.jpg)
Kaspersky EDR یک راه حل امنیت سایبری برای محافظت از سیستم های IT شرکت ها است. ظرفیتهای تشخیص و پاسخ endpoint را به امنیت فناوری اطلاعات اضافه میکند: الگوهای حملات پیچیده را بهطور خودکار و دستی از رویدادهای بسیاری از میزبانها استخراج میکند. به حملات با جلوگیری از پیشرفت آنها پاسخ می دهد.
نیاز به EDR
چندی پیش، یک حمله سایبری معمولی از بدافزار انبوه استفاده می کرد. این Endpoint جداگانه را هدف قرار می دهد و در داخل یک کامپیوتر منفجر می شود. حملات انبوه بدافزارها خودکار هستند، قربانیان تصادفی را از طریق ایمیلهای انبوه، وبسایتهای فیشینگ، نقاط مهم Wi-Fi سرکش و غیره انتخاب میکنند. راه حل، راهحلهای حفاظت (EPP) Endpoint بود که میزبانها را در برابر بدافزارهای انبوه محافظت میکرد.
در مواجهه با شناسایی موثر مبتنی بر EPP، مهاجمان به تاکتیکهای پرهزینهتر، اما مؤثرتر برای انجام حملات هدفمند علیه قربانیان خاص روی آوردند. به دلیل هزینه زیاد، معمولاً از حملات هدفمند علیه شرکت ها با هدف کسب سود استفاده می شود. حملات هدفمند شامل شناسایی است و برای نفوذ به سیستم IT قربانی و فرار از محافظت از آن طراحی شده است. زنجیره کشتار حمله میزبان بسیاری از سیستم IT را در بر می گیرد.
با توجه به تنوع زیاد روشها و ماهیت تعاملی و انسانی آنها، حملات هدفمند میتوانند از امنیت مبتنی بر EPP فرار کنند:
EPP ها بر آنچه در یک Endpointمی بینند تکیه می کنند. اما حملات پیشرفته بر روی بسیاری از میزبان ها اعمال می شود و اقدامات نسبتاً غیر مشکوکی را در Endpoint دیگری انجام می دهد. حتی اگر EPP های میزبان برخی از این اقدامات را شناسایی کنند، مهاجمان در نهایت یک زنجیره کشتار چند میزبان می سازند. آثار چنین حملاتی در بسیاری از میزبان ها پراکنده است.
از آنجایی که حکم EPP خودکار است، مهاجمان می توانند تأیید کنند که حمله آنها توسط EPP قربانی یا سایر راه حل های امنیتی خودکار شناسایی نشده است. مهاجمان کل مزارع ضد بدافزار را فقط برای این مورد نگهداری می کنند.
فروشندگان نمی توانند تنها با "پارانوئید" کردن راه حل های EPP به دلیل خطر مثبت کاذب، محافظت را افزایش دهند. بنابراین حتی زمانی که اتفاق مبهم روی یک میزبان میافتد که میتواند بخشی از یک زنجیره کشتن و همچنین یک اقدام قانونی باشد، EPP طوری طراحی شده است که تداخل نداشته باشد.
