FortiEDR چیست؟
FortiEDR راهحلی پلتفرمی است که بر مبنای الگوهای شناسایی سبک وزن امنیتی، به طور خودکار و کارآمد، تهدیدات را در زمان واقعی شناسایی و متوقف می کند. این محصول بخشی از پلتفرم جامع Fortinet Security Operations است که به طور پیشگیرانه نرخ حملات سایبری موفق به زیرساختها را کاهش می دهد، از آلودگی بدافزاری جلوگیری میکند، تهدیدات بالقوه را بلافاصله تشخیص و خنثی میکند و با ارائه پروفایلهای قابل پیکربندی و سفارشی، فرایند پاسخگویی خودکار به تهدیدات را با کاهش تعداد هشدارهای مثبت کاذب مدیریت میکند.
FortiEDR نگهبان محیطهای فناوری اطلاعات
FortiEDR، از محیط دیجیتالی شما با ارائه مکانیزمهای حفاظتی بلادرنگ که توانایی تشخیص هرگونه فعالیت مشکوکی را دارند، پاسخگویی خودکار به حوادث و قابلیتهای امنیتی جامع متناسب با وضعیت فعلی امنیت سایبری، از ایستگاههای کاری، سرورها و بارهای کاری ابری محافظت میکند. همچنین، به کارشناسان امنیت اجازه میدهد از خطمشیهای آماده استفاده که به طور دقیق با چارچوب MITRE ATT&CK هماهنگ هستند استفاده کنند تا بتوانند بر بردارهای حمله نوظهور غلبه کنند. به بیان دقیقتر به تیمهای امنیتی کمک میکند از تاکتیکها، تکنیکها و روشهای پیشرفتهای برای مقابله با حملات باجافزاری (ransomware) استفاده کنند و شانس هکرها برای رمزگذاری فایلها را به حداقل برسانند.
لازم به توضیح است که FortiEDR، یک مکانیزم دفاعی چند لایه است که قبل و بعد از آلودگیهای سایبری به سازمانها کمک میکند تا مانع از گسترش بدافزارها شوند و تهدیدات را به شکل بلادرنگ شناسایی و متوقف کنند. به بیان دقیقتر، FortiEDR بر مبنای این اصل طراحی شده است که نمیتوان از نفوذ عوامل تهدید خارجی به شبکهها جلوگیری کرد، اما میتوان با تمهیدات امنیتی مناسب، مانع از خروج دادههای حیاتی از شبکه سازمانی شد یا تلاش هکرها برای ارسال باردادههای مخرب به زیرساختهای سازمانی را بی اثر کرد. این مکانیزم دفاعی از طریق راهحل نرمافزار محور FortiEDR قابل پیادهسازی است. یک رویکرد امنیتی قدرتمند و سطح بالا که فرآیند مسدودسازی ارتباطات خروجی مخرب را انجام میدهد و به کارمندان یک سازمان اجازه دهد حتی زمانی که دستگاههایشان آلوده هستند، بازهم به کار خود ادامه دهند. لازم به توضیح است که FortiEDR با Fortinet Security Fabric و همچنین راهکارهای شخص ثالث ادغام میشود تا یک مکانیزم پاسخگویی سریع به حوادث یکپارچه را ارائه دهد. همچنین، به کارشناسان امنیت اجازه میدهد متناسب با الزامات سازمانی، اقدام به پیکربندی پروفایلها بر اساس گروههای مختلف کاربری یا دستگاههایی کنند که قرار است به شبکه اضافه شوند. از ویژگیهای شاخص FortiEDR به موارد زیر باید اشاره کرد:
- مدیریت چند مستاجری در فضای ابری
- قابلیت استقرار به عنوان ابر بومی، ترکیبی یا درون سازمانی
- پشتیبانی از سیستم عامل های ویندوز، macOS و لینوکس
- ارائه حفاظت آفلاین
پیشگیری از اجرا
FortiEDR از آنتیویروسهای نسل بعدی مبتنی بر یادگیری ماشین (NGAV) سرنام Next-Generation Anti-Virus که بدون نیاز به امضا و از طریق فیلتر کردن انشعابات (واریانتهای) بدافزارهای شناخته شده، حملات روز صفر را تشخیص داده و خنثی میکنند، پشتیبانی میکند. همچنین، توانایی شناسایی و متوقف کردن انواع بدافزارهای شناخته شده و ناشناخته را دارد. این کار با هدف پیشگیری از اجرای فایلهایی که به عنوان مخرب یا مشکوک، نشانهگذاری شدهاند، انجام میشود. برای این منظور، فایلها بر مبنای یکسری الگوهای مشکوک به آلوده بودن مورد ارزیابی و تحلیل قرار میگیرند. علاوه بر محافظت مبتنی بر یادگیری ماشین NGAV و خطمشیهای پیشگیری از اجرا، از تکنیکهای دیگری مثل تشخیص مبتنی بر امضا، تحلیل الگوی رفتاری کاربران و برنامهها و غیره به محافظت از زیرساختها میپردازد.
خروج دادهها
خروج دادهها (Data exfiltration) به معنای انتقال غیرمجاز اطلاعات حساس از شبکه سازمانی به مکانی است که تحت کنترل مجرمان سایبری قرار دارد. FortiEDR یک پلتفرم پیشگیری از خروج هدفمند اطلاعات در زمان واقعی ارائه میدهد و اجازه نمیدهد هکرها حتی در زمان نفوذ به شبکههای سازمانی بتوانند به راحتی اقدام به سرقت اطلاعات کنند. به عبارت دیگر، FortiEDR اطمینان میدهد هکرها قادر نیستند دادههای سازمانی را سرقت کنند، فارغ از روشهای مختلفی که ممکن است مورد استفاده قرار دهند. این راهکار امنیتی استراتژیک، تلاشهای هر برنامه، فرآیند یا سرویسی که قصد دارد با استفاده از هر پروتکل یا پورتی اقدام به ارسال اطلاعات، بدون رعایت خطمشیهای امنیتی به خارج از سازمان کند را شناسایی کرده و مانع از ارسال اطلاعات میشود. با این توصیف باید بگوییم که FortiEDR آخرین خط دفاعی سازمانها در برابر نشت اطلاعات است که تمام اتصالات مخرب را مسدود میکند و جزئیات دقیق دستگاههای آلوده و مولفههای مرتبط را بررسی کرده و گزارش دقیقی در اختیار کارشناسان شبکه قرار میدهد. توجه داشته باشید که FortiEDR یک راهحل صرفا نرمافزاری است که قابلیت کار با تجهیزات استاندارد نصب شده در شبکه سازمانی را دارد تا بتوان بر روند ارسال و دریافت اطلاعات از شبکه سازمانی نظارت کرد.
باجافزار (Ransomware)
باجافزار، بدافزاری است که توسط مهاجمان برای آلوده کردن یک دستگاه، قفل کردن فایلها روی آن دستگاه و رمزگذاری استفاده میشود. در این حالت، کاربران تا زمانی که اقدام به پرداخت باج نکنند و مهاجم فرآیند رمزگشایی را انجام ندهد به فایلهای خود دسترسی نخواهند داشت. به بیان دقیقتر، باجافزار، نوعی بدافزار است که به سیستمهای کامپیوتری نفوذ میکند و اطلاعات مهم کاربر را رمزنگاری میکند. در ادامه، این بدافزار از کاربر باج درخواست میکند تا در ازای رمزگشایی اطلاعات، مبلغی را پرداخت کند.
باجافزارها اغلب از طریق ایمیلهای فیشینگ، وبسایتهای آلوده یا نرمافزارهای کرک شده به سیستمها وارد میشوند. پس از رمزنگاری دادهها، دسترسی کاربر به فایلهایش قطع میشود و او برای بازیابی اطلاعات خود مجبور به پرداخت باج میشود. باجافزارها یکی از بزرگترین تهدیدات امنیتی برای افراد و سازمانها هستند و خسارات مالی و زمانی زیادی را به آنها وارد میکنند. بنابراین، جای تعجب نیست که شرکتهای امنیتی پیوسته در حال ارائه ابزارهایی برای شناسایی و مقابله با تهدیدات باجافزاری هستند.
یک حمله باجافزاری موفق به این معنا است که هکرها توانستهاند یک آسیبپذیری امنیتی بزرگ در محیط فناوری اطلاعات سازمان را شناسایی کرده و به بهرهبرداری از آن بپردازند. پرداخت باج به مهاجم تنها یک راهحل کوتاهمدت است که علت اصلی مشکل را برطرف نمیکند، زیرا ممکن است منجر به حمله دیگری شود که حتی مخربتر و هزینهبرتر از حمله قبلی باشد.
FortiEDR با ارائه مکانیزمهای محافظتی زمان واقعی، تلاش مهاجم برای رمزگذاری یا تغییر دادهها را خنثا میکند. درادامه، هشداری برای سرپرست شبکه ارسال میکند که شامل اطلاعات مورد نیاز برای آغاز یک تحقیق است، تا بتوان ریشه نقض را کشف و اصلاح کرد. علاوه بر این، کاربر نهایی میتواند حتی روی یک دستگاه آلوده، به کار خود ادامه دهد.
شکار تهدید (Threat hunting)
قابلیتهای شکار تهدید FortiEDR، شامل مجموعهای از ابزارهای نرمافزاری و منابع اطلاعاتی است که بر تشخیص، تحقیق، مهار و کاهش فعالیتهای مشکوک روی دستگاههای کاربران نهایی تمرکز دارند. FortiEDR مکانیزم محافظت از نقطه پایانی (End Point) را قبل و بعد از آلودگی ارائه میدهد، در حالی که در مقایسه با ابزارهای سنتی تشخیص و پاسخ نقطه پایانی (EDR) سرنام Endpoint Detection and Response، نرخ تشخیص بالایی با قابلیتهای مسدود کردن و پاسخ در زمان واقعی دارد. FortiEDR فرآیند طبقهبندی بدافزارها، نمایش شاخصهای خطرپذیری (IOCs) سرنام Indicators of Compromise و ارائه نمای کامل از زنجیره حمله را به شکل همزمان به کاربران ارائه میدهد تا بتوانند تهدیدات را با نرخ بالاتری در مقایسه با روشهای سنتی شناسایی کرده و به سرعت شکار کنند.
فناوریهای به کار رفته در FortiEDR
هنگامی که به نحوه عملکرد مجرمان سایبری نگاه میکنیم، دو جنبه مهم را به سرعت متوجه میشویم. اول اینکه عوامل تهدید از شبکه سازمانی برای خروج دادههای مهم و راهبردی استفاده میکنند. دوم، آنها سعی میکنند تا حد ممکن فعالیتهای خود را مخفی نگه دارند تا بتوانند از سد مکانیزمهای امنیتی عبور کنند، ماندگاری خود در شبکه را بیشتر کنند و فعالیتهای مخرب را به دور از چشم کارشناسان امنیت انجام دهند. به بیان دقیقتر، عوامل تهدید همواره سعی میکنند تا ارتباطات خروجی را به روشهای غیر استاندارد پیادهسازی کنند تا به دور از چشم تیزبینها ابزارهای امنیتی کار کنند.
فناوری FortiEDR با شناسایی ارتباطات خروجی مخرب ایجاد شده توسط هکرها به شکل بلادرنگ از خروج دادهها جلوگیری میکند. فورتینت به پشتوانه سالها تحقیق در این زمینه، سعی کرده است مکانیزمهای ارتباطاتی رایجی که هکرها برای خروج اطلاعات از آنها بهره میبرند و سعی میکنند از مولفهها و سرویسهایی که به نوعی محافظت نمیشوند سوء استفاده کنند را شناسایی و متوقف کند، به طوری که کارمندان سازمان بتوانند فعالیتهای روزمره خود را انجام دهند.
تحقیقات فورتینت، نشان داد که تمام دادهها و کانالهای ارتباطی مجاز از سرویسهای استاندارد سیستم عامل یا نرمافزارهای شناخته شده عبور کنند. بنابراین، با نظارت بر عملکرد مولفههای داخلی سیستم عامل، میتوان تایید کرد که یک برنامه کاربردی بر مبنای یک راهکار مطمئن و ایمن اقدام به ارسال و دریافت اطلاعات میکند. FortiEDR دادههای پشته سیستم عامل، دادههای مرتبط با ریسمانها و پردازهها را جمعآوری میکند و فرآیند تجزیه و تحلیل فایلهای اجرایی را انجام میدهد تا ماهیت اتصال را تعیین کند. علاوه بر این، هر نوع تهدیدی که تلاش کند از درایور FortiEDR عبور کند را تشخیص میدهد، زیرا اتصال فاقد دادههای امنیتی است که FortiEDR برای اصالتسنجی ارتباطات از آنها استفاده میکند.
به طور خلاصه، فناوری FortiEDR با شناسایی ارتباطات خروجی مخرب ایجاد شده توسط هکرها به شکل بلادرنگ، نقش مهمی در پیشگیری از خروج دادهها از شبکههای سازمانی دارد. شناسایی ارتباطات خروجی مخرب نتیجه سالها تحقیق این شرکت در ارتباط با مولفههای حیاتی و زیرساختی سیستم عامل و روشهای مورد استفاده توسط بدافزارها است.
نویسنده: حمیدرضا تائبی
