ואצאפ
כפתור הקפץ למעלה

Detection Endpoint -EDR Response and

במרבית המקרים, הדגש באבטחה הארגונית יהיה על שרתים גדולים בארגון שבהם מבוצעת פעילות חשובה וקריטית, בעוד שעמדות הקצה בארגון (מחשבים ניידים ונייחים) בהם עושים שימוש העובדים, מוזנחים יחסית, מבחינת אבטחה.

התוקפים יודעים זאת, ולכן הם ינסו לטרגט דווקא את עמדות הקצה שבשליטת המשתמשים, אשר פחות מוגנות, במקום לנסות את מזלם עם השרתים הגדולים והמוגנים, ומתחנת הקצה, קל יותר יהיה "מבפנים" לנסות ולהגיע אל השרתים החשובים.

מערכת EDR מתמקדת בעיקר בנקודות הקצה בארגון, ומספקת לארגונים ניתוח מעמיק של כל הפעילות באותן נקודות קצה ומידע לגבי אירועי אבטחה בהן.

פתרונות ה EDR השונים אוספים מידע בצורת לוגים ומאחסנים את אותו המידע על נקודות הקצה על מנת לספק תובנות בזמן אמת לגבי התנהגות חשודה פוטנציאלית ואיומים קיימים.

המטרה העיקרית של מוצר ה EDR היא לזהות ולהגיב לכל פעילות זדונית בנקודות הקצה, כמו למשל הדבקה של תוכנות זדוניות שונות, גישה בלתי מורשית למשאבים והפרות הגנת סייבר בארגון.

הגנת EDR הוא פתרון ניבויי (Predictive) המתמקד בזיהוי איומים מתמשכים ותוכנות זדוניות שטרם נתגלו, אשר נועדו להתחמק מהגנות אבטחה מסורתיות. מרבית פתרונות ה- EDR עושים שימוש במשולב, במודיעין איומי סייבר (Threat Intelligence), ביכולות למידת מכונה (Machine Learning) ובניתוח קבצים מתקדם כדי לסייע באיתור איומים מתקדמים.

פתרונות EDR מתעדים ומאחסנים שאילתות, התנהגויות ואירועי אבטחה, ומאפשרים לצוותי הגנת סייבר לזהות ולנתח פעילויות חשודות לאורך זמן. במקרה של פריצה או זיהוי, EDR יבודד את התוכנה הזדונית ב- Sand Box, וינסה להבין את התנהגות הקוד על ידי ניתוח קרביו. ה- EDR יסייע בביצוע ניתוח מעמיק ויסייע בתגובה מהירה יותר לאירועים.

 

פלטפורמות להגנה על נקודות קצה (EPP): Endpoint Protection Platforms

זיהוי ותגובה של נקודות קצה (EDR): Endpoint Detection and Response

פתרונות אנטי וירוס ואנטי תוכנות זדוניות: Antivirus and Antimalware Solutions

מטרה: EPPs מתמקד במניעה. שואף לעצור איומים לפני שהם יכולים לתקוף על נקודת קצה.

 

מטרה: EDR ממוקד זיהוי ותגובה. נועד לספק נראות לפעילויות נקודות הקצה, לזהות ולחקור התנהגויות חשודות שיכולות להעיד על פריצה.

 

מטרה: אלה תוכננו לזהות, לחסום ולהסיר תוכנות זדוניות (תוכנות זדוניות) מנקודות קצה.

מאפיינים: לעתים קרובות כוללים חבילת כלים כגון אנטי וירוס, אנטי תוכנות זדוניות, חומת אש אישית, מערכת למניעת חדירת מארח (HIPS), בקרת יישומים ועוד.

מאפיינים: כלי EDR כוללים בדרך-כלל ניטור רציף, רישום נתונים, יכולות ציד איומים וניתוחים מתקדמים לאיתור חריגות.

מאפיינים: מבוסס על זיהוי מבוסס חתימות. עם זאת, פתרונות מודרניים משתמשים גם בהיוריסטיקה, בניתוח התנהגותי ובארגז חול.

פעולה: הם מסתמכים בדרך-כלל על זיהוי מבוסס חתימה, ניתוח התנהגותי והיוריסטיקה כדי לזהות ולחסום איומים ידועים ומתעוררים.

 

פעולה: לעתים קרובות הם מסתמכים על דפוסי התנהגות וחריגות, ולא רק על חתימות. כאשר מזוהה איום פוטנציאלי, כלי EDR יכולים לספק נתונים פורנזיים מפורטים כדי לסייע בחקירה ובתיקון האיום.

פעולה: כאשר מתגלה תוכנה זדונית, הפתרון עלול להסגר או למחוק אותו כדי למנוע את הפעלתו או התפשטותו.

פריסה: ניתן לפריסה מקומית או מבוססת ענן, עם קונסולות ניהול מרכזיות למנהלי מערכת.

פריסה: פתרונות EDR מגיעים בדרך-כלל עם לוח מחוונים ניהול מרכזי, המציע תצוגה הוליסטית של תקינות הרשת, עם התראות ודוחות מפורטים.

 

פריסה: יכול להיות מוצרים עצמאיים או חלק מחבילת אבטחה גדולה יותר. לעתים קרובות הם מגיעים עם עדכונים קבועים למסד הנתונים של חתימות תוכנות זדוניות.

היקף: בעוד שמתמקדים במניעת תוכנות זדוניות, פתרונות EPP מודרניים מרחיבים את היקפם כדי לספק הגנה מקיפה יותר מפני קשת רחבה יותר של איומים.

היקף: EDR משלים את EPP על ידי הוספת יותר עומק והקשר לאיתורים, ועוזר לארגונים להגיב לאיומים בצורה מהירה ויעילה יותר.

היקף: בעוד שההתמקדות היא בתוכנות זדוניות, הן עשויות להציע גם רמה מסוימת של הגנה מפני התקפות דיוג, כתובות אתרים זדוניות ועוד.

 

 

ספקי EDR מובילים

רשימת 10 הספקים מובילים של זיהוי ותגובה של נקודות קצה (EDR)

 

  1. CrowdStrike
  2. Carbon Black (now VMware Carbon Black)
  3. SentinelOne
  4. Cylance (Now BlackBerry)
  5. Cybereason
  6. Sophos
  7. Trend Micro
  8. McAfee
  9. Symantec (Now NortonLifeLock)
  10. Kaspersky

הידע הנדרש כדי להפעיל Endpoint protection platforms

הפעלת EPP ביעילות דורשת שילוב של ידע טכני, הבנה מעשית ועדכון מתמשך של מיומנויות בשל נוף האיומים המתפתח. הנה מה שאתה צריך לדעת וללמוד:

 

  • ידע בסיסי:
  • הבנת נקודות הקצה: דע את סוגי נקודות הקצה שאתה מגן עליהם - מחשבים אישיים, שרתים, מכשירים ניידים, מכשירי IoT וכו'.
  • יסודות תוכנה זדונית: הבן את הסוגים השונים של תוכנות זדוניות, כולל וירוסים, תולעים, סוסים טרויאניים, תוכנות כופר ועוד.
  • מערכות הפעלה: הכר את המורכבויות של מערכות ההפעלה העיקריות, במיוחד Windows, MacOS, Linux ומערכות הפעלה ניידות פופולריות.
  • מבוא ל-EPP:
  • EPP לעומת EDR: הבן את ההבדל בין פלטפורמות הגנת נקודות קצה (EPP) ופתרונות זיהוי ותגובה של נקודות קצה (EDR).
  • ארכיטקטורה ורכיבים: הכר את הארכיטקטורה של ה-EPP שבחרת, כולל סוכנים, שרתים, קונסולות ניהול וכו'.
  • מושגי ליבה של EPP:
  • זיהוי מבוסס חתימה: למד כיצד ה-EPP מזהה תוכנות זדוניות על סמך חתימות ידועות.
  • ניתוח התנהגות: הבן כיצד ה-EPP מזהה התנהגויות זדוניות, אפילו מאיומים שלא היו ידועים בעבר.
  • ארגז חול: חלק מה-EPP משתמשים בארגז חול כדי להפעיל קבצים חשודים בסביבה בטוחה כדי לראות אם הם מתנהגים בזדון.
  • תכונות החזרה לאחור: הבן כיצד להחזיר מערכת למצב נקי אם מתגלה פעילות זדונית.
  • ניהול ותצורה:
  • יצירה וניהול של מדיניות: למד ליצור ולנהל מדיניות אבטחה המתאימה לקבוצות שונות של נקודות קצה.
  • עדכונים: ודא שה-EPP שלך מעודכן באופן עקבי עם הגדרות התוכנה העדכניות ביותר ותיקוני תוכנה.
  • דיווח: הכר את ההפקה והפרשנות של דוחות EPP כדי להבין את מצב ההגנה והאיומים הפוטנציאליים.
  • אינטגרציה ותכונות מתקדמות:
  • אינטגרציה עם כלים אחרים: דע כיצד לשלב EPP עם כלי אבטחה ותשתית אחרים להגנה משופרת.
  • עדכוני מודיעין איומים: חלק מה-EPPs יכולים להשתלב עם הזנות מודיעין איומים בזמן אמת לשיפור יכולות הזיהוי.
  • בקרת יישומים: הבן כיצד לרשום יישומים ברשימה הלבנה או ברשימה שחורה כדי לשלוט במה שיכול לפעול בנקודות קצה.
  • תגובה לאירוע:
  • ניהול התראות: הבן כיצד לנהל ולהגיב להתראות שנוצרו על ידי ה-EPP.
  • יכולות משפטיות: לחלק מה-EPPs המתקדמות יש כלים שיסייעו בניתוח משפטי לאחר אירוע אבטחה.
  • למידה מתמשכת:
  • איומים מתעוררים: הישאר מעודכן באיומים מתעוררים וכיצד הם עשויים להשפיע על אבטחת נקודות הקצה.
  • טכנולוגיות חדשות: טכנולוגיות ותכונות EPP ממשיכות להתפתח. הישארות מעודכנת באלה תעזור למקסם את ההגנה.
  • ניסיון מעשי:
  • מעבדות וסימולציות: עסוק במעבדות מעשיות, סימולציות או סביבות בדיקה כדי להכיר את התכונות והפעולות של ה-EPP.
  • הסמכות: שקול לחפש הסמכות הקשורות ל-EPP או אבטחת נקודות קצה רחבה יותר.
  • הבנת רגולציה ותאימות: בהתאם לתעשייה שלך, עשויות להיות תקנות הקשורות לאבטחת נקודות קצה. הבנת התקנות הללו מבטיחה שהארגון שלך ימשיך לעמוד בדרישות.
  • מיומנויות רכות:
  • מיומנויות אנליטיות: היו מוכנים לנתח נתוני איומים, התראות ויומנים.
  • תקשורת: העבר במיומנות כל איומים, ממצאים או המלצות לבעלי עניין טכניים ולא טכניים כאחד.

לבסוף, אם אתה משתמש בפתרון EPP ספציפי (למשל, Symantec, McAfee, Sophos, Crowdstrike), ודא שאתה עובר הכשרה ספציפית של הספק ותשתמש במשאבים שלו. זה יציע תובנות לגבי שיטות העבודה והניואנסים המומלצים של אותה פלטפורמה מסוימת.

 

 

עבור למאמר הבא

 

 

MORE ARTICLES

אבטחת מכשירים ניידים - Mobile Security
עבור למאמר
Protection Endpoint -EPP Platforms
עבור למאמר
תוכנת אנטי-וירוס ותוכנות אנטי-נוזקה
עבור למאמר