EDR Security - הגנה מקיפה על נקודות קצה | DnA-IT
  1. עמוד הבית
  2. שירותים
  3. EDR Security – הגנה מקיפה על נקודות קצה

EDR Security – הגנה מקיפה על נקודות קצה

  • נראות בנקודת הקצה

  • גילוי וניתוח אירועים בזמן אמת

  • תגובה אוטומטית לאירוע

  • אוטומציה ומערכות מבוססות AI

  • הזמנת Live Demo

EDR ומפת האיומים המודרנית

בנוף הטכנולוגי ההפכפך של ימינו, גורמים העוסקים באיומי סייבר משתמשים בנקודות קצה שלא מאובטחות היטב כפתח אחורי לפרצה ברשת. תוקפים אלה מנצלים את העובדה שרוב נקודות הקצה מופעלות ומתוחזקות על ידי בני אדם בזמן שגרה אשר רוב הזמן אין להם את היכולת לזהות התקפת בנקודות הקצה, קל וחומר להגן עליהן.
פלטפורמת אבטחה, זיהוי ותגובה של נקודות קצה (Endpoint Detection & Response – EDR) מספקת לארגונים את האמצעים לפקח, לאתר ולהגיב לאיומי נקודות קצה. באמצעות יישום פתרונות ושיטות EDR, ארגונים משיגים נראות לנקודת הקצה של הרשת. EDR מספקת גם לארגונים את הכלים להגנה על הרשת מפני איומים נכנסים בזמן שהם מתרחשים.

 

Ransomware, Phishing ומגוון סוגים של איומים בנקודות הקצה

על פי דוח מגמות האבטחה של NIST לשנת 2019, 70% מההפרות מקורן בנקודת הקצה. המחקר ניתח יותר מ-6 מיליון מכשירים ארגוניים וגילה כי הגורם העיקרי להפרת נקודות קצה היה חולשה (Vulnerability) קיימת, ורק 42% מנקודות הקצה מוגנות למעשה מפני איומים.

נקודות קצה הן יעדים קלים לתוקפי סייבר, המשתמשים בהם כדי ליזום התקפות מגוונות. בדרך כלל, התוקפים משתמשים בנקודת הקצה כאמצעי ליעד אחר – הרשת והמידע שהיא מכילה. ברגע שיש להם מידע שחשוב לארגון, הם מוכרים אותם לכל המרבה במחיר, דורשים סכום "כופר" עבור השבת המידע או הסרת ההצפנה, או משתמשים בהם כדי לבצע הונאה פיננסית וזהותית.

להלן מספר סוגים של התקפות שהופכות את נקודות הקצה לסיכון אבטחת מידע:

Phishing – התקפות שמכוונות למשתמשים בדוא"ל. הקורבנות מקבלים דוא"ל המתחזה לישות לגיטימית, המשלה את המשתמש לחשוף מידע רגיש או להוריד תוכנות זדוניות במעטפת לגיטימית
Malvertising – מודעות זדוניות המכילות תוכנה זדונית. הקורבנות לוחצים על אתרים לגיטימיים ונדבקים בתוכנה זדונית
Ransomware – סוג של תוכנה זדונית החוסמת את הגישה של הקורבן לנתונים שהוצפנו. הקורבנות צריכים לשלם כופר בכדי להחזיר את הנתונים שלהם
Drive-by downloads – הקורבנות לוחצים על אתרי אינטרנט, קישורים או עדכוני תוכנה בעלי מראה לגיטימי. הקליק מוריד תוכנות זדוניות או תוכנות הכוללות "הצפנת כופר" ללא ידיעת הקורבן
Unpatched Vulnerabilities – נקודות קצה אשר לא מעודכנות על בסיס קבוע מבחינת עדכוני אבט"מ נופלות לרוב להתקפות. שחקני איום משתמשים בחולשות אבטחה כאלו כדי לפרוץ לרשת.

 

איך עובדת מערכת EDR ?

פתרונות אבטחה מסוג EDR מספקים נראות בזמן אמת לנקודות קצה של הרשת, כמו גם יכולות יזומות לזיהוי ותגובה לאיומים בקצה. כדי לאפשר יכולות אלה, פתרונות EDR משתמשים במנגנונים הבאים:

1. איסוף נתונים – איסוף נתונים שנוצרו על ידי פעילויות בנקודות הקצה, כגון תקשורת, כניסות משתמשים וביצוע תהליכים

2. תיעוד לוג נתונים – רישום נתונים בזמן אמת על אירועי אבטחה בנקודות הקצה. צוותי סייבר בצד ספק ה-EDR משתמשים במידע זה כדי להגיב לאירועי אבטחה בזמן שהם מתרחשים

3. מנוע איתור – מבצע ניתוח התנהגותי, הקובע נורמה רגילה כבסיס של פעילות נקודת קצה ומזהה אילו חריגות מייצגות פעילות זדונית

כדי לספק נראות וניתוח של נקודות קצה בזמן אמת, פתרונות EDR מבצעים את שלוש המשימות הללו באופן רציף. לאחר גילוי איום, פתרון ה- EDR יתריע למנהלי מערכת ו / או יחיל תגובת איום מוגדרת מראש.
מגוון פתרונות EDR הקיים בשוק הוא גדול וכדאי להשוות ולשים את הדעת על התכונות העיקריות בכל מערכת כדי לבחור את הפתרון המתאים ביותר לצרכים ולתקציב שלכם.

מה היתרונות של EDR על פני Antivirus באבטחת נקודות קצה?

נראות בנקודת הקצה

פתרונות EDR מספקים נראות לנקודות הקצה ברשת, שם לעיתים קרובות יש כאוס וחולשות אבטחה. קשה להגן מפני משהו שלא רואים ואיומים רבים תוקפים את 'נקודות העיוורון' של מנהלי המערכת. אך בניגוד לפתרונות אנטי וירוס, או בשמם המודרני EPP, המציעים רק נראות ברמת המכשיר פתרונות EDR מאפשרים פיקוח על נקודות הקצה ברמת הרשת.

גילוי וניתוח אירועים בזמן אמת

פתרונות EDR מאפשרים פיקוח רציף לצד תהליכים אוטומטיים ובכך משיגים יתרון ביכולת לצוד איומים בנקודות הקצה. יכולות זיהוי האיומים משתנות בין פתרון לפתרון, אך מרביתן מחפשות דפוסים ואנומליה המייצגות פעילות זדונית. פתרונות המופעלים על ידי בינה מלאכותית (AI) ממשיכים ללמוד את הרשת, משתמשים ואירועים, ומספקים לצוותי הסייבר את המידע העדכני ביותר

תגובה אוטומטית לאירוע

לאחר הגדרת פתרון ה-EDR, התהליכים נפרסים ומוחלים אוטומטית. כל דבר, החל מגילוי איומים ועד חקירת אירועים והתראות על אירועים הוא אוטומטי. חלק מפתרונות ה-EDR אפילו מאפשרים תגובה אוטומטית לאירועים. ניתן פשוט להגדיר טריגרים ולצפות במערכת מיישמת אכיפה בזמן אמת. לצד התגובה, נרשמת התראה על האירוע ובכך ניתן לעקוב אחר האופן בו פתרון ה-EDR שומר על אבטחת הרשת שלכם.

אוטומציה ומערכות מבוססות AI

כאשר מדובר על פתרונות EDR, מומלץ לעבוד עם מערכת המופעלת על ידי AI, כיוון והיא תספק יכולות אוטומציה ולמידה מתמשכות. פתרון ה-EDR ימשיך ללמוד את אירועי הרשת והאבטחה וישפר את התובנות שנאספים לאורך זמן. התוצאה היא רמה גבוהה יותר של ניתוח ואבטחה ומוכנות גדולה יותר לתגובה לאירועים.

מהי תכנית תגובה לאירועים?

תכנית לתגובה לאירועים היא מערכת נהלים המפרטת מה עושים כאשר הארגון שלך מגלה אירוע סייבר. התכנית מפרטת מי אחראי על מה, אילו צעדים לנקוט בכדי למזער נזקים וסדר ביצוע הצעדים, כלי הפחתת נזקים (מוצרים ו/או תהליכי עבודה), וכן כיצד לבצע מעקב על מנת לוודא כי אירוע כזה לא יוכל להתרחש שוב.

ככל שתתכוננו טוב יותר, כך תוכלו להתמודד טוב יותר עם אירוע סייבר ללא קשר לגודל הארגון. בין אם מדובר בארגון של 5 עובדים עם תקציב מוגבל או CISO בחברת Fortune 500, אתם זקוקים לתכנית תגובה לאירועים.

בניית תכנית תגובה היא תהליך אשר מטרתו לכסות את כל המרכיבים החשובים בהתמודדות עם אירוע סייבר. התהליך גם דורש התבוננות עמוקה במערכות, באופי עבודת המשתמשים ובכישלונות אבטחה קודמים במידה והיו כדי לבנות תכנית איתנה שתעזור להגיב בהתראה של רגע. מומלץ לא לכוון אותה לתרחיש ספציפי אלא להיות מסוגלים ליישם אותה על רוב המצבים, אם לא על כולם.

כדאי שהתכנית תהיה:

  • ניתנת לחזרה על עצמה: כך שניתן ליישם אותה מבלי להמציא מחדש את הגלגל על כל תרחיש.
  • סטנדרטית: כך שניתן ליישם אותה במגוון מצבים.
  • מתועדת: כך שלא יהיו שאלות שלא נשאלו או לא נענו. בנוסף, כל המעורבים יכולים לראות על מה הם אחראים.

 

מודל תשתית IT אוטומטית בארגון

מי צריך להיות בצוות התגובה לאירועי סייבר בארגון?

לא רק צוות אבטחת מידע בארגון אמון על הכנות לתקריות הסייבר ומענה עליהן. צוות הסייבר הוא קריטי, אולם ישנם אנשים רבים נוספים שצריכים להיות חלק מצוות התגובה ובהם:
הנהלה לאשר החלטות ברמה הגבוהה ביותר
מחלקת IT לקבוע מדיניות
המחלקה המשפטית במקרים של השלכות או דרישות החוק
משאבי אנוש במקרים של איומי פנים או בכל נושא אחר שמעורבים בו עובדים
שיווק / יחסי ציבור להעביר מסרים רצויים גם בפנים וגם כלפי חוץ

כל חבר בצוות (קרוי גם CIRT) חייב להיות מודע לאחריותו במהלך התקפה ועל כן כדאי לבצע תרגילי הכנה לתרגול התרחישים. תרגול מסוג זה יבטיח שכאשר יש צורך לבצע בזמן אמת את תכנית התגובה לאירועים, כל אחד יוכל להגיב במהירות כדי למזער את הפגיעה ולחזור לשגרה.

אין טעם להשקיע את הזמן והמאמץ שלך ביצירת תכנית תגובה לאירועים אם היא לא עובדת כשצריך. וודאו שאתם בוחנים את התכנית שלכם באמצעות תרגילים, כדי לזהות את כל שלבי התגובה לאירועים שצריך לשפר או לברר.

CIRT תכנית תגובה לאירוע סייבר

רוצים להעצים את תשתיות ה IT שלכם, להגביר את רמת האבטחה והביצועים הארגוניים שלכם?
השאירו פרטים לקבלת Live Demo