقیقات فراهم شود.
- با استفاده از خودکارسازی، فعالیتهای مخرب را شناسایی و حملههای واقعی را مشخص کند، بدون اینکه به نوشتن و بهینهسازی قوانین شناسایی برای تیمهای امنیتی نیاز باشد.
- یک راه بهنسبت ساده برای کاهش پیامدهای نفوذ ارائه کند. این وضعیت ممکن است به معنای محدود کردن Endpointهای آسیبپذیر برای متوقف کردن نفوذ باشد یا اینکه به تداوم اقدامات اصلاحی پرداخته شود تا آسیبها، قبل از وقوع خسارت، به حداقل برسند.
مدیریت شکار تهدیدها
یک راهبرد امنیتی مدرن، باید بهطور فعال عمل کند. شکار تهدید پیشگیرانه که از سوی کارشناسان امنیتی انسانی هدایت میشود، یک قابلیت اساسی برای هر سازمانی است که به دنبال بهبود یا دستیابی به تشخیص تهدیدها و پاسخ به رخدادها، در حین وقوع آنهاست. متأسفانه، کمبود منابع و کمبود تخصص امنیتی باعث میشود شکار تهدید پیشگیرانه برای بیشتر سازمانها، در دسترس نباشد. شکار تهدیدهای مدیریتشده، با ایجاد یک تیم شکار متخصص که روی AEP تکیه دارند، این چالش را حل میکند. این تیم، نهتنها فعالیتهای مخربی را پیدا میکند که ممکن است توسط سیستمهای امنیتی خودکار از قلم افتاده باشند، بلکه آنها را بادقت تحلیل میکند و دستورالعملهایی را بهمنظور پاسخگویی به تهدیدها برای مشتریان ارائه میکند.
پیشبینی
Threat Intelligence (هوش تهدید) با توانمندسازی محصولات امنیتی و تیمهای امنیتی، به آنها این امکان را میدهد که تهدیدهای سایبری را که ممکن است بر آنها تأثیر بگذارند، درک و پیشبینی کنند و به تیمهای امنیتی اجازه میدهد تا برای پاسخ به حملههای آینده، روی اولویتبندی و پیکربندی منابع تمرکز کنند. علاوهبر این، Threat Intelligence با ارائۀ اطلاعات مناسب، این امکان را فراهم میآورد که تیمهای امنیتی بتوانند رخدادها را بهتر درک کنند، به آنها پاسخ دهند و بهسرعت برای تحقیقات و رفع مشکلات اقدام کنند. به همین دلیل، کارشناسان امنیتی که به حفاظت Endpoint توجه دارند، باید اطمینان حاصل کنند که صرفاً روی زیرساخت امنیتی تمرکز نمیکنند. Actionable threat intelligence، بهعنوان بخشی از محصول کلی، اهمیت بسیاری دارد. ارائه دادن اطلاعات مناسب به تیمهای امنیتی، تصمیمگیریها و پاسخها را سریعتر و دقیقتر میکند. به همین منظور، شرکتها باید مطمئن شوند که Threat Intelligence، بهسرعت و بدون مشکل، در محصول Endpoint، یکپارچهسازی شده و امکان استفاده از آن، بهصورت خودکار فراهم است.
آمادگی
مدیریت آسیبپذیری و سلامت سیستمها، پایههای اساسی یک شیوۀ امنیتی کارآمد هستند و باید بخشی از هر محصول قوی حفاظت Endpoint باشند. تیمهای IT، باید اقدامات پیشگیرانه را پیادهسازی کنند و اطمینان حاصل کنند که آمادگی لازم برای مقابله با تهدیدهای پیچیدۀ امروزی وجود دارد. این موضوع، شامل موارد زیر میشود:
- مانیتورینگ منظم و پیوسته، بهمنظور شناسایی و اولویتبندی آسیبپذیریها در سیستمهای سازمان
- کشف و نصب وصلۀ امنیتی (Patch) و بهروزرسانی برنامههای آسیبپذیر
- اجرای سلامت سیستمها (IT Hygiene) که شامل الزامات قوی رمزعبور، احراز هویت چندعاملی و سیاستهای قوی «BYOD» است.
- مانیتورینگ پیوستۀ تغییرات در داراییها، برنامهها و کاربران شبکه
چگونه باید به AEP دست پیدا کرد؟
انتخاب محصول مناسب حفاظت Endpoint، براساس نیازهای هر سازمان تعیین میشود؛ بااینحال، بعضی قابلیتهای پایهای وجود دارند که در یک AEP، ضروری هستند. در ادامه، چندین سؤال برای کمک به سازمانها در ارزیابی فروشندگان هنگام انتخاب ابزار AEP آورده شده است:
- آیا این راهکار، بدون نیاز به آمادهسازی قبلی و تنظیمات زیرساخت، بهسرعت قابل بهرهبرداری است؟
- آیا این سامانه میتواند بدون نیاز به دخالت عمدۀ تیم IT، با افزایش تعداد دستگاهها و رویدادها، بهراحتی گسترش یابد؟
- آیا این ابزار، تأثیری روی عملکرد دستگاهها یا شبکه میگذارد؟ در هنگام جستوجو و جمعآوری رویدادها، اثر آن روی دستگاهها چگونه خواهد بود؟
- آیا ابزارAEP قادر است با سرعت بالا و حجم زیاد، دادهها را تحلیل کند و نتایج دقیق و سریعی را ارائه دهد؟
- آیا برای پیادهسازی این راهکار، به سختافزار یا نرمافزار اضافی، نیاز است؟
- زیرساخت ابری این سیستم، توانایی مدیریت چند رویداد در هر ثانیه را دارد؟
این مقاله، ترجمهای از سایت CrowdStrike است.