چگونه می توان سطح امنیت Endpointهای سازمانی را بالاتر برد؟

چگونه می توان سطح امنیت Endpointهای سازمانی را بالاتر برد؟

امروزه با توجه به تهدیدات سایبری پیشرفته، وجود پلتفرم های امنیتی برای محافظت از سطح امنیت endpoint ها، بیش از پیش احساس می شود. به ویژه حملات باج افزاری یکی از بزرگ ترین تهدیداتی است که موجب از دست رفتن داده ها، آسیب جدی به مشاغل و همین طور صدمه به برندینگ و خسارت های مالی سازمان می گردد. گسترش سریع شبکه های سازمانی، تاثیر مستقیم بر روی افزایش جرایم سایبری دارد.

با افزایش تعداد دستگاه ها و اپلیکیشن ها، تعداد endpointهایی که باید تحت محافظت قرار گیرند، در مقایسه با قبل بیشتر شده و سطح تهدیدات نیز برای آن ها پیچیده تر می گردد. و سازمان ها با خطراتی مواجه هستند که ممکن است بر روی عملکرد، اطلاعات و برندینگ شان تاثیر منفی بگذارد:

• Ransomware: یکی از اصلی ترین چالش های همه سازمان هاست؛ زیرا به شدت می تواند به اعتبار یک سازمان آسیب وارد نموده و به اطلاعات محرمانه آن ها دست پیدا کند.
• Phishing: کارمندان را فریب داده تا داده های مهم را در دسترس قرار دهند و یا بدافزاری را بر روی دستگاه های شان دانلود کنند.
• Data breach: موجبِ از دست رفتن داده های مهم شده و پس از آن به خسارت های مالی، تعهدات قانونی و از بین رفتن اعتبار شرکت منجر می گردد.
• Infostealerها مانند EvilExtractor یکی از تهدیدات رو به رشد است که با هدفِ دسترسی به داده های مهم مانند اطلاعات کارت های اعتباری و اطلاعات فردی از طریق endpointهای آلوده طراحی شده اند.

Enterprise Endpoint Security Drivers

نوآوری هایی مانند work from anywhere(WFA)، فرصت های سودآوری برای مجرمان سایبری ایجاد کرده تا با هدف قرار دادن شبکه های خانگی که غالبا از امنیت کافی برخوردار نیستند، به شبکه های سازمانی دست پیدا کنند. بنابراین تغییرات عملکردی در سازمان ها و شبکه ها و همچنین ماهیت تهدیدات، موجبِ پیدایش چالش های جدیدی شده اند.

• رشد تهدیدات باج افزاری

هر چه سازمان ها و افراد، اطلاعات بیشتری را به صورت دیجیتالی ذخیره کنند، ارزش آن اطلاعات، افزایش یافته و به تدریج به هدفی سودآور برای مهاجمان سایبری تبدیل می گردد.

در واقع تهدیدات باج افزاری برای سازمان ها یک مدل تجاری با سرمایه گذاری اندک و سود بالا است و محبوبیت آن در بین مهاجمان سایبری به حدی بالا رفته که باعث ایجاد مدل Ransomware-as-a-Service (RaaS) شده است.

بنابراین با توجه به رشد حملات باج افزاری، به سازمان ها توصیه می شود به دنبال روش هایی فعالانه باشند تا بتوانند سطح حملات را کاهش داده، از حملات بدافزاری جلوگیری کنند و همچنین تهدیدات احتمالی را به صورت real time شناسایی و مسدود کنند.

آنتی ویروس های (AV) قدیمی دیگر قادر به مقابله با باج افزارهای پیشرفته ی امروزی نیستند؛ بنابراین سازمان ها باید در جستجوی روش هایی قدرتمند تر برای تامین امنیت endpointها باشند.

• Work from anywhere (WFA)

به طور کلی تامین امنیت کارمندان دورکار، بسیار پیچیده بوده و مستلزم ایجاد پالیسی های امنیتی است که بتوان تهدیدات را فورا شناسایی و خنثی نمود.

کارمندانی که از شبکه های Virtual Private استفاده می کنند، می توانند دردسرهای زیادی به وجود آورند، زیرا V.P*Nها دسترسی های گسترده ای را به شبکه ایجاد نموده و مسیر را برای تهدیدات سایبری هموار می کنند. از طرفی به این دلیل که لپ تاپ های کاری از طریق شبکه های مختلف متصل می شوند، هدفی جذاب برای هکرها به حساب می آیند. بنابراین می توان گفت بهترین راهکارِ امنیتی، راهکاری است که بتواند از کاربران، تجهیزات، شبکه ها و اپلیکیشن ها به طور کامل محافظت کند.

• همگرایی شبکه های IT/OT

فناوری اطلاعات یا IT به استفاده از نرم افزارها و یا سیستم های کامپیوتری برای ذخیره سازی و مدیریت داده ها اشاره دارد؛ در حالی که operational technology (OT) به استفاده از تجهیزات فیزیکی برای کنترل فرایندهای صنعتی مانند کارخانجات مربوط می شود. امروزه با توجه به افزایش استفاده از تجهیزات هوشمند و IoT ، شاهدِ همگرایی شبکه های IT و OT هستیم. لازم به ذکر است این دستگاه ها، داده ها را جمع آوری نموده و فرایندها را به طور خودکار در می آورند و به این ترتیب به یکی از بخش های ضروریِ سازمان های امروزی تبدیل شده اند. اما از طرف دیگر موجب بروز تهدیدات امنیتی جدیدی می گردند.

برای رسیدگی به چالش های فوق الذکر، سازمان ها باید رویکردی جامع اتخاذ کنند تا امنیت endpointها را در هر دو سیستمِ IT و OT تامین کنند. چنین رویکردی شامل تکنولوژی های امنیتی مانند machine learning (ML) و artificial intelligence (AI) شده تا بتوان تهدیدات را در لحظه متوقف ساخت.

تکنولوژی های نوین امنیت سایبری، مستلزم پیاده سازی پالیسی های مناسبی بوده تا بتوان اطمینان حاصل کرد که کارمندان، بهترین شیوه های امنیتی را آموزش دیده اند و همچنین اقدامات امنیتی به طور مداوم بر روی تمامی endpointها اعمال شده اند.

چرا امنیت Endpointهای سازمانی مهم هستند؟

امنیت endpointهای سازمانی از این نظر حائز اهمیت هستند که می توانند از داده های کسب و کار محافظت کنند. امنیت endpointها را می توان یکی از المان های ضروری در مقوله امنیت شبکه دانست زیرا تک تک دستگاه هایی که به شبکه متصل می شوند، بر روی گسترش سطح حملات سایبری نقش دارند. دسکتاپ، لپ تاپ، گوشی های هوشمند، سرورها و تجهیزات IoT؛ همگی اهداف بالقوه ای برای مهاجمان سایبری هستند که آن ها را در برابر بدافزارها و دسترسی غیر مجاز به داده ها و سایر تهدیدات امنیتی، آسیب پذیر می سازند. و اما سازمان ها برای تامین امنیت endpointهای خود با چالش های زیر روبرو هستند.

• Standalone solutions

بسیاری از سازمان ها از تک محصولات امنیتی استفاده می کنند که فاقد قابلیت های یکپارچه سازی هستند. در این صورت ممکن است سازمان ها آسیب پذیری های امنیتی و یا عدم نظارت کامل بر روی شبکه را تجربه کنند.

• Diverse endpoints

سازمان های مدرن، مجموعه گسترده ای از endpointها اعم از لپ تاپ، دسکتاپ، گوشی های همراه، سرور و تجهیزات IoT را به کار می گیرند. ممکن است هر یک از این دستگاه ها دارای الزامات امنیتی، کانفیگ و یا سیستم عامل مخصوص به خود باشند، بنابراین اعمال یک پالیسی امنیتی واحد در چنین سازمانی، اثر بخش نخواهد بود.

• Lack of cybersecurity skills

امنیت سایبری یک فرایند پیچیده و در حال تکامل است و سازمان ها به CISO مجرب به همراه تیمی از متخصصان حرفه ای برای مدیریت و مقابله با تهدیدات امنیتی نیاز دارند. با این وجود، یافتن و حفظ نیروهای امنیتی، یک چالش بزرگ برای سازمان ها محسوب می شود.

• Increased volume of logged data

مدیریت و آنالیز حجم فراوان داده ها می تواند چالش برانگیز باشد، ضمن اینکه ممکن است به تاخیر در شناسایی و مقابله با تهدیدات بیانجامد.

• More personal devices

غالبا کارمندان از دستگاه های شخصی خود برای دسترسی به شبکه های سازمانی و داده ها استفاده می کنند. ممکن است این تجهیزات از امنیت کافی برخوردار نباشند که در این صورت استفاده از آن ها برای امنیت سازمان، خطر آفرین خواهد بود.

برررسی و حل مشکلات مذکور، به رویکردی جامع و یکپارچه نیاز دارد تا امنیت endpointها به طور موثر تامین شود. در ضمن این راهکارها باید با سیستم های فعلی قابل یکپارچه سازی باشند تا بتوان حجم فراوانی از داده ها را مدیریت و آنالیز نمود. سازمان ها هم وظیفه دارند بر روی استعدادهای امنیت سایبری سرمایه گذاری کنند و پالیسی های مناسبی را برای مدیریت تجهیزات شخصی برای اتصال به شبکه های سازمانی تعریف و اجرا کنند.

مشاهده Fortigate Firewall 100F

ایجاد استراتژی های امنیتی برای endpointها

آنچه که سازمان ها نیاز دارند، یک استراتژی امنیتی برای endpointهاست که شامل پیاده سازی اقدامات پیشرفته امنیتی مانند آنتی ویروس، فایروال های NGFW، intrusion detection systems (IDS) و ابزارهای مدیریت endpointها می گردد. این راهکارهای امنیتی باید به طور مرتب به روز رسانی شده و پچ های آپدیت را ارائه دهند تا بتوانند با جدیدترین تهدیدات امنیتی مقابله کنند. راهکارهای مدیریت شده می توانند به طور خودکار، این آپدیت ها را کامل کنند.

بسیاری از سازمان ها برای مقابله با تهدیدات احتمالی، به رویکرد endpoint detection and response (EDR) روی می آورند و از حملات باج افزاری و سایر تهدیدات بر روی endpointها جلوگیری می کنند. به طور کلی راهکارهای امنیت endpointها باید با تکنولوژی ها و استراتژی های دیگری مانند امنیت شبکه و رمزنگاری داده ها ادغام شود تا بتواند وضعیت امنیتی مطلوبی را رقم بزنند.

زمانی راهکارهای تامین امنیتِ endpointها را می توانیم به اندازه کافی اثربخش بدانیم که قادر به شناسایی و مقابله ی فوری با تهدیدات بوده و در انطباق با استانداردهایی مانند HIPAA، PCI DSS و GDPR به سازمان ها کمک کنند.

به طور کلی سازمان ها باید حوزه های ذیل را در استراتژی های امنیتی برای endpointهای خود بگنجانند:

• Data encryption

یکی از بهترین روش ها و آخرین راهکار دفاعی برای حفاظت از داده هاست؛ زیرا حتی اگر افراد غیر مجاز موفق شوند دسترسی پیدا کنند، قادر به رمزگشایی و خواندن اطلاعات نخواهند بود.

• Patch management

ارائه دهندگان نرم افزارها، همواره به دنبال آسیب پذیری های جدید بوده تا سریعا پچ های آپدیت را برای رفع آنها عرضه کنند. بنابراین به روز نگه داشتن نرم افزارها و سیستم عامل ها، یکی از مطمئن ترین راهکارهای دفاعی محسوب می شود.

• User awareness and training

یک نیروی کار که آموزش های لازم را ندیده باشد، می تواند هدف بسیار جذابی برای مهاجمان سایبری باشد. بنابراین ارائه آموزش های لازم به پرسنل، یکی از کلیدی ترین ارکان امنیت شبکه است.

انواع راهکارهای Endpoint Security

راهکارهای Endpoint detection and response (EDR)، endpoint protection platforms (EPP)، managed detection and response (MDR) و همچنین extended detection and response (XDR) دارای نام های مشابهی هستند، اما پارامترهای عملکردیِ آن ها متفاوت است. تفاوت اساسی آن ها به قرار ذیل می باشد:

• EPP: بر روی شناسایی و جلوگیری از تهدیداتِ شناخته شده تمرکز داشته و غالبا شامل ویژگی هایی مانند anti-malware، firewall ، intrusion detection و prevention می گردد.
• EDR: به شناسایی تهدیدات پیشرفته مانند fileless malware و ransomware پرداخته و همچنین با کمک الگوریتم machine learning به مقابله ی real time با تهدیدات می پردازد. در صورتی که یک endpoint در معرض خطر قرار گیرد، بر روی تشخیص تهدیدات پیشرفته و مقابله فوری با آن ها تمرکز دارد، در حالی که راهکار EPP بیشتر از یک رویکرد کلی تر استفاده می کند. تفاوت بین EDR و آنتی ویروس های قدیمی تر این است که EDR در کنار سایر اقدامات پیشگیرانه از جمله آنتی ویروس کار می کند، اما EDR قادر است نظارت کامل تر و دقیق تری بر روی endpointها فراهم کند.
• XDR: به ادغام داده ها از منابع مختلف مانند endpointها، شبکه و فضای ابری می پردازد و از آنالیزهای پیشرفته و ML برای شناسایی و خنثی سازی تهدیدات استفاده می کند.

مزایای EDR

به طور کلی راهکارهای EDR در زمینه ی ارائه نظارت لحظه ای، شناسایی تهدیدات و همین طور مقابله با حملات سایبری، فراتر از AVهای قدیمی هستند. آنها با استفاده از AI/ML و همچنین تجزیه و تحلیل الگوهای رفتاری، قادر به شناسایی تهدیداتی می باشند که ممکن است اقدامات امنیتی قدیمی را دور بزنند. راهکارهای EDR را می توان جز ابزارهای پیشرفته در حوزه ی امنیت سازمانی دانست. آن ها به طور مداوم در حال رصد کردن دستگاه end-userها بوده تا تهدیدات سایبری مانند ransomware یا malware را شناسایی و خنثی کنند. این راهکارها، داده های جمع آوری شده توسط endpointها (هر دستگاهِ متصل به شبکه) را با استفاده از ML مورد تجزیه و تحلیل قرار داده تا بتوانند تهدیدات سایبری را پیش بینی کنند.

در قدم بعدی، راهکارهای EDR اقدام به ارسال هشدار و اطلاعات مربوطه به مدیران شبکه نموده تا شدت حمله ی مورد نظر را بشناسند. به کمکِ سیستم های ML، مثبت کاذب زیادی اتفاق نمی افتد، بنابراین تحلیلگران امنیت می توانند بر روی حملات، تمرکز کنند.

یکی دیگر از مزایای راهکارهای EDR، قابلیت مقابله ی خودکار با تهدیدات است که به تیم امنیت، امکانِ مهار سریع حمله ی مورد نظر را می دهد. ضمن اینکه با قابلیت های امنیتی خود به سازمان ها کمک می کند تا مجموعه گسترده ای از تهدیدات، از جمله ransomware و advanced persistent threats (APTs) را شناسایی کنند.

سازمان ها با انتخاب EDR، می توانند به سرعت با حملات سایبری مقابله نموده، خسارت ها را به حداقل برسانند و همچنین مانع از حملات آتی شوند، ضمن اینکه با تامین امنیت endpointها، وضعیت کلی امنیت را بهبود بخشیده و از شبکه های سازمانی در برابر تهدیدات پیچیده محافظت کنند.

ارزیابی راهکارهای EDR

برای یافتن بهترین راهکار EDR که متناسب با نیازهای سازمانی بوده و بتواند امنیت endpointها را در برابر جدیدترین تهدیدات تامین کنند، موارد ذیل توصیه می شود.

• Endpoint visibility: به طور کلی نظارت بر روی عملکرد endpointها به تیم امنیت شبکه این امکان را می دهد که سریعا موارد مشکوک را شناسایی نموده و از داده های سازمانی محافظت کنند.
• Flexible platform: راهکار انتخابی باید بتواند از سیستم های قدیمی و محیط های OT نیز پشتیبانی کنند تا از همه ی endpointها محافظت شود.
• Robust threat database: برخی از راهکارهای EDR از بانک اطلاعاتی که مرتبا توسط دیتابیسِ کلود، به روز رسانی می شود استفاده نموده و شناخت قوی تری از تهدیدات بالقوه ایجاد می کنند. در ضمن این داده ها را برای اصلاح و learn کردن بهترِ AI/ML به کار می گیرند.

• Real-time infection protection: راهکار انتخابی باید بتواند به طور موثر، نقض داده ها را کاهش داده و dwell time یا زمانِ باقی ماندن یک تهدید پس از نفوذ موفقیت آمیز به شبکه، پیش از آن که شناسایی شود را از بین ببرد.
• Automatic incident response: همان طور که هکرها از اتوماسیون در حملات خود استفاده می کنند، سازمان ها هم باید مقابله خودکار با استفاده از AI/ML را به کار گیرند.
• Prevent data exfiltration: تمامی راهکارهای EDR باید بتوانند مانع از استخراج غیر مجاز داده ها از تجهیزاتِ endpoint ها گردند.
• Block C2 connections: مانع از تسلط طولانی مدت مجرمان سایبری بر روی شبکه های سازمانی می گردد.
• Customizable incident response plan: یک فرایند قابل سفارشی می تواند به مرکز SOC کمک کند تا اثربخشی خود را بالاتر برده و اقدامات امنیتی را بهینه سازند.
• Device control: بهتر است راهکارهای امنیتی EDR برای به حداقل رساندن حملات باج افزاری، از پالیسی های موجود برای شناسایی و کنترل USBهای ناشناخته/ تایید نشده استفاده کنند.

نقش فورتی نت در تامین امنیت endpointها

سازمان ها می بایست به منظور دستیابی به امنیتی کامل برای endpointها، اجرای یک چارچوب امنیتی قدرتمند را در اولویت قرار دهند. چارچوبی که شامل راهکارهای پیشرفته ی تامین امنیت endpointها، پروتکل های امنیت شبکه و برنامه های آموزشی کاربران گردد. علاوه بر این، ممیزی های منظم امنیتی و ارزیابی های تهدیدات می توانند نقش موثری در شناسایی آسیب پذیری ها و اطمینان از به روز بودن اقدامات امنیتی داشته باشند.

کارشناسان امنیت به یک استراتژی جامع و موثر برای endpointها نیاز دارند. و FortiEDR همان راهکار کامل و جامع است که قابلیت های EPP و EDR را با هم یکپارچه می سازد؛ همچنین عملکرد آن در سطوح عمیق بوده و قابلیت ML و محافظتی جامع برای endpointها را با اجرای همزمان سیستم عامل های قدیمی و جدید ارائه می دهد.

FortiEDR به سازمان ها کمک می کند تا بدون کوچک ترین اختلال در عملکرد شبکه به صورت خودکار و در لحظه، تهدیدات را شناسایی و متوقف کنند. ضمن اینکه هر دو پلتفرمِ endpoint protection platform (EPP) و EDR را در یک عامل واحد ارائه می کند.

این پلتفرم را می توان در محیط ابری یا در محیط فیزیکی به کار برد. مکانیسم‌های حفاظتی و الگوریتم‌های شناساییِ FortiEDR به‌جای تکیه بر کلود، مستقیماً بر روی دستگاه‌های endpoint (مانند رایانه‌ها، لپ‌تاپ‌ها، سرورها) پیاده‌سازی می‌شوند و از آنجایی که FortiEDR مستقیماً بر روی endpointها کار می کند، می تواند به طور موثر امنیت را حتی زمانی که به اینترنت یا زیرساخت ابری متصل نیستند، ارائه دهد. علاوه بر این FortiEDR، از قابلیت ارائه ی پچ های آپدیت و مقابله ی خودکار با جدیدترین تهدیدات و آسیب پذیری ها برخوردار می باشد.

FortiEDR با فعال سازیِ قابلیتِ کشف آسیب پذیری ها، امکانِ نظارت و کنترل را فراهم آورده و به تیم امنیت امکانِ کنترل پیشگیرانه و رفع هر گونه ضعف های امنیتیِ بالقوه را می دهد. و در صورت بروز به خطر افتادنِ endpointها، آن ها را به قابلیتِ self-healing مجهز می کند.

FortiEDR با استفاده از Fortinet Cloud Services (FCS)، موجبِ فعالسازیِ multi-engine sandboxing شده تا سازمان ها بتوانند تهدیدات را بر اساس cloud-based artificial intelligence (AI)، طبقه بندی نموده و کاهش دهند. مضاف بر این با Fortinet Security Fabric یکپارچه شده و از APIهای سفارشی و همچنین بیش از 300 کانکتورِ از پیش ساخته شده پشتیبانی می کند. FortiEDR با استفاده از قابلیتِ مقابله خودکار با تهدیدات به تیم امنیت امکان می دهد سرعت و اثربخشی را ارتقا بخشیده و امنیتِ تک تک endpointهای شبکه را تامین نمایند.