باج گیر

باج افزار RaaS چیست و چرا خطرناک است؟

/در /توسط

پوشیده نیست که باج افزار (ransomware ) سریعا به خطرناک­ترین تهدید برای سازمان­ها تبدیل می­شود. تعداد حملات باج افزار به صورت چشمگیری در حال افزایش است، که عمدتا ناشی از پاندمی کرونا است. به­ صورت جهانی، حملات باج افزار در سال 2020 به بیش از 60% افزایش یافت که 158% آن در آمریکای شمالی بود و ادارۀ فدرال تحقیقات (FBI) 20 % بیشتر شکایات از باج افزار دریافت کرد. در نیمۀ اول سال 2020، حملات باج افزار در مقایسه با دورۀ زمانی مشابه در سال گذشته به 151% افزایش یافت.

یکی از دلایلی که حملۀ باج افزار فراوان شده است، افزایش RaaS یا باج افزار به­عنوان سرویس است. این مساله به چگونگی انجام حملات و استقرار باج افزار در شبکه ها است که شانس موفقیت را افزایش می دهد.  ما این توسعه باج‌افزار جدید را بررسی می‌کنیم و نکاتی را در مورد اینکه چگونه می‌توانید بهتر از خود دفاع کنید به شما ارائه می‌کنیم.

باج افزار به چه صورت عمل می­کند؟

باج‌افزار تا حد زیادی از طریق Exploit-kit ها ساخته میشود. ابزاری که می‌توان از طریق انجمن‌های هکری و Dark Web خریداری کرد. باج افزار Hermes مثال خوبی است. اکسپلویت کیت ها، حاوی بدافزار، روتکیت‌ها و باج‌افزار هستند که معمولاً به منظور استفاده از یکی از آسیب‌پذیری های موجود ساخته می‌شوند که به بدافزار اجازه می‌دهد تا شبکه را آلوده کند. این امر به خریدار این امکان را می دهد که تلاش کند تا سازمان را با یک بدافزار آلوده کند در صورتی که سازمان آسیب‌پذیری های مربوطه را اصلاح نکرده باشد٬ اما هکرها می‌توانند از انواع دیگر حملات مانند فیشینگ برای نفوذ استفاده کنند.

بسته به اکسپلویت کیتی که یک هکر میتواند خریداری کند، هکر می­تواند حملۀ مخربی را ترتیب دهد که این حمله ممکن است شامل باج افزار کدگذاری شده در یک فایل مخرب باشد که پاداش های تمام افرادی که فایل را دانلود کرده اند را گرداوری می­کند. در هر حال، این نوع از باج افزار بطور گسترده­ای بدلیل نبود کارایی دچار رکود شده است.

مدل قدیمی نفوذ مربوط به ارسال ایمیل‌های فیشینگ است  با این امید که فردی یک پیوست مخرب را دانلود کند، که اغلب کار نمی‌کند. ضد فیشینگ، AV، شناسایی بدافزار، فیلترهای هرزنامه می توانند این نوع حملات باج افزار را در مراحل مختلف زنجیره حمله متوقف کنند.

حتی در مقابل با باج افزار کالا (commodity ransomware) مانند هرمس، داشتن فایل پشتیبان  (Backup File) برای مواجهه با حملات باج افزار کافی است.

از آن جایی که باج افزار در دسترس تمامی خریداران قرار دارد، محققان امنیت توانستند کلیدهای کشف رمز (Decryption keys) را توسعه دهند و هدف­ها را از باج افزار دور کنند، بدون آن که آنها را وادار به پرداخت باج به حمله کنندگان کنند و در عوض، توسعه­دهندگان باج افزار را وادار می­کنند که فایل های مخرب خود را بطور پیوسته به روز رسانی کنند (بدلیل اینکه آنتی ویروس ها آنها را شناسایی کرده اند، پس باید تغییراتی در آنها داده شود تا دوباره هکر ها بتوانند از آنها استفاده ببرند).

و نتیجه میگیریم حملات باج افزار چندان کارامد و موثر نبودند و هکرها باید روش دیگری را پیدا کنند.

توصیف باج افزار به عنوان سرویس

خطرناک ترین گروه های باج گیر تصمیم گرفتند موثرترین باج افزار خود را خصوصی کنند و یک قدم فراتر بروند. به جای اینکه آن را بفروشند و به عاملین بد اجازه دهند آزادانه از آنها استفاده کنند، تصمیم گرفتند باج افزار را به صورت یک وب سرویس لایسنس دار در بیاورند، و به صورت درصدی هزینه ها را با خریداران این سرویس های مخرب تقسیم کنند.

این بدان معناست که یک عامل بد خدمات گروه‌های هکر را به طور کامل برون‌سپاری می‌کند– این موضوع تغییری اساسی در نحوه انجام حملات باج‌افزار به شمار میرود.

گروه‌های هکر به‌جای استفاده از این ابزار در حملات فیشینگ و هرزنامه‌ها، یا به سازمان‌های هدف نفوذ می‌کنند یا باج‌افزار را در اهدافی که عوامل مخرب قبلاً راه خود را پیدا کرده‌اند، مستقر می‌کنند.

این مساله دو مزیت برای حمله کننده های باج افزار به همراه دارد:

سازمان­هایی که قبلا به خطر افتاده ­اند:  این حملات حملاتی با سبک سنتی نیستند بلکه حملات هدفمند تری هستند که یک سازمان به خطر افتاده را آلوده می‌کنند و شانس موفقیت را افزایش می‌دهند. و از آنجا که عوامل مخرب در حال حاضر در محیط یک شرکت هستند، احتمال بیشتری وجود دارد که باج افزارها بخش بزرگتری از شبکه سازمان را تحت‌تاثیر قرار دهد.

هیچ کلید رمزگشایی در دسترس وجود ندارد: امنیت سایبری به اطلاعات بستگی دارد. این واقعیت که باج گیر  در چنین مقیاس وسیعی مورد استفاده قرار می‌گرفت، امکان توسعه کلیدهای رمزگشایی را برای محققان امنیتی فراهم کرد. با این حال، باج‌افزار خیلی در دسترس نیست و تنها در برابر سازمان‌ها به‌طور کم استفاده می‌شود که این مسئله ساخت کلیدهای رمزگشایی را دشوارتر می‌کند.

باج افزار Ryuk مثال خوبی برای این موضوع است. این باج افزار که فقط توسط گروه هکر WIZARD SPIDER مجوز داده شده است، اشتراکات زیادی با هرمس دارد، اما تنها شرکت های بزرگ را با این باج گیر هدف قرار می دهد. و از آنجایی که به طور گسترده برای خرید در دسترس نیست، ویژگی های مخصوص به قربانی را برای هر حمله ایجاد می کند که ایجاد یک کلید رمزگشایی برای آن را بسیار دشوارتر می کند.

 

RaaS احتمالا به هنجار جدید تبدیل می­شود

متاسفانه، این توسعۀ جدید احتمالا حفظ می­شود. روش جدید، مزایای بیشتری برای متهاجمان دارد. هکر مخرب به دنبال آن است تا سازمانی را آلوده کند که احتمال موفقیت در آن بالاتر است و گروه باج افزار بدون انجام دادن کار بیشتر قادر به انجام حمله و سرقت اطلاعات است.

در نتیجه، قبلاً دیده‌ایم که گروه‌های باج‌افزار مدل کارتلی را اتخاذ کرده و با گروه‌های باج‌افزاری کوچک‌تر کار می‌کنند و شبکه‌ای سازمان‌یافته از مجرمان باج‌افزار را ایجاد می‌کنند. موفقیت مشاهده شده این مدل به این دلیل است که احتمالاً این مدل باقی می ماند و در آینده نزدیک افزایش می یابد.

این مساله بخشی از این دلیل است که حملات باج افزار بسیار افزایش یافته است و ما شاهد پرداخت های بزرگتر و بزرگتر هستیم. متوسط پرداخت باج افزار به طور چشمگیری افزایش یافت و به بیش از 300 هزار دلار در سال 2020 رسید که نشان دهنده افزایش 171 درصدی است.

سازمان­ها همچنان می­توانند از خودشان در برابر RaaS محافظت کنند.

با وجود این تحولات جدید، این بدان معنا نیست که سازمان ها در برابر این سبک از حملات درمانده هستند. خوشبختانه، سازمان ها می توانند از ابزارها، فرآیندها و راه حل های موجود برای محافظت از خود در برابر باج افزار استفاده کنند.

در اینجا چند زمینه وجود دارد که باید آنها را در اولویت قرار دهید.

دفاع سنتی در مقابل باج افزار را متوقف نکنید

فیلترهای هرزنامه، AV، و ابزارهای تشخیص و حذف ضد بدافزار به اندازه کافی موثر بوده اند تا مجرمان را مجبور به اتخاذ روش های دیگر کنند و حتی ممکن است مانع از اجرای باج افزار در محیط شما شوند. این ابزارها و همچنین برنامه های آموزشی آگاهی امنیتی باید همچنان مورد استفاده قرار گیرند و اولویت بندی شوند.

همیشه نسخه­ های پشتیبان همراه داشته باشید

اگر می‌توانید از فایل‌های خود نسخه پشتیبان تهیه کنید یا محیط خود را به مرحله قبل از آلودگی باج گیر برگردانید، برای شروع فرآیند بازیابی نیازی به پرداخت باج ندارید. اطمینان حاصل کنید که پشتیبان‌های شما کاملاً از شبکه اصلی شما جدا شده‌اند تا از آلودگی جلوگیری کنید.

 

 

روی ابزارهای نظارت و شناسایی سرمایه گذاری کنید

 

پیش درآمد این حملات باج گیر جدید، نفوذ است. اگر بتوانید ورود یک فرد غیرمجاز به شبکه خود را شناسایی کنید، می توانید از حمله جلوگیری کرده و به طور بالقوه آنها را قبل از اینکه آسیبی وارد کند از محیط خود بیرون کنید.

تا حد امکان از قطعه بندی شبکه استفاده کنید

این موضوع همیشه در برابر باج افزار کار کرده و هنوز هم جواب می دهد. اگر یک سیستم قطعه بندی شبکه مقاوم دارید، باید بتوانید از آلوده کردن باج‌افزارها به مهم‌ترین دارایی‌های تجاری‌تان جلوگیری کنید و حتی از تهدیدهای اخاذی یا نشت داده‌ها جلوگیری کنید.

طرح پاسخ آماده داشته باشید

سازمان­ها باید برای مقابله با حملات باج افزار آمادگی کامل داشته باشد. یعنی باید یک طرح واکنش به حادثه ساخته شود و حتی در مواردی ممکن است بخواهید از یک شریک بررسی قضایی در سازمان استفاده کنید که در صورت خطر می تواند به سازمان کمک کنند.

ظهور RaaS بسیار نگران کننده است، اما اصول، روش ها، ابزارها و سیستم های امنیتی هنوز هم قابلیت های دفاعی، شناسایی و پاسخ قوی را ارائه می دهند. این اولویت های مهم را نادیده نگیرید و شرکای اهرمی را در نظر بگیرید که می توانند در قسمت تشخیص و پاسخ کمک کنند.

در این لینک درباره decryptor که به بیش از 1400 شرکت در 83 کشور کمک کرد تا فایل های خود را بازیابی کنند و بیش از 550 میلیون دلار باج پرداخت نشده را ذخیره کنند، بیشتر بیاموزید.

EDR در مقابل آنتی ویروس، تفاوتشان در چیست ؟

/در , /توسط

(Endpoint Detection and Response)  EDR  یک جایگزین مدرن برای مجموعه های امنیتی آنتی ویروس است. برای چند دهه، سازمان‌ها و کسب‌وکارها به امید حل چالش‌های امنیت سازمانی، روی مجموعه‌های آنتی‌ویروس سرمایه‌گذاری کرده‌اند. اما همانطور که پیچیدگی و شیوع تهدیدات بدافزار در ده سال گذشته افزایش یافته است. کاستی های آنتی ویروسی که اکنون از آن به عنوان “میراث” یاد می شود بسیار معلوم شده است.

در پاسخ، برخی از فروشندگان دوباره به چالش های امنیت سازمانی فکر کردند و راه حل های جدیدی برای شکست آنتی ویروس ارائه کردند. EDR چه تفاوتی با آنتی ویروس دارد؟ چگونه و چرا EDR موثرتر از AV  (Antivirus) است؟ و پیچیدگی های جایگزینی AV با یک EDR پیشرفته در چیست؟ پاسخ تمام این سوالات و موارد دیگر را در این پست خواهید یافت.

 

چه چیزی EDR را با آنتی ویروس متفاوت می کند؟

برای اینکه به اندازه کافی از کسب و کار یا سازمان خود در برابر تهدیدات محافظت کنید، مهم است که تفاوت بین EDR و آنتی ویروس سنتی یا قدیمی را درک شود. این دو رویکرد امنیتی، اساساً متفاوت هستند و تنها یکی برای مقابله با تهدیدات مدرن مناسب است.

 

ویژگی های آنتی ویروس:

در روزهایی که تعداد تهدیدات بدافزار جدید در روز را می‌توان به راحتی در یک سند Excel شمارش کرد، آنتی‌ویروس ابزاری برای مسدود کردن بدافزارهای شناخته‌شده با بررسی – یا اسکن – فایل‌هایی که روی دیسک روی یک دستگاه کامپیوتری نوشته شده بودند را به شرکت‌ها ارائه داد. اگر فایل موردنظر در پایگاه داده فایل های مخرب اسکنر AV «شناخته شده» بود، نرم افزار از اجرای فایل بدافزار جلوگیری می کرد.

پایگاه داده آنتی ویروس سنتی از مجموعه ای از امضاها تشکیل شده است. این امضاها ممکن است حاوی هش‌های یک فایل بدافزار و/یا قوانینی باشند که حاوی مجموعه‌ای از ویژگی‌هایی هستند که فایل میبایست با آنها مطابقت داشته باشد. چنین ویژگی‌هایی معمولاً شامل مواردی مانند: رشته‌های قابل خواندن توسط انسان یا دنباله‌هایی از بایت‌های موجود در فایل اجرایی بدافزار، نوع فایل، اندازه فایل و انواع دیگر فراداده‌های مربوط به فایل است.

برخی از موتورهای آنتی ویروس همچنین می توانند تجزیه و تحلیل اکتشافی اولیه را روی فرآیندهای در حال اجرا (Running processes) انجام دهند و یکپارچگی فایل های مهم سیستم را بررسی کنند. این بررسی‌های «بعد از واقعیت» یا پس از آلودگی پس از سیل نمونه‌های بدافزار جدید به طور روزانه به بسیاری از محصولات AV اضافه شد. که به دلیل حجم بالا،اینکار از توانایی فروشندگان AV برای به‌روز نگه‌داشتن پایگاه‌های داده‌شان خارج شد.

با توجه به تهدیدات رو به رشد و کاهش کارایی رویکرد آنتی ویروس، برخی از فروشندگان قدیمی سعی کرده اند آنتی ویروس را با سرویس های دیگری مانند کنترل فایروال (firewall control)، رمزگذاری داده ها (dataencryption)، مجوز فرآیند (process allows) و لیست های مسدود (Blocklists) ، و سایر ابزارهای مجموعه AV تکمیل کنند. چنین راه حل هایی که به طور کلی به عنوان “EPP” (Endpoint Protection Platforms) یا پلتفرم های محافظت نقطه پایانی شناخته می شوند، مبتنی بر رویکرد امضاء هستند.

 

ویژگی های EDR:

در حالی که تمرکز همه راه‌حل‌های AV بر روی فایل‌های (بالقوه مخرب) است که به سیستم معرفی می‌شوند، یک EDR به صورت بلادرنگ بر جمع‌آوری داده‌ها از نقطه پایانی و بررسی آن داده‌ها برای الگوهای غیرعادی عمل می‌کند. همانطور که از نام EDR پیداست، ایده این سیستم تشخیص عفونت و شروع پاسخ است. هرچه EDR سریعتر بتواند این کار را بدون دخالت انسان انجام دهد، موثرتر خواهد بود.

یک EDR خوب همچنین شامل قابلیت هایی برای مسدود کردن فایل های مخرب است، اما مهمتر از همه EDR ها تشخیص می دهند که همه حملات مدرن مبتنی بر فایل نیستند. علاوه بر این، EDR‌های فعال ویژگی‌های مهمی را که در آنتی‌ویروس یافت نمی‌شوند به تیم‌های امنیتی ارائه می‌دهند. از جمله پاسخ خودکار و دید عمیق در مورد تغییرات فایل، ایجاد فرآیند و اتصالات شبکه در نقطه پایانی: برای شکار تهدیدات (threat hunting)، پاسخ به حادثه (incident response)، و جرم شناسی دیجیتال (digital forensics) حیاتی است.

دلایل زیادی وجود دارد که چرا راه‌حل‌های آنتی ویروس نمی‌توانند با تهدیداتی که امروزه شرکت‌ها با آن مواجه هستند، هماهنگی داشته باشند. اول، همانطور که در بالا اشاره شد، تعداد نمونه‌های بدافزار جدیدی که روزانه مشاهده می‌شوند، بیشتر از تعداد افرادی است که روی فایل های مخرب اثر انگشت میگذارند (توضیح مترجم: یک سری افراد در تیم های امنیتی روی فایل های مخرب یک امضا قرار میدهند که امکان شناسایی، حذف و قرنطینه را به آنتی ویروس میدهد. به این ترتیب کسانی که این اثر انگشت هارا روی ویروس ها میگذارند team of signature writers میگویند . این لینک توضیحات مناسبی دارد).

دوم، شناسایی از طریق امضاهای آنتی ویروس اغلب می‌تواند به راحتی توسط عوامل تهدید حتی بدون بازنویسی بدافزار آنها دور زده (Bypass) شود. از آنجایی که امضاها فقط بر روی چند مشخصه از فایل تمرکز دارند، نویسندگان بدافزار یاد گرفته‌اند که چگونه بدافزاری ایجاد کنند که ویژگی‌های متغیری داشته باشد که به عنوان بدافزار چند شکلی (polymorphic malware)نیز شناخته می‌شود. برای مثال، هش‌های فایل یکی از ساده‌ترین ویژگی‌های یک فایل برای تغییر هستند، اما رشته‌های داخلی (internal strings) نیز می‌توانند به‌طور تصادفی، با تولید هر نسخه از بدافزار رمزگذاری شوند.

سوم، عوامل تهدید با انگیزه مالی مانند سازندگان باج افزار، فراتر از حملات بدافزار مبتنی بر فایل عمل کرده اند. حملات درون حافظه یا بدون فایل رایج شده‌اند، و حملات باج‌افزاری که توسط انسان انجام می‌شود، مانند Hive – همراه با حملات «اخاذی مضاعف» مانند Maze، Ryuk  و موارد دیگر – که ممکن است با اعتبار اجباری به خطر افتاده یا بی‌رحمانه یا سوءاستفاده از RCE (اجرای کد از راه دور) (Remote code execution)شروع شود. آسیب‌پذیری‌ها، می‌توانند منجر به به خطر افتادن و از دست دادن مالکیت شود. و دیگر با استفاده از آنتی ویروس و شناسایی امضای دیجیتال نمیشود کاری کرد.

 

مزایای EDR:

EDR  با تمرکز بر روی ارائه دید همراه با پاسخ‌های تشخیص خودکار به تیم‌های امنیتی سازمانی، برای مقابله با عوامل تهدید امروزی و چالش‌های امنیتی که آنها ارائه می‌کنند بسیار مجهزتر است.

EDR با تمرکز بر شناسایی فعالیت غیرمعمول و ارائه پاسخ، تنها به شناسایی تهدیدهای شناخته شده و مبتنی بر فایل محدود نمی شود. برعکس، ارزش اصلی EDR این است که مثل آنتی ویروس نیست و تهدید نیازی به تعریف دقیق ندارد،. یک راه حل EDR می تواند الگوهای فعالیت غیرمنتظره، غیرمعمول و ناخواسته را جستجو کند و هشداری را برای تحلیلگر امنیتی صادر کند تا آن را بررسی کند.

علاوه بر این، از آنجایی که EDR ها با جمع آوری طیف وسیعی از داده ها از تمام نقاط پایانی محافظت شده کار می کنند، به تیم های امنیتی این فرصت را می دهند تا آن داده ها را در یک رابط راحت و متمرکز گرد هم آورند. تیم‌های فناوری اطلاعات می‌توانند آن داده‌ها را گرفته و آن‌ها را با ابزارهای دیگر برای تجزیه و تحلیل عمیق‌تر ادغام کنند و به اطلاع‌رسانی وضعیت امنیتی کلی سازمان در هنگام حرکت برای تعریف ماهیت حملات احتمالی آینده کمک کنند. داده های جامع از یک EDR همچنین می تواند شکار و تجزیه و تحلیل تهدیدات گذشته نگر را امکان پذیر کند.

علاوه بر این، از آنجایی که EDR ها با جمع آوری طیف وسیعی از داده ها از تمام نقاط پایانی محافظت شده کار می کنند، به تیم های امنیتی این فرصت را می دهند تا آن داده ها را در یک رابط راحت و متمرکز تجسم کنند. تیم‌های فناوری اطلاعات می‌توانند آن داده‌ها را گرفته و آن‌ها را با ابزارهای دیگر برای تجزیه و تحلیل عمیق‌تر ادغام کنند و به اطلاع‌رسانی وضعیت امنیتی کلی سازمان در هنگام حرکت برای تعریف ماهیت حملات احتمالی آینده کمک کنند. همچنین می تواند شکار و تحلیل تهدیدات گذشته نگر را فعال کند.

 

چگونه EDR آنتی ویروس را تعریف میکند:

موتورهای آنتی ویروس علیرغم محدودیت‌هایشان وقتی به تنهایی یا به‌عنوان بخشی از راه‌حل EPP مستقر می‌شوند، می‌توانند تمجیدهای مفیدی برای راه‌حل‌های EDR باشند، و بیشتر EDR‌ها شامل برخی از عناصر مسدودسازی مبتنی بر امضا و هش به عنوان بخشی از استراتژی «دفاع در عمق» هستند.

با ترکیب موتورهای آنتی ویروس در یک راه حل موثرتر EDR، تیم های امنیتی سازمانی می توانند از مزایای مسدود کردن ساده بدافزارهای شناخته شده بهره ببرند و آن را با ویژگی های پیشرفته ای که EDR ها ارائه می دهند ترکیب کنند.

اجتناب از خستگی هشدار با Active EDR:

همانطور که قبلاً اشاره کردیم، EDR ها امنیت سازمانی و تیم های فناوری اطلاعات را در تمام نقاط پایانی در سراسر شبکه سازمان دید عمیقی ارائه می دهند و  تعدادی از مزیت ها را امکان پذیر می کند. با این حال، علی‌رغم این مزایا، بسیاری از راه‌حل‌های EDR تأثیری را که تیم‌های امنیتی سازمانی امیدوار بودند، نداشته باشند، زیرا به منابع انسانی زیادی برای مدیریت نیاز دارند: منابعی که اغلب به دلیل محدودیت‌های کارکنان یا بودجه در دسترس نیستند یا به دلیل کمبود مهارت‌های امنیت سایبری، غیرقابل دسترسی هستند.

بسیاری از سازمان‌هایی که در EDR سرمایه‌گذاری کرده‌اند، به‌جای لذت بردن از امنیت بیشتر و کار کمتر برای تیم‌های امنیتی و IT خود، به سادگی منابع را از یک وظیفه امنیتی به دیگری تخصیص داده‌اند: به دور از تریاژ دستگاه‌های آلوده تا تریاژ کوهی از هشدارهای EDR.

و با این حال لازم نیست اینطور باشد. شاید ارزشمندترین پتانسیل EDR توانایی آن در کاهش مستقل تهدیدات بدون نیاز به دخالت انسان باشد. با استفاده از قدرت یادگیری ماشین و هوش مصنوعی، Active EDR بار را از دوش تیم SOC برمی‌دارد و می‌تواند به طور مستقل رویدادها را در نقطه پایانی بدون تکیه بر منابع ابری کاهش دهد.

 

EDR فعال برای تیم شما چه معنایی دارد:

این سناریوی معمولی را در نظر بگیرید: کاربر یک برگه را در Google Chrome باز می کند، فایلی را که معتقد است امن است دانلود می کند و آن را اجرا می کند. این برنامه از PowerShell برای حذف پشتیبان‌گیری‌های محلی استفاده می‌کند و سپس شروع به رمزگذاری تمام داده‌های روی دیسک می‌کند.

کار یک تحلیلگر امنیتی با استفاده از راه حل های EDR  غیرفعال می تواند سخت باشد. با وجود هشدارها، تحلیلگر باید داده ها را در یک گزارش معنادار جمع کند. با EDRفعال ، این کار در عوض توسط عامل در نقطه پایانی انجام می شود.  EDR فعال گزارش کامل را می داند، بنابراین در زمان اجرا، قبل از شروع رمزگذاری، این تهدید را کاهش می دهد.

هنگامی که داستان کمرنگ میشود، تمام عناصر موجود در آن داستان، تا برگه کروم که کاربر در مرورگر باز کرده است،  مورد مراقبت قرار داده می‌شود. با دادن شناسه TrueContext به هر یک از عناصر داستان کار می کند. این داستان‌ها سپس به کنسول مدیریت ارسال می‌شوند و امکان مشاهده و جستجوی آسان تهدید را برای تحلیلگران امنیتی و مدیران فناوری اطلاعات فراهم می‌کنند.

 

فراتر از EDR | XDR برای حداکثر دید و یکپارچگی:

در حالی که Active EDR گام بعدی برای سازمان‌هایی است که هنوز آنتی ویروس را پشت سر نمی‌گذارند، شرکت‌هایی که به حداکثر دید و یکپارچگی در کل دارایی خود نیاز دارند، باید به تشخیص و پاسخ گسترده یا XDR فکر کنند.

XDR ، EDR را با ادغام تمامی کنترل‌های دید و امنیت در یک نمای کاملاً جامع از آنچه در محیط شما اتفاق می‌افتد به سطح بعدی می‌برد. XDR با یک مجموعه واحد از داده‌های خام شامل اطلاعات از کل اکوسیستم، امکان شناسایی و پاسخ سریع‌تر، عمیق‌تر و مؤثرتر تهدید را نسبت به EDR می‌دهد و داده‌ها را از طیف وسیع‌تری از منابع جمع‌آوری و جمع‌آوری می‌کند.

 

نتیجه گیری:

عوامل تهدید مدت‌هاست که فراتر از آنتی‌ویروس و EPP فراتر رفته اندو سازمان‌ها باید در نظر داشته باشند که چنین محصولاتی با تهدیداتی که امروزه فعال هستند همخوانی ندارند. حتی نگاهی گذرا به سرفصل‌ها نشان می‌دهد که سازمان‌های بزرگ و ناآماده با وجود اینکه روی کنترل‌های امنیتی سرمایه‌گذاری کرده‌اند، توسط حملات مدرن مانند باج‌افزار گرفتار شده‌اند. وظیفه ما، به عنوان مدافع، این است که اطمینان حاصل کنیم که نرم افزار امنیتی ما نه تنها برای حملات دیروز، بلکه برای امروز و فردا مناسب است.