ما المقصود باكتشاف نقاط النهاية والاستجابة لها (EDR)؟

يعمل EDR على جمع البيانات بشكل مستمر من جميع نقاط النهاية على الشبكة، بما في ذلك أجهزة الكمبيوتر المكتبية والمحمولة، والخوادم، والأجهزة المحمولة، وأجهزة إنترنت الأشياء، وغيرها. ثم يحلل هذه البيانات في الوقت الفعلي بحثًا عن أدلة على التهديدات الإلكترونية المعروفة أو المشتبه بها، ويمكنه الاستجابة تلقائيًا لمنع أو تقليل الضرر الناتج عن التهديدات التي يحددها.

تم التعرُّف على EDR لأول مرة من قِبَل Gartner في 2013، واليوم يحظى باعتراف واسع واعتماد كبير في المؤسسات، ولسبب وجيه.

تُشير الدراسات إلى أن نحو 90% من الهجمات الإلكترونية الناجحة و70% من اختراقات أمن البيانات الناجحة تنشأ من أجهزة نقاط النهاية. على الرغم من تطور برامج مكافحة الفيروسات والبرامج الضارة وجدران الحماية وغيرها من الحلول الأمنية التقليدية لأمن نقطة النهاية مع مرور الوقت، فإنها لا تزال تقتصر على اكتشاف تهديدات نقطة النهاية المعروفة أو المستندة إلى الملفات أو المستندة إلى التوقيع. هي أقل فاعلية بكثير، على سبيل المثال، في التصدي لهجمات الهندسة الاجتماعية، مثل رسائل التصيّد التي تحثّ الضحايا على الإفصاح عن بيانات حساسة أو زيارة مواقع وهمية تحتوي على برمجيات خبيثة. التصيّد الاحتيالي هو أكثر طرق توصيل برامج الفدية شيوعًا. وهي عاجزة أمام العدد المتزايد من الهجمات الإلكترونية بلا ملفات التي تعمل حصريًا في ذاكرة الكمبيوتر لتجنُّب فحص الملفات أو التوقيعات.

والأهم من ذلك، أن أدوات أمن نقاط النهاية التقليدية لا تستطيع اكتشاف التهديدات المتقدمة أو تحييدها إذا تسللت منها. وهذا يُتيح لتلك التهديدات البقاء والتجول داخل الشبكة لأشهر، وجمع البيانات وتحديد الثغرات الأمنية استعدادًا لإطلاق هجوم برامج فدية أو استغلال ثغرة صفرية أو أي هجوم إلكتروني واسع النطاق.

تبدأ برامج EDR من حيث تتوقف حلول أمن نقاط النهاية التقليدية هذه. تُتيح تحليلات الكشف عن التهديدات وقدرات الاستجابة التلقائية في هذه البرامج -غالبًا دون تدخل بشري- التعرُّف على التهديدات المحتملة واحتوائها قبل أن تتسبب في أضرار جسيمة بعد اختراقها لمحيط الشبكة. يوفر برنامج EDR أيضًا أدوات يمكن لفرق الأمن استخدامها لاكتشاف التهديدات المشتبه بها أو الناشئة، والتحقق منها، ومنعها بشكل مستقل.

رغم وجود اختلافات بين البائعين، فإن حلول EDR عادةً ما تجمع بين خمس قدرات أساسية: جمع بيانات نقاط النهاية بشكل مستمر، والتحليل في الوقت الفعلي والكشف عن التهديدات، والاستجابة التلقائية للتهديدات، وعزل التهديدات ومعالجتها، ودعم أنشطة صيد التهديدات.

يعمل EDR على جمع البيانات بشكل مستمر -بيانات حول العمليات، والأداء، وتغييرات التكوين، واتصالات الشبكة، وتنزيلات أو نقل الملفات والبيانات، وسلوكيات المستخدمين أو الأجهزة- من كل نقاط النهاية على الشبكة. يتم تخزين البيانات في قاعدة بيانات مركزية أو بحيرة بيانات، والتي تتم استضافتها عادةً في السحابة.

تعمل معظم حلول EDR الأمنية على جمع هذه البيانات عن طريق تثبيت أداة أو وكيل خفيف الوزن لجمع البيانات على كل نقطة نهاية؛ وقد يعتمد بعضها بدلًا من ذلك على القدرات الموجودة في نظام تشغيل نقطة النهاية.

يستخدم EDR تحليلات متقدمة وخوارزميات التعلم الآلي لتحديد الأنماط التي تُشير إلى التهديدات المعروفة أو الأنشطة المشبوهة في الوقت الفعلي، أثناء حدوثها.

بشكل عام، يبحث EDR عن نوعين من المؤشرات: مؤشرات الاختراق (IOCs)، وهي الأفعال أو الأحداث التي تتوافق مع هجوم محتمل أو خرق أمني؛ ومؤشرات الهجوم (IOAs)، وهي الأفعال أو الأحداث المرتبطة بالتهديدات الإلكترونية أو المجرمين الإلكترونيين المعروفين.

لتحديد هذه المؤشرات، يعمل EDR على ربط بيانات نقاط النهاية الخاصة به في الوقت الفعلي مع بيانات خدمات استعلامات التهديدات، التي توفِّر معلومات محدَّثة باستمرار حول التهديدات الإلكترونية الجديدة والحديثة - الأساليب التي تستخدمها، والثغرات الأمنية في نقاط النهاية أو البنية التحتية لتكنولوجيا المعلومات التي تستغلها، والمزيد. يمكن أن تكون خدمات استعلامات التهديدات ملكية خاصة (تُدار بواسطة مزوِّد EDR)، أو تابعة لطرف ثالث، أو قائمة على المجتمع. بالإضافة إلى ذلك، يعمل العديد من حلول EDR أيضًا على ربط البيانات بقاعدة Mitre ATT&CK، وهي قاعدة معرفية عالمية مفتوحة تحتوي على أساليب وتقنيات التهديدات الإلكترونية المستخدمة من قِبَل المتسللين، وتساهم فيها الحكومة الأمريكية.

يمكن لتحليلات وخوارزميات EDR أيضًا إجراء تحقيقاتها الخاصة، من خلال مقارنة البيانات في الوقت الفعلي بالبيانات التاريخية والمعايير المرجعية المحددة، للكشف عن الأنشطة المشبوهة، والسلوكيات الشاذة للمستخدمين، وأي علامات قد تُشير إلى حادثة أو تهديد إلكتروني. كما يمكنها أيضًا فصل "الإشارات"، أي التهديدات الحقيقية، عن "الضوضاء" الناتجة عن الإيجابيات الزائفة، ما يُتيح لمحللي الأمن التركيز على الحوادث المهمة.

يعمل العديد من الشركات على دمج EDR مع حل إدارة المعلومات والأحداث الأمنية (SIEM)، الذي يجمع البيانات الأمنية عبر جميع طبقات البنية التحتية لتكنولوجيا المعلومات - ليس فقط نقاط النهاية، بل التطبيقات، وقواعد البيانات، ومتصفحات الويب، وأجهزة الشبكة، والمزيد. يمكن لبيانات SIEM أن تثري التحليلات بسياق إضافي لتحديد التهديدات وتحديد أولوياتها والتحقيق فيها ومعالجتها.

يعمل EDR على تلخيص البيانات المهمة ونتائج التحليلات في وحدة إدارة مركزية تعمل أيضًا كواجهة مستخدم للحل. من خلال وحدة التحكم، يحصل أعضاء فريق الأمن على رؤية كاملة لكل نقطة نهاية وكل مشكلة أمنية مرتبطة بها على مستوى المؤسسة، ويمكنهم بدء التحقيقات والاستجابة للتهديدات ومعالجتها على أيٍّ من نقاط النهاية وجميعها.

الأتمتة هي ما يضيف عنصر "الاستجابة" -أو الاستجابة السريعة حقًا- إلى EDR. استنادًا إلى القواعد المحددة مسبقًا من قِبَل فريق الأمن -أو تلك التي "يتعلمها" النظام تدريجيًا عبر خوارزميات التعلم الآلي- يمكن لحلول EDR تلقائيًا تنفيذ ما يلي:

• تنبيه محللي الأمن إلى تهديدات محددة أو أنشطة مشبوهة.
• فرز التنبيهات أو تحديد أولوياتها وفقًا للخطورة.
• إنشاء تقرير "تعقّب" يتتبع كل محطة من محطات الحادث أو التهديد على الشبكة، وصولًا إلى السبب الأساسي.
• فصل جهاز نقطة النهاية، أو تسجيل خروج المستخدم النهائي من الشبكة.
• إيقاف عمليات النظام أو نقطة النهاية.
• منع نقطة النهاية من فتح أو (تفعيل) ملف أو مرفق بريد إلكتروني خبيث أو مشبوه.
• تشغيل برامج مكافحة الفيروسات أو برامج مكافحة البرامج الضارة لفحص نقاط النهاية الأخرى على الشبكة بحثًا عن نفس التهديد.

يمكن لبرامج EDR أتمتة أنشطة التحقيق في التهديدات ومعالجتها (انظر أدناه). كما يمكن دمجه مع أنظمة التنسيق الأمني والأتمتة والاستجابة (SOAR) لأتمتة خطط الاستجابة الأمنية (تسلسلات الاستجابة للحوادث) التي تشمل أدوات أمنية أخرى.

كل هذه الأتمتة تمكِّن فرق الأمن من التعامل مع الحوادث والتهديدات بشكل أسرع، وتقليل الأضرار المحتملة على الشبكة. كما تساعد فرق الأمن على العمل بكفاءة قصوى بالاعتماد على الموارد البشرية المتاحة لديهم.

بمجرد عزل التهديد، يوفر EDR قدرات يمكن لمحللي الأمن استخدامها للتحقيق بشكل أعمق في التهديد. على سبيل المثال، تساعد التحليلات الجنائية محللي الأمن على تحديد السبب الأساسي للتهديد، ومعرفة الملفات التي تأثَّرت به، وتحديد الثغرة أو الثغرات التي استغلها المهاجم للدخول والتحرك داخل الشبكة، والحصول على بيانات اعتماد الدخول، أو القيام بأنشطة ضارة أخرى.

مدعومين بهذه المعلومات، يمكن للمحللين استخدام أدوات المعالجة للقضاء على التهديد. وقد يشمل العلاج:

• تدمير الملفات الضارة ومسحها من نقطة النهاية.
  
• استعادة التكوينات التالفة وإعدادات التسجيل والبيانات وملفات التطبيقات.
• تطبيق التحديثات أو التصحيحات للتخلص من الثغرات الأمنية.
• تحديث قواعد الكشف لمنع تكرار حدوث المشكلة.

يُعَد صيد التهديدات (ويُسمَّى أيضًا صيد التهديدات الإلكترونية) تمرينًا أمنيًا استباقيًا يعمل فيه المحلل الأمني على البحث في الشبكة عن تهديدات غير معروفة حتى الآن، أو تهديدات معروفة لم يتم اكتشافها أو علاجها بعد بواسطة أدوات الأمن الإلكتروني المؤتمتة للمؤسسات. تذكّر أن التهديدات المتقدمة يمكن أن تتربص بك لأشهر قبل أن يتم اكتشافها، حيث تجمع معلومات النظام وبيانات اعتماد المستخدم استعدادًا لاختراق واسع النطاق. يمكن أن يؤدي صيد التهديدات الفعَّال وفي الوقت المناسب إلى تقليل الوقت الذي يستغرقه الكشف عن هذه التهديدات ومعالجتها، والحد من الأضرار الناتجة عن الهجوم أو منعها.

يستخدم صائدو التهديدات مجموعة متنوعة من الأساليب والتقنيات، والتي يعتمد معظمها على نفس مصادر البيانات والتحليلات وقدرات الأتمتة التي يستخدمها برنامج EDR في اكتشاف التهديدات والاستجابة لها ومعالجتها. على سبيل المثال، قد يرغب محلل صيد التهديدات في البحث عن ملف معين، أو تغيير في التكوين، أو أثر آخر استنادًا إلى التحليلات الجنائية، أو بيانات MITRE ATT&CK التي تصف أساليب مهاجم محدد.

لدعم صيد التهديدات، يوفر EDR هذه القدرات لمحللي الأمن عبر واجهة المستخدم أو بطرق برمجية، ليتمكنوا من إجراء استعلامات بيانات مؤقتة، وربطها بمعلومات استعلامات التهديدات، وتنفيذ تحقيقات أخرى. تتضمن أدوات EDR المخصصة لصيد التهديدات جميع الإمكانيات، من لغات البرمجة النصية البسيطة لأتمتة المهام الشائعة إلى أدوات الاستعلام بلغة طبيعية.

منصة حماية نقاط النهاية (EPP) هي منصة أمنية متكاملة تجمع بين برامج مكافحة الفيروسات والبرامج الضارة من الجيل التالي (NGAV) وبرمجيات التحكم في الويب/تصفية الويب، وجدران الحماية، وبوابات البريد الإلكتروني، وغيرها من تقنيات أمن نقاط النهاية التقليدية.

مرة أخرى، تركِّز تقنيات EPP بشكل أساسي على منع التهديدات المعروفة، أو التهديدات التي تتصرف بطرق معروفة، على نقاط النهاية. تمتلك تقنيات EDR القدرة على تحديد واحتواء التهديدات المجهولة أو المحتملة التي تتجاوز تقنيات أمن نقاط النهاية التقليدية. مع ذلك، تطوَّر العديد من منصات EPP ليضم قدرات EDR مثل تحليلات الكشف المتقدمة عن التهديدات وتحليل سلوك المستخدمين.

مثل EDR، تُعَد XDR (الكشف والاستجابة الموسَّعة) وMDR (الكشف والاستجابة المُدارة) حلولًا للمؤسسات تعتمد على التحليلات والذكاء الاصطناعي للكشف عن التهديدات. تختلف عن EDR من حيث نطاق الحماية الذي تقدِّمه، وطريقة تقديمها.

تعمل أنظمة XDR على دمج أدوات الأمان عبر البنية التحتية الهجينة بأكملها للمؤسسة -ليس فقط نقاط النهاية، بل الشبكات، والبريد الإلكتروني، والتطبيقات، وأعباء العمل السحابية، وغيرها- بحيث يمكن لهذه الأدوات العمل معًا والتنسيق في منع التهديدات الإلكترونية والكشف عنها والاستجابة لها. على غرار EDR، تتكامل أنظمة XDR مع أنظمة SIEM وSOAR وتقنيات أمن إلكتروني مؤسسية أخرى. تُعَد تقنية XDR، التي لا تزال ناشئة ولكنها تتطور بسرعة، قادرة على جعل مراكز العمليات الأمنية (SOCs) المثقلة بالعمليات أكثر كفاءة وفاعلية من خلال توحيد نقاط التحكم في الأمان والقياس عن بُعد والتحليلات والعمليات في نظام مؤسسي مركزي واحد.

تُعَد MDR خدمة أمن إلكتروني مُدارة خارجيًا تحمي المؤسسة من التهديدات التي تتجاوز عمليات الأمن الإلكتروني الخاصة بها. عادةً ما يقدِّم مزوِّدو MDR خدمات مراقبة وكشف ومعالجة التهديدات على مدار الساعة طوال أيام الأسبوع، بواسطة فريق من محللي الأمن ذوي الخبرة العالية يعمل عن بُعد باستخدام تقنيات EDR أو XDR القائمة على السحابة. يمكن أن تكون MDR حلًا جذابًا للمؤسسات التي تحتاج إلى خبرة أمنية تتجاوز ما هو متوفر ضمن موظفيها، أو إلى تقنيات أمنية تتجاوز ميزانيتها.