FortiEDR چیست و چگونه از شبکه‌های سازمانی محافظت می‌کند؟

FortiEDR چیست
فهرست مطالب

FortiEDR چیست؟

FortiEDR راه‌حلی پلتفرمی است که بر مبنای الگوهای شناسایی سبک وزن امنیتی، به طور خودکار و کارآمد، تهدیدات را در زمان واقعی شناسایی و متوقف می کند. این محصول بخشی از پلتفرم جامع Fortinet Security Operations است که به طور پیشگیرانه نرخ حملات سایبری موفق به زیرساخت‌ها را کاهش می دهد، از آلودگی بدافزاری جلوگیری می‌کند، تهدیدات بالقوه را بلافاصله تشخیص و خنثی می‌کند و با ارائه پروفایل‌های قابل پیکربندی و سفارشی‌، فرایند پاسخ‌گویی خودکار به تهدیدات را با کاهش تعداد هشدارهای مثبت کاذب مدیریت می‌کند.

FortiEDR نگهبان محیط‌های فناوری اطلاعات

FortiEDR، از محیط دیجیتالی شما با ارائه مکانیزم‌های حفاظتی بلادرنگ که توانایی تشخیص هرگونه فعالیت مشکوکی را دارند، پاسخ‌گویی خودکار به حوادث و قابلیت‌های امنیتی جامع متناسب با وضعیت فعلی امنیت سایبری، از ایستگاه‌های کاری، سرورها و بارهای کاری ابری محافظت می‌کند. همچنین، به کارشناسان امنیت اجازه می‌دهد از خط‌مشی‌های آماده استفاده که به طور دقیق با چارچوب MITRE ATT&CK هماهنگ هستند استفاده کنند تا بتوانند بر بردارهای حمله نوظهور غلبه کنند. به بیان دقیق‌تر به تیم‌های امنیتی کمک می‌کند از تاکتیک‌ها، تکنیک‌ها و روش‌های پیشرفته‌ای برای مقابله با حملات باج‌افزاری (ransomware) استفاده کنند و شانس هکرها برای رمزگذاری فایل‌ها را به حداقل برسانند.

لازم به توضیح است که FortiEDR، یک مکانیزم دفاعی چند لایه است که قبل و بعد از آلودگی‌های سایبری به سازمان‌ها کمک می‌کند تا مانع از گسترش بدافزارها شوند و تهدیدات را به شکل بلادرنگ شناسایی و متوقف کنند. به بیان دقیق‌تر، FortiEDR بر مبنای این اصل طراحی شده است که  نمی‌توان از نفوذ عوامل تهدید خارجی به شبکه‌ها جلوگیری کرد، اما می‌توان با تمهیدات امنیتی مناسب، مانع از خروج داده‌های حیاتی از شبکه سازمانی شد یا تلاش هکرها برای ارسال بارداده‌های مخرب به زیرساخت‌های سازمانی را بی اثر کرد. این مکانیزم دفاعی از طریق راه‌حل نرم‌افزار محور FortiEDR قابل پیاده‌سازی است. یک رویکرد امنیتی قدرتمند و سطح بالا که فرآیند مسدودسازی ارتباطات خروجی مخرب را انجام می‌دهد و به کارمندان یک سازمان اجازه دهد حتی زمانی که دستگاه‌های‌شان آلوده هستند، بازهم به کار خود ادامه دهند. لازم به توضیح است که FortiEDR با Fortinet Security Fabric و همچنین راهکارهای شخص ثالث ادغام می‌شود تا یک مکانیزم پاسخ‌گویی سریع به حوادث یکپارچه را ارائه دهد. همچنین، به کارشناسان امنیت اجازه می‌دهد متناسب با الزامات سازمانی، اقدام به پیکربندی پروفایل‌ها بر اساس گروه‌های مختلف کاربری یا دستگاه‌هایی کنند که قرار است به شبکه اضافه شوند. از ویژگی‌های شاخص FortiEDR به موارد زیر باید اشاره کرد:

  • مدیریت چند مستاجری در فضای ابری
  • قابلیت استقرار به عنوان ابر بومی، ترکیبی یا درون سازمانی
  • پشتیبانی از سیستم عامل های ویندوز، macOS و لینوکس
  • ارائه حفاظت آفلاین

پیشگیری از اجرا

FortiEDR از آنتی‌ویروس‌های نسل بعدی مبتنی بر یادگیری ماشین (NGAV) سرنام Next-Generation Anti-Virus که بدون نیاز به امضا و از طریق فیلتر کردن انشعابات (واریانت‌های) بدافزارهای شناخته شده، حملات روز صفر را تشخیص داده و خنثی می‌کنند، پشتیبانی می‌کند. همچنین، توانایی شناسایی و متوقف کردن انواع بدافزارهای شناخته شده و ناشناخته را دارد. این کار با هدف پیشگیری از اجرای فایل‌هایی که به عنوان مخرب یا مشکوک، نشانه‌گذاری شده‌اند، انجام می‌شود. برای این منظور، فایل‌ها بر مبنای یکسری الگوهای مشکوک به آلوده بودن مورد ارزیابی و تحلیل قرار می‌گیرند. علاوه بر محافظت مبتنی بر یادگیری ماشین NGAV و خط‌مشی‌های پیشگیری از اجرا، از تکنیک‌های دیگری مثل تشخیص مبتنی بر امضا، تحلیل الگوی رفتاری کاربران و برنامه‌ها و غیره به محافظت از زیرساخت‌ها می‌پردازد.

خروج داده‌ها

خروج داده‌ها (Data exfiltration) به معنای انتقال غیرمجاز اطلاعات حساس از شبکه سازمانی به مکانی است که تحت کنترل مجرمان سایبری قرار دارد. FortiEDR یک پلتفرم پیشگیری از خروج هدفمند اطلاعات در زمان واقعی ارائه می‌دهد و اجازه نمی‌دهد هکرها حتی در زمان نفوذ به شبکه‌های سازمانی بتوانند به راحتی اقدام به سرقت اطلاعات کنند. به عبارت دیگر، FortiEDR اطمینان می‌دهد هکرها قادر نیستند داده‌های سازمانی را سرقت کنند، فارغ از روش‌های مختلفی که ممکن است مورد استفاده قرار دهند. این راهکار امنیتی استراتژیک، تلاش‌های هر برنامه‌، فرآیند یا سرویسی که قصد دارد با استفاده از هر پروتکل یا پورتی اقدام به ارسال اطلاعات، بدون رعایت خط‌مشی‌های امنیتی به خارج از سازمان کند را شناسایی کرده و مانع از ارسال اطلاعات می‌شود. با این توصیف باید بگوییم که FortiEDR آخرین خط دفاعی سازمان‌ها در برابر نشت اطلاعات است که تمام اتصالات مخرب را مسدود می‌کند و جزئیات دقیق دستگاه‌های آلوده و مولفه‌های مرتبط را بررسی کرده و گزارش دقیقی در اختیار کارشناسان شبکه قرار می‌دهد. توجه داشته باشید که FortiEDR یک راه‌حل صرفا نرم‌افزاری است که قابلیت کار با تجهیزات استاندارد نصب شده در شبکه سازمانی را دارد تا بتوان بر روند ارسال و دریافت اطلاعات از شبکه سازمانی نظارت کرد.

باج‌افزار (Ransomware)

باج‌افزار، بدافزاری است که توسط مهاجمان برای آلوده کردن یک دستگاه، قفل کردن فایل‌ها روی آن دستگاه و رمزگذاری استفاده می‌شود. در این حالت، کاربران تا زمانی که اقدام به پرداخت باج نکنند و مهاجم فرآیند رمزگشایی را انجام ندهد به فایل‌های خود دسترسی نخواهند داشت.  به بیان دقیق‌تر، باج‌افزار، نوعی بدافزار است که به سیستم‌های کامپیوتری نفوذ می‌کند و اطلاعات مهم کاربر را رمزنگاری می‌کند. در ادامه، این بدافزار از کاربر باج درخواست می‌کند تا در ازای رمزگشایی اطلاعات، مبلغی را پرداخت کند.

باج‌افزارها اغلب از طریق ایمیل‌های فیشینگ، وب‌سایت‌های آلوده یا نرم‌افزارهای کرک شده به سیستم‌ها وارد می‌شوند. پس از رمزنگاری داده‌ها، دسترسی کاربر به فایل‌هایش قطع می‌شود و او برای بازیابی اطلاعات خود مجبور به پرداخت باج می‌شود. باج‌افزارها یکی از بزرگ‌ترین تهدیدات امنیتی برای افراد و سازمان‌ها هستند و خسارات مالی و زمانی زیادی را به آن‌ها وارد می‌کنند. بنابراین، جای تعجب نیست که شرکت‌های امنیتی پیوسته در حال ارائه ابزارهایی برای شناسایی و مقابله با تهدیدات باج‌افزاری هستند.

یک حمله باج‌افزاری موفق به این معنا است که هکرها توانسته‌اند یک آسیب‌پذیری امنیتی بزرگ در محیط‌ فناوری اطلاعات سازمان را شناسایی کرده و به بهره‌برداری از آن بپردازند. پرداخت باج به مهاجم تنها یک راه‌حل کوتاه‌مدت است که علت اصلی مشکل را برطرف نمی‌کند، زیرا ممکن است منجر به حمله دیگری شود که حتی مخرب‌تر و هزینه‌برتر از حمله قبلی باشد.

FortiEDR با ارائه مکانیزم‌های محافظتی زمان واقعی، تلاش مهاجم برای رمزگذاری یا تغییر داده‌ها را خنثا می‌کند. درادامه، هشداری برای سرپرست شبکه ارسال می‌کند که شامل اطلاعات مورد نیاز برای آغاز یک تحقیق است، تا بتوان ریشه نقض را کشف و اصلاح کرد. علاوه بر این، کاربر نهایی می‌تواند حتی روی یک دستگاه آلوده، به کار خود ادامه دهد.

شکار تهدید (Threat hunting)

قابلیت‌های شکار تهدید FortiEDR، شامل مجموعه‌ای از ابزارهای نرم‌افزاری و منابع اطلاعاتی است که بر تشخیص، تحقیق، مهار و کاهش فعالیت‌های مشکوک روی دستگاه‌های کاربران نهایی تمرکز دارند. FortiEDR مکانیزم محافظت از نقطه پایانی (End Point) را قبل و بعد از آلودگی ارائه می‌دهد، در حالی که در مقایسه با ابزارهای سنتی تشخیص و پاسخ نقطه پایانی (EDR) سرنام Endpoint Detection and Response، نرخ تشخیص بالایی با قابلیت‌های مسدود کردن و پاسخ در زمان واقعی دارد. FortiEDR فرآیند طبقه‌بندی بدافزارها، نمایش شاخص‌های خطرپذیری (IOCs) سرنام Indicators of Compromise و ارائه نمای کامل از زنجیره حمله را به شکل همزمان به کاربران ارائه می‌دهد تا بتوانند تهدیدات را با نرخ بالاتری در مقایسه با روش‌های سنتی شناسایی کرده و به سرعت شکار کنند.

فناوری‌های به کار رفته در FortiEDR

FortiEDR چیست

هنگامی که به نحوه عملکرد مجرمان سایبری نگاه می‌کنیم، دو جنبه مهم را به سرعت متوجه می‌شویم. اول اینکه عوامل تهدید از شبکه سازمانی برای خروج داده‌های مهم و راهبردی استفاده می‌کنند. دوم، آن‌ها سعی می‌کنند تا حد ممکن فعالیت‌های خود را مخفی نگه دارند تا بتوانند از سد مکانیزم‌های امنیتی عبور کنند، ماندگاری خود در شبکه را بیشتر کنند و فعالیت‌های مخرب را به دور از چشم کارشناسان امنیت انجام دهند. به بیان دقیق‌تر، عوامل تهدید همواره سعی می‌کنند تا ارتباطات خروجی را به روش‌های غیر استاندارد پیاده‌سازی کنند تا به دور از چشم تیزبین‌ها ابزارهای امنیتی کار کنند.

فناوری FortiEDR با شناسایی ارتباطات خروجی مخرب ایجاد شده توسط هکرها به شکل بلادرنگ از خروج داده‌ها جلوگیری می‌کند. فورتی‌نت به پشتوانه سال‌ها تحقیق در این زمینه، سعی کرده است مکانیزم‌های ارتباطاتی رایجی که هکرها برای خروج اطلاعات از آن‌ها بهره می‌برند و سعی می‌کنند از مولفه‌ها و سرویس‌هایی که به نوعی محافظت نمی‌شوند سوء استفاده کنند را شناسایی و متوقف کند، به طوری که کارمندان سازمان بتوانند فعالیت‌های روزمره خود را انجام دهند.

تحقیقات فورتی‌نت، نشان داد که تمام داده‌ها و کانال‌های ارتباطی مجاز از سرویس‌های استاندارد سیستم عامل یا نرم‌افزارهای شناخته شده عبور کنند. بنابراین، با نظارت بر عملکرد مولفه‌های داخلی سیستم عامل، می‌توان تایید کرد که یک برنامه کاربردی بر مبنای یک راهکار مطمئن و ایمن اقدام به ارسال و دریافت اطلاعات می‌کند. FortiEDR داده‌های پشته سیستم عامل، داده‌های مرتبط با ریسمان‌ها و پردازه‌ها را جمع‌آوری می‌کند و فرآیند تجزیه و تحلیل فایل‌های اجرایی را انجام می‌دهد تا ماهیت اتصال را تعیین کند. علاوه بر این، هر نوع تهدیدی که تلاش کند از درایور FortiEDR عبور کند را تشخیص می‌دهد، زیرا اتصال فاقد داده‌های امنیتی است که FortiEDR برای اصالت‌سنجی ارتباطات از آن‌ها استفاده می‌کند.

به طور خلاصه، فناوری FortiEDR با شناسایی ارتباطات خروجی مخرب ایجاد شده توسط هکرها به شکل بلادرنگ، نقش مهمی در پیشگیری از خروج داده‌ها از شبکه‌های سازمانی دارد. شناسایی ارتباطات خروجی مخرب نتیجه سال‌ها تحقیق این شرکت در ارتباط با مولفه‌های حیاتی و زیرساختی سیستم عامل و روش‌های مورد استفاده توسط بدافزارها است.

 

نویسنده: حمیدرضا تائبی

اشتراک‌گذاری:
برای ثبت نام در خبرنامه، عضو شوید.
مطالب مشابه
برای دریافت مشاوره و یا اطلاع از قیمت، با ما در تماس باشید.