ما هو EDR؟‏

ما هو EDR؟

يشير اكتشاف نقطة النهاية والاستجابة لها (EDR) إلى فئة من الأدوات التي تراقب باستمرار المعلومات المتعلقة بالتهديدات على محطات عمل الكمبيوتر ونقاط النهاية الأخرى. ويعتبر الهدف من اكتشاف نقطة النهاية والاستجابة لها (EDR) تحديد الاختراقات الأمنية في الوقت الحقيقي وتطوير استجابة سريعة للتهديدات المحتملة. ويصف اكتشاف نقطة النهاية والاستجابة لها - التي تُعرف أحيانًا باسم اكتشاف تهديدات نقطة النهاية والاستجابة لها (ETDR) - إمكانات مجموعة من الأدوات، التي يمكن أن تختلف تفاصيلها اعتمادًا على التنفيذ.

ما القاسم المشترك بين الهواتف الذكية وكاميرات المراقبة والثلاجات الذكية والخوادم؟ جميعها نقاط نهاية يستطيع مجرمو الإنترنت استخدامها للوصول إلى الشبكات والبيانات والتطبيقات والتسبب في أضرار جسيمة.

لم يكن هناك وقت أكثر أهمية من الآن للحفاظ على أمان نقاط النهاية. ولا تزال الجريمة الإلكترونية في ازدياد، كما أن العواقب المترتبة على الاختراق - القانونية والمتعلقة بالسمعة والتشغيلية والمالية - تزداد حدة. أضف إلى ذلك النطاق المتزايد باستمرار من نقاط النهاية، على وجه الخصوص بفضل إنترنت الأشياء والطرق الجديدة للعمل والاتصال بأنظمة الشركة، ومن الواضح أن اتباع نهج شامل لأمان نقاط النهاية يعد أمرًا ضروريًا للأعمال بشكل متزايد.

بالنسبة للعديد من المؤسسات، يعني ذلك اكتشاف نقطة النهاية والاستجابة لها، أو باختصار EDR، وليس من المستغرب أن تكتسب زخمًا في سوق الأمن الإلكتروني. واعتبارًا من عام 2022، كان حجم السوق العالمية لأدوات اكتشاف نقطة النهاية والاستجابة لها أقل من 3 مليارات دولار، وفقًا لشركة Grand View Research، لكن من المتوقع أن ينمو هذا بمعدل سنوي قدره 22.3% خلال بقية العقد.

تجيب هذه المدونة على بعض الأسئلة الرئيسية عن اكتشاف نقطة النهاية والاستجابة لها (EDR): ما هو اكتشاف نقطة النهاية والاستجابة لها (EDR) في مجال الأمان، وكيف يعمل، وما سبب أهميته الشديدة في مشهد الأعمال الحديث، وما الذي يجب أن تبحث عنه من شريك EDR محتمل؟

ما المقصود باكتشاف نقطة النهاية والاستجابة لها (EDR) في الأمن الإلكتروني؟

تمت صياغة مصطلح EDR لأول مرة في عام 2013 من قبل شركة Gartner، ومنذ ذلك الحين، أصبح طريقة شائعة الاستخدام للحفاظ على أمان البيانات والتطبيقات والأنظمة من خلال منع التهديدات والتطفلات عبر نقاط النهاية.

من الممكن أن تختلف التفاصيل والإمكانيات الدقيقة لنظام اكتشاف نقطة النهاية والاستجابة لها (EDR) اعتمادًا على التنفيذ. وقد يتضمن تنفيذ اكتشاف نقطة النهاية والاستجابة لها (EDR) ما يلي:

• أداة محددة مصممة لهذا الغرض؛
• مكون صغير في أداة أوسع لمراقبة الأمن أو
• مجموعة غير مترابطة من الأدوات المستخدمة مع بعضها البعض.

نظرًا لأن المهاجمين يطورون أساليبهم باستمرار، فقد لا ترقى أنظمة الحماية التقليدية إلى المستوى المطلوب. ويعتبر خبراء الأمن الإلكتروني اكتشاف نقطة النهاية والاستجابة لها (EDR) شكلاً من أشكال الحماية من التهديدات المتقدمة.

كيف يعمل اكتشاف نقطة النهاية والاستجابة لها (EDR)؟

يمكن تأمين أي نقطة نهاية من خلال اكتشاف نقطة النهاية والاستجابة لها (EDR)، بدءًا من أجهزة الكمبيوتر وأجهزة الكمبيوتر المحمولة والهواتف الذكية التي يستخدمها الموظفون يوميًا إلى الخوادم المحلية في مركز البيانات. ويوفر اكتشاف نقطة النهاية والاستجابة لها (EDR) الرؤية في الوقت الحقيقي واكتشافًا استباقيًا واستجابة لجميع نقاط النهاية هذه من خلال هذه العملية المكونة من أربع خطوات:

جمع ونقل بيانات نقطة النهاية

يتم إنشاء البيانات على مستوى نقطة النهاية وتتضمن عادة الاتصالات وتنفيذ العمليات وتسجيلات الدخول. ويتم إخفاء هوية هذه البيانات وإرسالها إلى منصة اكتشاف نقطة النهاية والاستجابة لها (EDR) المركزية؛ ويعتمد هذا عادةً على السحابة، لكن يمكن أيضًا أن يعمل محليًا أو كسحابة هجينة، اعتمادًا على الاحتياجات المحددة للمؤسسة.

تحليل البيانات

ستستخدم الأدوات الجيدة لاكتشاف عن نقاط النهاية والاستجابة لها التعلم الآلي لتحليل هذه البيانات وإجراء التحليل السلوكي عليها. وينشئ هذا خط أساس للنشاط المنتظم بحيث يمكن اكتشاف أي نشاط غير طبيعي وتحديده بسهولة أكبر عن طريق المقارنة. وستستخدم العديد من خدمات اكتشاف نقطة النهاية والاستجابة لها (EDR) المتقدمة أيضًا معلومات التهديد لإضافة سياق إضافي للمعلومات بناءً على أمثلة الهجمات الإلكترونية في العالم الحقيقي.

التنبيه بوجود نشاط مشبوه

بعد ذلك يتم إبلاغ فرق الأمان وأي أصحاب مصلحة آخرين ذوي صلة عن أي نشاط مشبوه، ويتم بدء الاستجابات الآلية بناءً على محفزات محددة مسبقًا. على سبيل المثال، قد يعزل حل اكتشاف نقطة النهاية والاستجابة لها (EDR) تلقائيًا نقطة نهاية مصابة معينة لمنع البرامج الضارة بشكل استباقي من الانتشار عبر الشبكة قبل اتخاذ الإجراء اليدوي.

الاحتفاظ بالبيانات

بينما تسمح التنبيهات لفرق الأمان باتخاذ أي إجراءات استجابة واسترداد ومعالجة، فإن حلول اكتشاف نقطة النهاية والاستجابة لها (EDR) تؤرشف جميع البيانات التي تم إنشاؤها في عملية اكتشاف التهديدات. ويمكن استخدام هذه البيانات في المستقبل لإثراء التحقيقات في الهجمات الحالية أو طويلة الأمد وللمساعدة في اكتشاف التهديدات التي ربما لم يكن من الممكن اكتشافها في السابق.

ما سبب أهمية اكتشاف نقطة النهاية والاستجابة لها في الأعمال الحديثة؟

تعد نقاط النهاية واحدة من أكثر النواقل شيوعًا وضعفًا لهجوم إلكتروني، ولهذا السبب يستهدفها مجرمو الإنترنت بانتظام. وقد ازدادت هذه المخاطر خلال السنوات القليلة الماضية، حيث أدى ظهور العمل عن بُعد والعمل الهجين إلى زيادة عدد الأجهزة عبر المزيد من اتصالات الإنترنت التي تصل إلى أنظمة الشركة وبياناتها. وغالبًا ما تتمتع نقاط النهاية هذه بمستوى مختلف من الحماية مقارنة بأجهزة الشركة التي تعمل داخل المكتب، مما يزيد بشكل كبير من خطر وقوع هجوم ناجح.

في الوقت نفسه، يستمر عدد نقاط النهاية التي تحتاج إلى الحماية في التزايد بوتيرة سريعة. وتشير التقديرات إلى أن عدد الأجهزة المتصلة بإنترنت الأشياء في جميع أنحاء العالم، وفقًا لشركة Statista، سيصل إلى أكثر من 29 مليار جهاز بحلول عام 2030، أي ثلاثة أضعاف عدد الأجهزة المتصلة في عام 2020. ويمنح هذا المهاجمين المحتملين المزيد من الفرص للعثور على جهاز ضعيف، ولهذا السبب يعد اكتشاف نقطة النهاية والاستجابة لها (EDR) مهمًا جدًا في توسيع نطاق الاكتشاف المتقدم عن التهديدات ليشمل كل نقطة نهاية، بغض النظر عن حجم الشبكة ونطاقها.

بالإضافة إلى ذلك، قد يكون الإصلاح لمعالجة اختراق البيانات صعبًا ومكلفًا، وربما يكون هذا السبب الأكبر الوحيد الذي يجعل اكتشاف نقطة النهاية والاستجابة لها (EDR) ضروريًا. وبدون وجود حل اكتشاف نقطة النهاية والاستجابة لها (EDR)، قد تقضي المؤسسات أسابيع وهي تحدد الإجراءات التي يجب اتخاذها - وغالبًا ما يكون الحل الوحيد إعادة تصميم الآلات، وهو ما يكون شاقًا للغاية، ويقلل الإنتاجية ويتسبب في خسائر مالية.

ما الفرق بين اكتشاف نقطة النهاية والاستجابة لها (EDR) وبرامج مكافحة الفيروسات التقليدية؟

يكمن الاختلاف الرئيسي بين اكتشاف نقطة النهاية والاستجابة لها (EDR) ومكافحة الفيروسات في النهج الذي يتبعه كل نظام. ولا يمكن لحلول مكافحة الفيروسات أن تتعامل إلا مع التهديدات والحالات الشاذة التي تعلم أنها موجودة بالفعل، ولا يمكنها الاستجابة وتنبيه فرق الأمان إلى المشكلة إلا عندما تجد تهديدًا يطابق التهديد الموجود في قاعدة بياناتها.

من ناحية أخرى، تتبع أدوات اكتشاف نقطة النهاية والاستجابة لها نهجًا أكثر استباقية. وهي تحدد ثغرات الاستغلال الجديدة أثناء تشغيلها وتكشف عن النشاط المشبوه الذي ينفذه المهاجم أثناء وقوع حادث نشط.

ما الفرق بين EDR وXDR؟

تركز أدوات اكتشاف نقطة النهاية والاستجابة لها (EDR) التقليدية على بيانات نقطة النهاية فقط، مما يوفر رؤية للتهديدات المشكوك فيها. ومع استمرار تطور التحديات التي تواجهها فرق الأمان - مثل الحمل الزائد للأحداث، والأدوات شديدة التركيز، ونقص التكامل ونقص المهارات وقلة الوقت - تستمر حلول اكتشاف نقطة النهاية والاستجابة لها (EDR) في التطور.

من ناحية أخرى، XDR، أو الاكتشاف والاستجابة الموسعين، هو نهج أحدث لاكتشاف التهديدات والاستجابة لها في نقطة النهاية. ويشير الحرف "X" إلى "موسع" ويمثل أي مصدر بيانات، مثل بيانات الشبكة والسحابة والطرف الخارجي وبيانات نقطة النهاية، مع التعرف على قيود التحقيق في التهديدات في مستودعات معزولة. وتستخدم أنظمة XDR مجموعة من التحليلات والأساليب الاستدلالية والأتمتة لتكوين رؤية ثاقبة من هذه المصادر، وتعزيز الأمان مقارنة بأدوات الأمان المنعزلة. وتكون النتيجة تبسيط التحقيقات عبر عمليات الأمان، وتقليل الوقت الذي يستغرقه اكتشاف التهديدات والتحقيق فيها والاستجابة لها.

ما الذي يجب أن تبحث عنه في أدوات اكتشاف نقطة النهاية والاستجابة لها؟

تختلف قدرات اكتشاف نقطة النهاية والاستجابة لها (EDR) من بائع لآخر، لذا قبل اختيار حل اكتشاف نقطة النهاية والاستجابة لها (EDR) لمؤسستك، من الهام التحقق من القدرات التي يتمتع بها أي نظام مقترح ومدى تكامله مع قدرات الأمان الشاملة الحالية لديك.

يعد الحل المثالي لاكتشاف نقطة النهاية والاستجابة لها (EDR) هو الحل الذي يزيد من حمايتك مع تقليل الجهد والاستثمار المطلوب. وأنت تريد حلاً يدعم فريق الأمان لديك ويضيف قيمة له، دون أن يصبح مضيعة للوقت. ونوصي بالبحث عن هذه السمات الرئيسية الست:

1. رؤية نقطة النهاية

تتيح لك الرؤية عبر جميع نقاط النهاية الاطلاع على التهديدات المحتملة في الوقت الحقيقي حتى تتمكن من إيقافها على الفور.

2. قاعدة بيانات التهديدات

يتطلب اكتشاف نقطة النهاية والاستجابة لها (EDR) الفعال بيانات هامة يتم جمعها من نقاط النهاية وتعزيزها بالسياق حتى يتمكن التحليل من تحديد علامات الهجوم.

3. الحماية السلوكية

يتضمن اكتشاف نقطة النهاية والاستجابة لها (EDR) طرقًا سلوكية تبحث عن مؤشرات الهجوم (IOAs) وتنبه أصحاب المصلحة المعنيين بالأنشطة المشكوك فيها قبل حدوث خرق.

4. الرؤية الثاقبة والمعلومات

من الممكن أن توفر حلول اكتشاف نقطة النهاية والاستجابة لها (EDR) التي تدمج معلومات التهديد السياق، مثل المعلومات عن المهاجم المشتبه به أو تفاصيل أخرى عن الهجوم.

5. الاستجابة السريعة

يستطيع اكتشاف نقطة النهاية والاستجابة لها (EDR) الذي يسهل تقديم استجابة سريعة للحوادث منع الهجوم قبل أن يصبح خرقًا، مما يسمح لمؤسستك بمواصلة العمل بشكل طبيعي.

6. الحل السحابي

يضمن حل اكتشاف نقاط النهاية والاستجابة السحابي عدم وجود تأثير على نقاط النهاية مع تمكين قدرات البحث والتحليل والتحقيق من الاستمرار بدقة وفي الوقت الحقيقي. وتُعد حلول اكتشاف نقطة النهاية والاستجابة لها (EDR)، مثل Kaspersky Next EDR Optimum، مثالية لمنع انقطاع الأعمال بسبب التهديدات المعقدة والمستهدفة، والحصول على رؤية شاملة عبر الشبكة، وإدارة الأمان من منصة إدارة سحابية واحدة.

المنتجات ذات الصلة:

• Kaspersky Next EDR Optimum
• Kaspersky Endpoint Detection and Response Expert

مقالات ذات صلة:

• ما المقصود بأمان نقاط النهاية؟ كيف يعمل؟
• تعريف الثقة المعدومة وشرحها
• سرقة البيانات وكيفية حماية البيانات