نقش ابزارهای تشخیص و واکنش به حادثه در مقابله با حملات باجافزاری
حملات باجافزاری رو به افزایش هستند. بر اساس گزارش «هزینه رخنههای اطلاعاتی 2022» میانگین هزینه یک حمله باجافزاری، بدون توجه به مبلغ باج، حدود 4 میلیون دلار است. همچنین تشخیص و مقابله با حملات باجافزاری نسبت به رخنههای اطلاعاتی معمولی به زمان بیشتری نیاز دارد. مجرمان سایبری معمولاً حتی در صورت پرداخت باج توسط قربانی، وی را دوباره مورد هدف قرار میدهند.
مقابله با حملات سایبری
مهاجمان معمولاً مدتها پیش از درخواست باج، به سیستمهای قربانی نفوذ کردهاند. آنها پس از نفوذ اولیه، در شبکه حرکت میکنند تا سطح دسترسی خود را افزایش دهند. سپس مجرمان سایبری باجافزار را نصب کرده و فایلها را رمزنگاری میکنند. در نهایت قربانی از وجود باجافزار مطلع میشود. اگرچه شناسایی حملات باجافزاری پیش از اجرای حمله نهایی کار چندان آسانی نیست ولی باید درک کنید که امروزه آنتیویروسهای سنتی امضامحور برای مقابله با این حملات کافی نیستند چون مهاجمان میدانند که جهت کاهش و حذف اثر این آنتیویروسها، باید از به کارگیری بدافزارهای امضامحور خودداری کنند.
میتوانید باجافزارها را از طریق رفتار آنها و درک مراحل حمله (از جمله حذف نسخههای پشتیبان یا شروع ناگهانی فرایند رمزنگاری بدون هیچ هشدار قبلی) شناسایی کنید. در این شرایط، پلتفرمهای تشخیص و واکنش در نقاط پایانی (EDR[1]) نیز به تشخیص و مقابله با تهدیداتی مثل باجافزارها در طی چند ثانیه کمک بسیار زیادی میکنند.
نقش ابزارهای EDR در پیشگیری از حملات باجافزاری
ابزارهای EDR میتوانند به پیشگیری از حملات باجافزاری و حفاظت از سازمان شما در برابر تهدیدات بالقوه به خصوص در مراحل اولیه حمله کمک کنند. نقشهای اساسی EDR برای مقابله با حملات باجافزاری، عبارتند از:
- قابلیتهای تشخیص رفتار: ویژگیهای تشخیص رفتار ابزارهای EDR امروزی نقش مهمی در تشخیص و انسداد حملات باجافزاری دارند؛ چون باجافزارها جهت ماندگاری در محیط سازمان، میتوانند حتی به صورت روزانه تغییر و تکامل یابند. EDR قادر است با استفاده از قدرت هوش مصنوعی، تهدیدات ناشناخته مثل باجافزارها را از طریق شناسایی برنامههای نامطمئن و رفتارهای ناهنجار تشخیص دهد حتی اگر انواع مختلفی از یک باجافزار ساخته شوند. سازمانها باید برای شناسایی صحیح باجافزارها، موتورهای هوش مصنوعی EDR را که از یک مدل آموزش اولیه برای تشخیص رفتارهای عادی در هر نقطه از شبکه استفاده میکند پیادهسازی کنند.
- شکار تهدید: ممکن است تهدیدات باجافزاری که شناسایی نشدهاند به مدت طولانی در زیرساخت فناوری اطلاعات یک سازمان باقی بمانند. مهاجمان نیز در نهایت تصمیم به اجرای آنها بگیرند. بنابراین، قابلیتهای شکار تهدید ابزارهای EDR امروزی نقش مهمی در اطمینان از پاک بودن محیط دارند. یک پلتفرم EDR مدرن با استفاده از داده کاوی به تیمهای امنیت سایبری کمک میکند تا شکار تهدید را اتوماسیون کنند و با جستجوی رویدادهای کلیدی در نقاط پایانی، فرایندها و نرمافزارهایی که در هر لحظه در حال اجرا هستند را شناسایی کند. کارشناسان امنیتی با استفاده از یک پلتفرم EDR میتوانند نشانههای خطر را به راحتی شناسایی کنند.
- حفاظت آفلاین: با توجه به تغییر الگوهای کاری، امروزه بسیاری از کارمندان به روش آنلاین و با استفاده از اینترنت کاری یا یک VPN کار میکنند که امکان دسترسی امن آنها به شبکه را فراهم میکند. بعضی از پلتفرمهای EDR موجود در بازار برای ایجاد حفاظت کامل نیاز به ارتباط با یک سرور بک -اند EDR دارند.
یک راهکار EDR میتواند صرفنظر از وضعیت اتصال اینترنت، به حفاظت از کاربران کمک کند. این موضوع برای کارمندان دورکار یا افرادی که در سفر هستند و ممکن است ناخواسته فایلهای آلوده به باجافزار را باز کنند، بسیار مهم است.
[1] endpoint detection and response
منبع: techtarget
