حماية شبكات الشركات: Kaspersky Endpoint Detection and Response (Kaspersky EDR)
يُعد Kaspersky EDR حلًا أمنيًا إلكترونيًا لحماية أنظمة تكنولوجيا المعلومات في الشركات، فهو يضيف قدرات الكشف والاستجابة في نقاط النهاية إلى أمن تكنولوجيا المعلومات:
- استخراج أنماط الهجمات المعقدة تلقائيًا ويدويًا من الأحداث على عدة مضيفين.
- الرد على الهجمات من خلال عرقلة تقدمها.
- منع الهجمات المستقبلية.
الحاجة إلى الكشف والاستجابة في نقاط النهاية
منذ وقتٍ ليس ببعيد، كان الهجوم الإلكتروني التقليدي يستخدم برمجيات ضارة كبيرة، وكان يستهدف نقاط نهاية منفصلة ويبدأ العمل داخل أجهزة كمبيوتر كل جهاز على حدة. هجمات البرمجيات الضارة الضخمة تلقائية، فهي تلتقط الضحايا العشوائية عبر رسائل البريد الإلكتروني الجماعية ومواقع التصيّد الاحتيالي وشبكات Wi-Fi الاحتيالية، وغير ذلك. وكان العلاج هو حلول حماية نقطة النهاية التي من شأنها حماية المضيفين من البرمجيات الضارة الضخمة.
وفي مواجهة الاكتشاف الفعّال القائم على برنامج حماية نقطة النهاية، تحول المهاجمون إلى تكتيك أكثر تكلفة ولكنه أكثر فاعلية، ألا وهو شن هجمات موجهة ضد ضحايا معينين. وبسبب التكلفة العالية، عادة ما تستخدم الهجمات المستهدفة ضد الشركات بهدف تحقيق ربح كبير. الهجمات المستهدفة تتضمن الاستكشاف، وهي مصممة لاختراق نظام تكنولوجيا المعلومات الخاص بالضحية والتهرب من سبل حمايته؛ وسلسلة التدمير التي تتسبب فيها الهجمات تصل إلى العديد من مضيفي نظام تكنولوجيا المعلومات.
ونظرًا للتنوع الكبير في الأساليب وطبيعتها التفاعلية ذات القيادة البشرية، يمكن للهجمات المستهدفة التهرب من الأمن القائم على برنامج حماية نقطة النهاية:
- تعتمد منتجات حماية نقطة النهاية على ما تراه في نقطة نهاية واحدة، ولكن الهجمات المتقدمة تعمل على العديد من المضيفين، وبالتالي تقوم بأعمال غير مشبوهة نسبيًا على نقطة نهاية أخرى. وحتى إذا اكتشف نظام حماية نقطة النهاية لدى المضيف بعضًا من هذه الإجراءات، يطور المهاجمون في نهاية المطاف سلسلة تدمير متعددة المضيفين، وتتناثر آثار مثل هذه الهجمات بين العديد من المضيفين.
- بما أن قرار حماية نقطة النهاية يصدر تلقائيًا، فإن المهاجمين قادرون على التحقق من أن الهجوم لم يتم اكتشافه بواسطة حماية نقطة النهاية أو أي حلول أمنية تلقائية أخرى لدى المضيف المستهدف. يحتفظ المهاجمون بمزارع كاملة من برامج الحماية من البرمجيات الضارة من أجل هذه الحالة فقط.
- لا يستطيع الموردون زيادة الحماية من خلال جعل حلول برنامج حماية نقطة النهاية أكثر ميلًا إلى الشك بسبب مخاطر حدوث النتائج الإيجابية الزائفة. لهذا حتى عندما يحدث شيء غامض على مضيف قد يكون جزءً من سلسلة تدمير أو عمل قانوني، فإن برنامج حماية نقطة النهاية مصمم بحيث لا يتدخل.
ولمعالجة الهجمات المستهدفة، يقدم موردو الأمن الإلكتروني حلول حماية نقطة النهاية باستخدام مزايا الكشف والاستجابة في نقطة النهاية:
- توفير رؤية مركزية للأحداث على العديد من المضيفين للارتباط اليدوي والتلقائي لديهم
- تزويد موظفي الأمن ببيانات كافية عن الأحداث
- إنشاء أدوات للاستجابة والمعالجة ومن ثم التصدي للهجمات التي يقودها البشر باستخدام الدفاع الإلكتروني بقيادة البشر
الكشف والاستجابة في نقطة النهاية في الأساس يضيف طبقات جديدة من حماية نقطة النهاية ضد الهجمات المتقدمة.
إدخال Kaspersky EDR إلى الأمن
Kaspersky EDR يضيف قوة الحماية إلى حل حماية نقطة النهاية القائم، ويتخصص حل حماية نقطة النهاية في مقاومة الهجمات الجماعية البسيطة (الفيروسات وأحصنة طروادة وما إلى ذلك)، بينما يركز حل EDR على الهجمات المتقدمة. وباستخدام هذا الحل، تعرض التحليلات نشاط البرمجيات الضارة بالإضافة إلى الأحداث التي تتضمن برامج مشروعة في سياق هجوم، وتكشف عن سلسلة التدمير بالكامل.
يندمج Kaspersky EDR بالكامل مع Kaspersky Enterprise Security EPP، ويمكنه العمل مع حلول حماية نقطة النهاية التي يوفرها موردون آخرون. يضيف حل EDR ما يلي:
- رؤية الأحداث متعددة المضيفين: تجميع آثار الهجوم المبعثرة حول نظام تكنولوجيا المعلومات
- الاكتشاف باستخدام الطرق "الثقيلة" التي تتطلب الكثير من قوة الحوسبة غير المتوفرة لنقاط النهاية العادية للمستخدم نظرًا لتأثيرها المحتمل على سير عمل المستخدم العادي: المعالجة المسبقة المتقدمة وآلية تحديد الوصول ونماذج التعلم الآلي الثقيلة، بما في ذلك التعلم العميق وغيره. الطرق الثقيلة توفر إمكانية اكتشاف ذي جودة أفضل
- أدوات الخبراء للتحقيق في الحوادث وتقصي أثر التهديدات بصورة استباقية والاستجابة للهجمات
تصميم Kaspersky EDR
العناصر
- أداة استشعار نقطة النهاية: متكاملة مع Kaspersky Endpoint Security في عميل واحد أو مستقل (للنشر مع حلول حماية نقطة النهاية الأخرى)
- الخوادم داخل الشركة (تخزين الأحداث، والمحرك التحليلي، ووحدة الإدارة، وآلية تحديد الوصول (اختيارية)). يحافظ الموقع المحلي على التحكم الكامل في بيانات الحدث للعميل
- سحابة KSN أو سحابة KPSN الخاصة لإثراء الاكتشاف في الوقت الحقيقي والاستجابة الفورية للتهديدات الجديدة
EDR كجزء من آلية Kaspersky Threat Management and Defense
يعمل كل من Kaspersky EDR وKaspersky Anti Targeted Attack Platform وKaspersky CyberSecurity Service (KCS) على توفير حماية متقدمة ومعلومات عن التهديدات:
- Kaspersky Anti Targeted Attack Platform يضيف ميزة الاكتشاف عبر الشبكة والويب والبريد الإلكتروني، مما يوسع نطاق اكتشاف الهجمات المستهدفة في الحل ليشمل مستوى "نقطة النهاية + الشبكة".
- KCS يضيف دعمًا من الخبراء لفريق أمن تكنولوجيا المعلومات للعملاء، يتمثل في التدريب وتوفير بيانات معلومات التهديدات وإدارة Kaspersky لمركز عمليات الأمن، بالإضافة إلى خيارات أخرى.
التكامل مع أنظمة معلومات الأمان وإدارة أحداثه (SIEM)
يمكنك دمج حل EDR الخاص بنا مع أنظمة معلومات الأمن وإدارة أحداثه من أطراف خارجية (يتم تصدير بيانات الكشف بتنسيق الحدث الشائع (CEF)).
المزايا
تجميع أحداث ورؤية بشكل متواصل ومركزي. يجمع حل EDR الأحداث من المضيفين في الوقت الحقيقي:
- يجمع حل EDR الأحداث بشكل مستمر، بغض النظر عن أسبابها أو مدى الشك فيها، وهذا يجعل حل EDR أكثر فاعلية ضد البرمجيات الضارة غير المعروفة. يمكننا كذلك تصميمه لتجميع الأحداث المشبوهة أو البرمجيات الضارة فقط، ومن ثم يمكن توفير مساحة القرص في العقدة المركزية (كما تفعل بعض حلول EDR الأخرى)، ولكن في هذه الحالة لن يتم تسجيل الأفعال المشروعة التي يرتكبها المهاجمون الذين يملكون بيانات الاعتماد المسروقة، ولن تؤدي التهديدات الجديدة غير المعترف بها إلى إطلاق التسجيل أيضًا.
- تقوم العقدة المركزية لحل EDR بتحميل تغذية الأحداث من المضيفين إلى تخزينها على العقدة المركزية. بعض حلول EDR الخاصة بموردين آخرين تخزن الأحداث مباشرة على المضيفين. وعندما تحتاج العقدة المركزية إلى بيانات عن الأحداث، فإنها تطلب معلومات السجل من المضيفين. يوفر هذا التصميم مساحة على القرص في العقدة المركزية، ولكنه يجعل البحث أبطأ ويعتمد على الاتصال، كما يجعل رؤية المضيف معتمدة على توفر المضيف في الشبكة.
الاكتشاف التلقائي. يتم الكشف عن التهديدات المرئية في نطاق مضيف واحد بواسطة Kaspersky Endpoint Security من خلال الكشف التجريبي والسلوكي والسحابي (أو من خلال تطبيق مضيف حماية نقطة نهاية آخر). وفوق كل ذلك، يضيف حل EDR طبقات من الاكتشاف ذي نطاق المضيف المتعدد استنادًا إلى ارتباط تغذية الأحداث من مضيفين متعددين.
إلى جانب الاكتشاف المستند إلى الأحداث، وكلاء مضيف حل EDR يرسلون تلقائيًا عناصر أو أجزاء من الذاكرة مشبوهة إلى العقدة المركزية لإجراء تحليل أعمق بواسطة خوارزميات غير متوفرة لطاقة الحوسبة العادية لدى المضيف، بما في ذلك المعالجة المسبقة الثقيلة والمناهج التجريبية وخوارزميات التعلم الآلي وآلية تحديد الوصول والكشف الموسّع عن السحابة والكشف استنادًا إلى موجز بيانات التهديدات من Kaspersky، وقواعد الاكتشاف المخصصة (YARA).
الاكتشاف اليدوي يعرف كذلك بأنه تقصي أثر التهديدات، وهو البحث الاستباقي من قبل المشغل عن آثار الهجمات والتهديدات. يتيح لك حل EDR "البحث" في التاريخ الكامل لأحداث العديد من المضيفين، والتي يتم تجميعها في المساحات التخزينية:
- يمكنك كذلك البحث في المساحات التخزينية عن آثار الهجمات والأحداث المشبوهة وربطها معًا لإعادة بناء سلسلة التدمير المحتملة. استعلامات البحث في قاعدة البيانات تدعم عوامل التصفية المركبة (حسب المضيفين وتقنية الاكتشاف والوقت والحكم ومستوى الخطورة، وما إلى ذلك).
- يمكنك تحميل مؤشرات خطر (IoC) جديدة إلى حل EDR واكتشاف التهديدات المستمرة غير المكتشفة سابقًا.
- يمكنك إرسال الكائنات المشتبه فيها يدويًا لتحليلها بشكل أعمق من خلال طرق الاكتشاف "الثقيلة".
- إذا مكنت الشركة خدمة KL TIP (النظام الأساسي للتحليل الذكي للتهديدات من Kaspersky)، يمكنك طلب معلومات حول العناصر الموجودة في قاعدة بيانات التهديدات.
الاستجابةهي الإجراءات التي يمكن للمشغل اتخاذها عندما يكتشف وجود تهديد. وتشمل هذه الإجراءات ما يلي:
- التحقيق في الحادث وإعادة بناء الأحداث في سلسلة التدمير.
- العمليات البعيدة على المضيف، بما في ذلك معالجة الملفات أو حذفها أو عزلها، وتشغيل البرامج والإجراءات الأخرى.
- احتواء التهديد المكتشف بواسطة الرفض القائم على التجزئة لتنفيذ الكائنات.
- •التراجع عن التغييرات المدخلة يعتمد على المضيفين الناتجة عن نشاط البرمجيات الضارة على حل حماية نقطة النهاية. على سبيل المثال: يتراجع Kaspersky Endpoint Security في هذه الإجراءات التي نفذتها البرمجيات الضارة.
الوقايةهي السياسات التي تقيد أنشطة الكائنات في نقاط النهاية:
- سياسات الرفض المستندة إلى التجزئة تمنع تشغيل ملفات معينة (الملفات التنفيذية المحمولة والبرامج النصية ومستندات Office وملفات PDF) عبر نظام تكنولوجيا المعلومات بالكامل، مما يسمح لك بمنع الهجمات المنتشرة حاليًا في جميع أنحاء العالم.
- لكشف التلقائي عن الكائنات أو عناوين URL على الأجهزة المضيفة التي تم الكشف عنها مسبقًا في وضع الحماية كبرمجيات ضارة.
- التحكم في التطبيقات (القوائم البيضاء، والتحكم في بدء التشغيل، والتحكم في الامتيازات) وسياسات الوصول إلى الشبكة، والوصول إلى محرك أقراص USB، وغيرها يعتمدون على حل حماية نقطة النهاية. ويوفر حماية نقطة النهاية من Kaspersky Endpoint Security كل مزايا الوقاية هذه.
تعتمد إدارة حل EDR من Kaspersky على الأدوار وتوفر إدارة سير العمل المتمثلة في تعيين التنبيهات، وحالة تنبيهات التتبع، ومعالجة تنبيهات التسجيل. يتم تكوين إشعارات البريد الإلكتروني بمرونة وفقًا لأنواع التنبيهات والمجموعات الخاصة بها (نوع الاكتشاف والخطورة، وما إلى ذلك).
حالة الاستخدام: الكشف عن سلسلة التدمير
يرسل وكلاء مضيف EDR الأحداث بشكل روتيني إلى خادم EDR الداخلي.
- يرتبط أحد الأحداث التي يتم تلقيها على الخادم بتنفيذ ملف ذي تكرار فريد في نظام تكنولوجيا المعلومات في الشركة (بالحكم على أساس تجزئة الملف). الملف يحمل أيضًا سمات أخرى مشكوكًا فيها.
- يجري الخادم تحقيقًا أعمق. يقوم بتنزيل الملف نفسه لإجراء التحليل التلقائي بواسطة محركات EDR التحليلية. يُوضع الملف في قائمة انتظار لإجراءات التحليل التلقائي.
- تكشف آلية تحديد الوصول عن سلوك الملف كبرنامج ضار وتنبه المشغل.
- يبدأ المشغل في إجراء تحقيق يدوي ويفحص الأحداث التي قد تكون مرتبطة بالإصابة:
أ. باستخدام أدوات المسؤول القياسية، يتضح أن الأجهزة المصابة تم الوصول إليها من خادم ويب خاص بالشركة، والذي يتوفر من الإنترنت. يتم العثور على الملفات والعمليات المشبوهة التي يتم تنفيذها على الخادم، وعلى إنشاء ملفات تنفيذية مشبوهة. وفي نهاية المطاف، يتم العثور على واجهة الويب التي حملها المهاجمون عبر ثغرة أمنية على موقع الخادم على شبكة الإنترنت.
ب. يتم تحديد جميع خوادم الأوامر والتحكم المشتركة في هذا الهجوم. - يستجيب المشغل للهجوم من خلال:
أ.حظر جميع عمليات خوادم الأوامر والتحكم التي تم الكشف عنها.
ب.القضاء على العمليات الضارة.
ج.حظر تنفيذ ملفات البرمجيات الضارة بواسطة تجزئتها.
د.عزل البرامج الضارة والملفات المشبوهة للتحقيق فيها في وقت لاحق.
