Edr : מה זה? ואיך זה יעזור למחשוב שלנו?

אבטחה היא לא בין הדברים הראשונים שעליהם חושבים בהקמת אתר. לרוב, יש למקימי האתר מטרות שונות בהקמתו, ובאופן טבעי מתמקדים בהן. איומי האבטחה לא בהכרח נשמעים כדבר דחוף או משמעותי, ופעמים רבות פשוט לא מודעים להיקפם. במקביל, הוצאה על אבטחה עשויה להיתפס כדבר שלא מייצר כסף ולכן לקבל עדיפות נמוכה בתקצוב. ובכל זאת - חשוב מאוד שהאתר שתקימו יהיה מאובטח היטב. כיצד עושים זאת? ומדוע זה חשוב?

EDR או Endpoint Detection and Response היא תוכנת אבטחה שמטרתה היא לזהות איומים ולהגיב להם בתחנות קצה כמו סמארטפון, לפטופ, טאבלט ואפילו שרת שלם או שעון חכם. נקודות קצה כאלו נחשבות רגישות במיוחד מבחינת אבטחה והן עלולות להיות שער כניסה של גורמים לא רצויים לחלקו הפנימי של מערך המחשוב. פריצה בתחנת קצה עשויה להיות השלב הראשון בפריצה חמורה יותר ללב המערכות הרגישות של הארגון, וכאן נכנסים לתמונה פתרונות מסוג EDR כדי להציל את המצב.

יכולות ה-EDR

EDR הוא סוג כלים מתוחכם למדי, אשר כולל בין השאר כמה יכולות בולטות במיוחד. קודם כול, הוא מספק הגנות מאיומים זדוניים למיניהם כמו מתקפת כופר או כל נוזקה אחרת. EDR עושה זאת באמצעות זיהוי פעילות חשודה בזמן אמת. הזיהוי מתבצע בין השאר באמצעות שימוש בבינה מלאכותית, והוא מאפשר זיהוי איומים חדשים שהמערכת לא מכירה עדיין. EDR מספק מבט כולל למנהלי האבטחה על המתרחש בארגון כולו. הוא גם מאפשר להם לערוך חיפוש נוח במידע שהמערכת כבר צברה מהעבר. היבט זה איננו עניין שולי, כי מערכות אבטחה צוברות בדרך כלל מידע טכני בהיקפים עצומים.

כיצד עובדת מערכת ה-EDR?

מערך המחשוב בעסקים או בכל מקום אחר כולל אלמנטים שחלקם פנימי בתוך המערכת (למשל ענן פרטי) וחלקם ב"קצה" המערכת, כלומר אלמנטים המתחברים אליה על ידי עובדים או נגישים לציבור הרחב (או לציבור ספציפי שנמצא מחוץ לאותו ארגון). בנקודות קצה אלו מותקנת מערכת ה-EDR. אגב, EDR יכול להיות מיושם באופן מקומי, כשירות ענן או באופן משולב. הינה כמה מהפעילויות החשובות שהמערכות הזו עושה למענכם:

איסופי נתונים

המערכת אוספת מכל תחנות הקצה מידע עבור קבלת תמונה כוללת של המצב. זוהי פעולה המאפשרת לתוכנה לזהות איומים וגם מסייעת לצוותי האבטחה לנתח את המתרחש בעסק. הצוותים אף יוכלו לזהות בעצמם פעילות חשודה במערכת וגם לנתח ולהבין אירועים שכבר התרחשו, כולל זיהוי של סיבת המקור לפעילות החשודה והנסיבות שאפשרו אותה. כך אפשר כמובן להסיק מסקנות מעשיות להמשך ולשפר בהדרגה את נהלי האבטחה והאמצעים הנדרשים לקיומם.

זיהוי ובלימת איומים באופן אוטומטי ומיידי

המערכת בנויה לזיהוי מהיר של איומים מסוגים בולטים. בתגובה להם, היא עשויה לבצע פעולות שונות אשר מסייעות לצמצם נזקים ולנטרל את ההתקפה, למשל נטרול תחנות קצה שהותקפו או בידודן משאר מערכות הארגון. כמובן, אף מערכת לא מצליחה להגן בצורה מושלמת על הרכיבים הרגישים בגלל מגמת הפיתוח המתמידה של ההאקרים והאמצעים שלהם, ואופן פעילות המערכת תלוי גם באופן שבו מכוונים אותה – להיות רגישה יותר או פחות. בהתאם לכך, עשויים להיות גם מצבים של זיהוי שגוי או של איום שהמערכת לא הצליחה לזהות. כמו כן, יעילות המערכת מושפעת מעדכונים שוטפים שהיא מקבלת, כפי שעושים למשל במסגרת תחזוקת שרתים כדי לשמור על עדכניות ולהצליח להתמודד עם כל האיומים החדשים.

ההבדלים בין אנטי וירוס ל-EDR

האם EDR הוא בעצם כלי מסוג אנטי וירוס? התשובה לכך היא לא בדיוק, ויש שיגידו ששני הכלים האלו לא דומים בכלל. במבט על, יש כמה הבדלים מהותיים בין השניים:

יכולות האנטי וירוס

אנטי וירוס קלאסי מתמקד בסריקת קבצים וזיהוי מידע הידוע כחשוד בקבצים האלה. הוא מותקן לרוב על מחשב בודד.

יכולות ה-EDR

לעומת זאת, EDR בודק לא רק קבצים, אלא גם מגוון היבטים אחרים של פעולת המערכות כגון תהליכים פעילים בזיכרון התקן הקצה או התקשורת שמתבצעת בינו לבין סביבתו.

עוד כמה נקודות שכדאי להביא בחשבון כדי לקבל על כך תמונה מלאה יותר: עולם האנטי וירוסים עצמו השתנה באופן ניכר מאז ימיו הראשונים. למעשה, המונח אנטי וירוס הוא מונח מיושן, שלא מתאר במדויק את הכלים האלה. כיום הם יודעים לזהות לא רק וירוסים פשוטים במחשב, אך השימוש במונח זה ממשיך במידה רבה מתוך הרגל.

זה לא אומר שצריכים בהכרח להחליף לגמרי אנטי וירוסים ב-EDR או להסתפק רק ב-EDR. אפשר למשל להשתמש לצידה גם במערכת מסוג SIEM (או Security Information and Event Management). נקיטת גישה של שימוש בשכבות אבטחה מרובות וכלים מסוגים שונים יכולה לשפר את היכולת של הארגון להתגונן מאיומים שונים. היא גם עלולה לסבך את העניינים שלא לצורך, כך שצריך איזון ודרושה מחשבה לעומק על אפיון תשתיות האבטחה. חשוב להביא בחשבון שמערכת זיהוי ותגובה בתחנות קצה כשמה כן היא – מתמקדת בנקודות הקצה. כך שחיוני בכל מקרה להבטיח שיש גם הגנה חזקה על מערכות פנימיות בארגון שאינן נקודות קצה ועל מערכות של הארגון בשירותי ענן, למשל גיבוי בענן לעסקים. העיקר הוא לספק לכל סוג מערכת מיוחד, אם זה שרת VPS או תחנות קצה, את פתרון האבטחה הטוב ביותר עבורו.

סיכום

EDR הוא סוג פתרון שכדאי לכל ארגון לשקול ליישם כדי להגן על נקודות הכניסה הפוטנציאליות של גורמים לא מורשים למערכת. הפתרון הזה שימושי במיוחד ככל שמדובר בארגון גדול מבחינת מערך המחשוב שלו והיקף נקודות הקצה הקיים.