/Rectangle%20239.png?width=13&height=13&name=Rectangle%20239.png){kind=small}
نكون على دراية به! بالإضافة إلى كونها كثيرة، فإنها تشابه كثيرًا، مثل هذه الاختصارات الرائجة: EDR وNDR وXDR وMDR. في الواقع، هذا التشابه ليس صدفة؛ فهم يشتركون جميعًا في "DR" الذي يعني "الكشف والاستجابة".
فعلا، هذه الاختصارات الأربعة لها أساس مشترك مهم، وهو هدفها: الكشف عن تهديدات المعلوماتية في المؤسسات والاستجابة لها (عند الكشف).
ما هو الكشف والاستجابة؟
الكشف والاستجابة في مجال الأمن السيبراني يشيران إلى عملية تحديد والرد على تهديدات المعلوماتية. الهدف الرئيسي هو الكشف عن هجمات المعلوماتية وغيرها من حوادث الأمن بأسرع وقت ممكن، والاستجابة بطريقة تقلل من تأثير الحادث.
يشير الكشف إلى عملية تحديد التهديدات والحوادث الأمنية المحتملة، مثل الوصول غير المصرح به إلى شبكة، أو نشاط مشبوه على جهاز نهاية، أو رسالة احتيال إلكتروني (Phishing).
الاستجابة تعني التدابير المتخذة بعد اكتشاف تهديد أو حادث. يمكن أن تشمل عزل واحتواء الحادث، وجمع وحفظ الأدلة، وتنفيذ تدابير مضادة لإيقاف الهجوم ومنع تكراره.
في النهاية، هذه الخدمات الأربعة لها نفس الهدف. ولكن الفارق بينهم سيكون في هذه النقاط:
- قدرات الكشف: أي نوع من التهديدات يمكنهم اكتشافه؟
- قدرات الاستجابة: أي نوع من التدابير يمكنهم تنفيذها؟
- نموذج الاندماج: أين وكيف يتم نشرها في المؤسسة؟
سنقدم هذه الحلول الأربعة ونجيب عن كل واحدة منها بناءً على النقاط المذكورة أعلاه.
EDR (Endpoint Detection and Response)
هو برنامج أمن يُثبت على الأنهاء (الأجهزة الطرفية)، أي على أجهزة العمل والخوادم، بغض النظر عن وظائفها أو نظام التشغيل الخاص بها.
قدرات الكشف:
يمكن لـ EDR اكتشاف التهديدات على الأنهاء، وهي تمثل مجموعة واسعة من التهديدات الأمنية. سيكون الحل الأمثل لاكتشاف تنفيذ برمجيات ضارة على الأنهاء، مثل البرامج الضارة أو برامج الفدية.
قدرات الاستجابة:
يتضمن EDR مجموعة من قدرات الاستجابة، مثل:
- العزل / الحجر: عزل الأنهاء المخترقة عن الشبكة لمنع انتشار التهديد.
- التحقيق والتصحيح: التخلص من التهديد على الأنهاء، سواءً عن طريق حذف الملفات الضارة أو استعادة الأنهاء إلى حالة صحيحة.
- التحقيق الجنائي: جمع وتحليل بيانات الأنهاء لجمع معلومات حول الهجوم، مثل الطرق المستخدمة والملفات المعنية وعن المهاجمين أنفسهم.
- البحث عن التهديدات: البحث النشط وتحديد التهديدات الجديدة، من خلال تحليل بيانات الأنهاء وحركة المرور في الشبكة وسجلات أخرى.
نموذج الاندماج:
يتم نشر EDR على الأنهاء في صورة وكيل، يتم تثبيت الوكيل على كل أنهاء يتواصل مع وحدة التحكم المركزية لـ EDR لتوفير رؤية ومراقبة وإدارة الردود في الوقت الفعلي.
تعتبر هذه الوحدة خادم يمكنك تثبيته محليًا أو الحصول عليه كحل SaaS مقدم من مزود EDR.
NDR (Network Detection and Response)
يعد NDR جهازًا أو برنامجًا أمنيًا مصممًا لاكتشاف والرد على محاولات الاختراق على مستوى الشبكة.
قدرات الكشف:
يمكن لـ NDR اكتشاف التهديدات على مستوى الشبكة من خلال فحص وتحليل تدفقات الشبكة.
سيكون NDR الحلا المناسبًا لاكتشاف الأنشطة الضارة التي تترك بصمة شبكية خاصة بها، مثل استخراج البيانات أو التحركات الجانبية (انتشار الاختراق).
قدرات الاستجابة:
:
أولاً وقبل كل شيء، يعتبر NDR جهازًا سلبيًا، وهذا يعني أنه ليس لديه القدرة على قطع التدفقات أو إجراء أي تدابير تصحيحية بمفرده.
ومع ذلك، يمكن لـ NDR التفاعل مع حلاوة أمن نشطة أخرى، مثل جدار الحماية أو البروكسي أو EDR، لتنفيذ تدابير تصحيحية.
لهذا السبب يجب نشر NDR في بيئة حيث يوجد بالفعل مكونات أمن نشطة للاستفادة من قدرات التصحيح.
بالإضافة إلى التصحيح، يوفر NDR إمكانية القيام بالتالي:
- Forensic: جمع وتحليل بيانات الشبكة لجمع معلومات حول الهجوم، مثل اصطياد الشبكة (PCAP).
- البحث عن التهديدات: البحث النشط وتحديد التهديدات الجديدة، من خلال تحليل بيانات الشبكة وحركة المرور وسجلات أخرى.
نموذج الاندماج:
سيعتمد الاندماج على هندستك الحاسوبية:
- بنية تحتية في المكان: يجب تثبيت جهاز فيزيائي في مراكز البيانات الخاصة بك، ويجب إعادة توجيه بعض التدفقات إلى NDR ليتم فحصها. بعض مزودي خدمات NDR يقدمون أيضًا إمكانية تثبيته كآلة افتراضية، ولكن سيكون من الضروري إجراء تعديلات على روابط مراكز البيانات الخاصة بك لتوجيه التدفقات الصحيحة إلى NDR.- بنية تحتية سحابية: يعتمد الاندماج في سحابة حلا NDR على مزود الخدمة السحابي الخاص بك واستراتيجية الاندماج المعتمدة من جانب مزود NDR (وليس دائما ممكنًا).
- بنية تحتية هجينة: سيكون هناك حاجة إلى خطوتين للاندماج، إحداها للسحابة والأخرى للمكان.
وأخيرًا، يجب نشر وحدة تحكم مركزية لإدارة وتشغيل طرق NDR المختلفة على خادم أو الاشتراك فيها كحلا SaaS.
اقرأ الجزء الثاني من هذا المقال هنا
