بادئ ذي بدء ، تذكر ما هو الثالوث النووي. يشير هذا المصطلح إلى القوات المسلحة الاستراتيجية لدولة مزودة بالأسلحة النووية. يشمل الثالوث ثلاثة مكونات: الطيران الجوي الاستراتيجي ، والصواريخ البالستية العابرة للقارات ، وحاملات الصواريخ البحرية الغواصة.
عزيزي غارتنر ، قام بتشبيه القوات المسلحة الاستراتيجية للدولة بمركز المراقبة والاستجابة التشغيلية للحوادث (SOC) ، مع تسليط الضوء على العناصر التالية من ثالوث SOC: المعلومات الأمنية وإدارة الأحداث (SIEM) ، تحليل حركة مرور الشبكة (NTA) ، اكتشاف نقطة النهاية والاستجابة لها (EDR). بالنظر إلى هذا التشبيه ، يصبح من الواضح أن شركة نفط الجنوب لا يمكن أن تكون فعالة إلى الحد الأقصى إلا إذا كانت مجهزة بجميع مكونات الحماية: في "الهواء" ، وعلى "الأرض" وفي "البحر".
لسوء الحظ ، تستخدم معظم المنظمات اليوم "الطيران الاستراتيجي" - أنظمة SIEM. نادراً ما يكفي ، "الصواريخ الباليستية العابرة للقارات" - NTA ، لتحل محل التحليل الكامل لحركة مرور الشبكة فقط من خلال جمع السجلات من أدوات أمان الشبكة القياسية. ونادرا جدا ما يكون "حاملة الصواريخ الغواصة النووية" - EDR.
في مقالتي اليوم ، وفقًا لإرث Gartner ، أود أن أبرز الأسباب الرئيسية لأهمية تضمين تقنية EDR كأحد عناصر مركز حديث للرصد والاستجابة السريعة للحوادث.
في عالم أمن المعلومات ، تعد تقنية EDR أكثر بكثير من مجرد الحماية المتقدمة لمحطات العمل والخوادم من التهديدات المعقدة. من عام إلى آخر ، تظل الوظائف الهدف الرئيسي للمهاجمين ونقاط الدخول الأكثر شيوعًا في البنية التحتية للمنظمات ، الأمر الذي يتطلب الاهتمام اللازم والحماية المناسبة. والقياس عن بعد هو معلومات قيمة ضرورية لإجراء تحقيق عالي الجودة في الحوادث ، وأهمية الوصول إليها تزداد أكثر مع ظهور بروتوكول تشفير TLS 1.3 الجديد وتوزيعه النشط.
أصبح EDR بسرعة القوة الدافعة وراء زيادة نضج وفعالية SOCs الحديثة.
دعونا نرى لماذا؟
رؤية إضافية
بادئ ذي بدء ، تكنولوجيا EDR قادرة على إعطاء رؤية لفريق SOC حيث تظل معظم المؤسسات عمياء اليوم ، حيث تركز معظمها على أنشطة المراقبة على الشبكة. مثل هذه الشركات ، في إطار عمل مركز المراقبة والاستجابة التشغيلية للحوادث ، نادراً ما تقوم بتوصيل نقاط النهاية أو جزئياً فقط كمصادر حدث في نظام SIEM. ويرجع ذلك إلى التكلفة العالية لجمع السجلات ومعالجتها من جميع نقاط النهاية ، وأيضًا بسبب توليد عدد كبير من الأحداث لتحليلها على مستوى عالٍ من الإيجابيات الخاطئة ، مما يؤدي غالبًا إلى التحميل الزائد للمتخصصين والاستخدام غير الفعال للموارد باهظة الثمن بشكل عام.
أداة خاصة لاكتشاف التهديدات المعقدة على المضيفين
تتطلب التهديدات المعقدة والهجمات المستهدفة باستخدام تعليمات برمجية ضارة غير معروفة ، وحسابات مخترقة ، وطرق بدون ملفات ، وتطبيقات وإجراءات مشروعة لا تتضمن أي شيء مشبوه نهجًا للكشف متعدد المستويات باستخدام التقنيات المتقدمة. اعتمادًا على بائع أو آخر ، يمكن أن يتضمن EDR عادةً تقنيات اكتشاف متنوعة تعمل في الوضع التلقائي وشبه التلقائي والأدوات المدمجة التي تتطلب مهام الإعداد يدويًا ، والتي تتضمن موظفين مؤهلين تأهيلًا عاليًا. على سبيل المثال ، يمكن أن يكون: مكافحة الفيروسات ، محرك تحليل السلوك ، رمل ، البحث عن مؤشرات التسوية (IoC) ، العمل مع مؤشرات هجوم IoA ، مقارنة مع تقنيات MITER ATT & CK ، بالإضافة إلى التفاعل التلقائي مع Threat Intelligence والاستعلامات اليدوية لقاعدة بيانات التهديد العالمي ، تحليل بأثر رجعي ، والقدرة على البحث بشكل استباقي عن التهديدات (تهديد الصيد). EDR هي أداة إضافية لتحليلات SOC مع واجهة سهلة الاستخدام من أجل القدرة على البحث عن التهديدات في الوقت الحقيقي ، مما يسمح لك بتقديم طلبات معقدة للبحث عن الأنشطة المشبوهة ، والإجراءات الضارة ، مع مراعاة ميزات البنية التحتية المحمية.
كل ما سبق يسمح للمؤسسات باكتشاف التهديدات المعقدة التي تهدف إلى تجاوز أدوات حماية المضيف التقليدية ، مثل حلول مكافحة الفيروسات التقليدية ، NGAV ، أو حلول الطبقة EPP (منصة حماية نقطة النهاية). يعمل هذا الأخير اليوم عن كثب مع حلول EDR ومعظم الشركات المصنعة لهذه الفئة من المنتجات توفر وظائف EPP و EDR داخل وكيل واحد ، دون زيادة تحميل الماكينة وفي الوقت نفسه توفر نهجًا متكاملًا لحماية نقاط النهاية من التهديدات المعقدة ، من حظر تلك البساطة تلقائيًا التهديدات ، وتنتهي مع الكشف والاستجابة لحوادث أكثر تعقيدا. تسمح آليات الكشف المتقدمة المستخدمة في EDR للفرق بتحديد التهديدات بسرعة والرد عليها بسرعة ، مما يحول دون حدوث ضرر محتمل للشركة.
سياق إضافي
تعد البيانات المتعلقة بأحداث المضيف من EDR إضافة مهمة إلى المعلومات التي تم إنشاؤها بواسطة عناصر الأمان الأخرى وتطبيقات الأعمال الخاصة بالبنية التحتية المحمية ، والتي تتم مقارنتها بواسطة نظام SIEM في مركز مراقبة الحوادث والاستجابة لها. يوفر EDR وصولاً سريعًا إلى بيانات البنية الأساسية لنقطة النهاية المخصب بالفعل في سياق إضافي ، والذي يسمح ، من ناحية ، بتحديد الإيجابيات الخاطئة بسرعة ، من ناحية أخرى ، لاستخدام هذه البيانات كمواد ثمينة تم معالجتها مسبقًا في التحقيق في الهجمات المعقدة ، أي يوفر EDR سجلات ذات صلة للتواصل مع الأحداث من مصادر أخرى ، وبالتالي تحسين جودة التحقيقات العالمية في SOC.
أتمتة إضافية
بالنسبة للمؤسسات التي لا تملك EDR ، فإن اكتشاف التهديدات المعقدة على البنية التحتية لنقاط النهاية ، والتي تشمل: جمع وتخزين وتحليل البيانات ، وكذلك تنفيذ إجراءات مختلفة في مراحل التحقيق والاستجابة للحوادث المعقدة ، تبدو مهمة شاقة إلى حد ما دون استخدام أدوات التشغيل الآلي.
اليوم ، يقضي الكثير من المحللين الكثير من الوقت في العمليات الروتينية الضرورية والهامة ، ولكن يمكن أتمتة. سيسمح أتمتة هذه المهام اليدوية الروتينية للمؤسسات ليس فقط بتوفير وقت العمل الباهظ للمحلل ، ولكن أيضًا لتقليل عبء عملها والسماح لها بالتركيز على تحليل الحوادث المعقدة حقًا والاستجابة لها. توفر EDRs سير عمل إدارة مؤتمتة بالكامل ، بدءًا من اكتشاف التهديدات وحتى التحليل والاستجابة لها. يتيح ذلك لفريق SOC أداء المهام اليومية بكفاءة أكبر دون إضاعة الوقت في العمل اليدوي ، مما يقلل من تكلفة تحليل السجلات غير الضرورية.
الوصول السريع إلى البيانات وتمثيلها المرئي للمعلومات
قد تواجه المؤسسات بعض الصعوبات في الحصول على البيانات اللازمة للتحقيق ، مثل عدم القدرة على الوصول بسرعة إلى محطات العمل والخوادم التي لديها بنية تحتية موزعة أو عدم القدرة على الحصول على معلومات سياقية من أجهزة محددة بسبب تدميرها أو تشفير البيانات من قبل المتسللين. هذا ، بطبيعة الحال ، يجعل من المستحيل الحصول على البيانات اللازمة لعملية تحقيق فعالة ومزيد من الاستجابة للحوادث. عندما يكون الحادث قد وقع بالفعل ، فإن استخدام تقنية EDR ، بما في ذلك التسجيل المستمر والمركزي ، يزيل التخمين ويوفر وقت المحلل.
غالبًا ما يقوم المهاجم بتدمير مساراته ، لكن سجل EDR ، كما ذكر سابقًا ، يسجل كل عمل مهاجم. يتم تسجيل سلسلة الأحداث بأكملها وتخزينها بشكل آمن للاستخدام في المستقبل. عندما يتم تشغيل تحذير من أي نوع ، يوفر EDR أداة ملائمة يمكن لمحللي SOC من خلالها طلب المعلومات بسرعة للتحقق من التهديدات ، والقضاء على الإيجابيات الخاطئة ، وتقديم طلبات لإعادة فحص البيانات بأثر رجعي لزيادة فعالية التحقيق والاستجابة.
يتم تقديم جميع الإجراءات على المضيفين في الواجهة في شكل شجرة حدث ، مما يساعد المحللين على رؤية الصورة الكاملة للهجوم ، وكذلك البحث عن المعلومات التي يحتاجون إليها للتحقيق واتخاذ التدابير التشغيلية لمنع التهديد.
يتيح التخزين المركزي للقياس عن بُعد والأشياء والأحكام التي تم إنشاؤها مسبقًا للمحللين العمل مع البيانات بأثر رجعي كجزء من التحقيق في التهديدات ، بما في ذلك الهجمات التي يتم تمديدها مع مرور الوقت. EDR اليوم هو مصدر البيانات القيمة ل SOC اليوم.
استجابة مركزية
عند اكتشاف حادث ، يوفر EDR خيارات متقدمة لاتخاذ إجراء في مراحل مختلفة من التحقيق: على سبيل المثال ، عزل ملف ، وتنفيذ أوامر تعسفية على مضيف ، وحذف كائن ، وعزل الشبكة للمضيفين ، وغيرها من الإجراءات. يتيح لك EDR الاستجابة الفورية للحوادث من خلال العرض المرئي للمعلومات وإعداد المهام المركزي ، والذي لا يتطلب القيام برحلات إلى موقع الجريمة للعثور على الأدلة واتخاذ تدابير الاستجابة. EDR هي أداة لتحسين تكاليف العمالة للمتخصصين في SOC. تعمل المؤسسات على تقليل عدد العمليات اليدوية الروتينية بشكل كبير ، وتوفير وقت محللي SOC وتقليل وقت الاستجابة من ساعات إلى دقائق.
استنتاج
تعد EDRs مصدراً لا يقدر بثمن للبيانات الخاصة بـ SOCs ، حيث توفر إمكانات قوية للبحث عن التهديدات والاستجابة المركزية للحوادث ، مع تعظيم أتمتة عمليات جمع التهديدات المكتشفة وتحليلها والاستجابة لها.
سيسمح استخدام EDR داخل SOC للمؤسسات بما يلي:
- لزيادة كفاءة معالجة الحوادث المعقدة بسبب الرؤية الإضافية لمستوى نقطة النهاية ، وإمكانية البحث الاستباقي عن التهديدات والعرض المرئي للمعلومات حول الأحداث المكتشفة على المضيفين ؛
- إثراء SOC بالبيانات ذات الصلة التي تمت معالجتها مسبقًا من محطات العمل والخوادم ، للمقارنة مع السجلات المقدمة من مصادر أخرى للتحقيق الفعال ؛
- يقلل بشكل كبير من عدد الساعات التي يقضيها المحللون في مهام شاقة ولكنها ضرورية مرتبطة بتحليل البيانات من محطات العمل والخوادم ، وكذلك الاستجابة للحوادث.