אבטחת מידע מקצה לקצה על הקצה – FortiEDR

העולם לא עוצר – מפת האיומים המודרנית
בעידן הטכנולוגי ההפכפך של ימינו, גורמים העוסקים באיומי סייבר משתמשים בנקודות קצה שלא מאובטחות היטב כפתח אחורי לפרצה ברשת. תוקפים אלה מנצלים את העובדה שרוב נקודות הקצה מופעלות ומתוחזקות על ידי בני אדם בזמן שגרה אשר רוב הזמן אין להם את היכולת או את המשאבים לזהות התקפת בנקודות הקצה, ובטח שלא להגן עליהן בצורה מיטבית.

פלטפורמת אבטחה, זיהוי ותגובה של נקודות קצה (Endpoint Detection & Response – EDR) מספקת לארגונים את האמצעים לפקח, לאתר ולהגיב לאיומי נקודות קצה. באמצעות יישום פתרונות ושיטות EDR, ארגונים משיגים נראות לנקודת הקצה של הרשת. EDR מספקת גם לארגונים את הכלים להגנה על הרשת מפני איומים נכנסים בזמן שהם מתרחשים.

איומים על נקודות הקצה

על פי דוח מגמות האבטחה של NIST לשנת 2019, 70% מההפרות מקורן בנקודת הקצה. המחקר ניתח יותר מ-6 מיליון מכשירים ארגוניים וגילה כי הגורם העיקרי להפרת נקודות קצה היה חולשה (Vulnerability) קיימת, ורק 42% מנקודות הקצה מוגנות למעשה מפני איומים.
נקודות קצה הן יעדים קלים לתוקפי סייבר, המשתמשים בהם כדי ליזום התקפות מגוונות. בדרך כלל, התוקפים משתמשים בנקודת הקצה כאמצעי ליעד אחר – הרשת והמידע שהיא מכילה. ברגע שיש להם מידע שחשוב לארגון, הם מוכרים אותם לכל המרבה במחיר, דורשים סכום "כופר" עבור השבת המידע או הסרת ההצפנה, או משתמשים בהם כדי לבצע הונאה פיננסית וזהותית.
ישנן מספר סוגים של התקפות שהופכות את נקודות הקצה לסיכון מבחינת אבטחת המידע בארגון:

  • Phishing – התקפות שמכוונות למשתמשים בדוא"ל. הקורבנות מקבלים דוא"ל המתחזה לישות לגיטימית, המשלה את המשתמש לחשוף מידע רגיש או להוריד תוכנות זדוניות במעטפת לגיטימית.
  • Malvertising – מודעות זדוניות המכילות תוכנה זדונית. הקורבנות לוחצים על אתרים לגיטימיים ונדבקים בתוכנה זדונית.
  • Ransomware – סוג של תוכנה זדונית החוסמת את הגישה של הקורבן לנתונים שהוצפנו. הקורבנות צריכים לשלם כופר בכדי להחזיר את הנתונים שלהם.
  • Drive-by downloads – הקורבנות לוחצים על אתרי אינטרנט, קישורים או עדכוני תוכנה בעלי מראה לגיטימי. הקליק מוריד תוכנות זדוניות או תוכנות הכוללות "הצפנת כופר" ללא ידיעת הקורבן.
  • Unpatched Vulnerabilities – נקודות קצה אשר לא מעודכנות על בסיס קבוע מבחינת עדכוני אבט"מ נופלות לרוב להתקפות. שחקני איום משתמשים בחולשות אבטחה כאלו כדי לפרוץ לרשת.

אז איך עובדת מערכת EDR ?

ביוני 2017 כללה חברת גרטנר את ה-EDR כאחת מ-10 יכולות אבטחת המידע המובילות לשנת 2017, והעריכה שעד שנת 2020, 80% מהארגונים הגדולים ו-25% מהארגונים בגודל בינוני ישקיעו ביכולות אלה. פתרונות אבטחה מסוג EDR מספקים נראות בזמן אמת לנקודות קצה של הרשת, כמו גם יכולות יזומות לזיהוי ותגובה לאיומים בקצה. כדי לאפשר יכולות אלה, פתרונות EDR משתמשים במנגנונים הבאים:

  • איסוף נתונים – איסוף נתונים שנוצרו על ידי פעילויות בנקודות הקצה, כגון תקשורת, כניסות משתמשים וביצוע תהליכים.
  • תיעוד לוג נתונים – רישום נתונים בזמן אמת על אירועי אבטחה בנקודות הקצה. צוותי סייבר בצד ספק ה-EDR משתמשים במידע זה כדי להגיב לאירועי אבטחה בזמן שהם מתרחשים.
  • מנוע איתור – מבצע ניתוח התנהגותי, הקובע נורמה רגילה כבסיס של פעילות נקודת קצה ומזהה אילו חריגות מייצגות פעילות זדונית.

כדי לספק נראות וניתוח של נקודות קצה בזמן אמת, פתרונות EDR מבצעים את שלוש המשימות הללו באופן רציף. לאחר גילוי איום, פתרון ה- EDR יתריע למנהלי מערכת ו / או יחיל תגובת איום מוגדרת מראש.

הכירו את FortiEDR  – המענה המושלם לאבטחת נקודות הקצה

במהלך אוקטובר 2019 חברת פורטינט המובילה בתחום אבטחת המידע רכשה את חברת enSilo (אינסיילו), אשר פועלת בתחום של זיהוי ומניעת התקפות נגד תוכנות כופר, נוזקות ממוקדות, מתקפות ללא קבצים ומתקפות זדוניות ממגוון סוגים אחרים שארגונים, בעיקר גדולים, מתמודדים איתם באופן יומיומי. לרוב, אמצעי ההגנה של אותם ארגונים הם באמצעות מוצרים שמטרתם למנוע מהתוקף לחדור מבחוץ אל תוך הארגון, אבל enSilo מגיעה מכיוון אחר; נקודת ההנחה שלה היא שקשה עד בלתי אפשרי למנוע חדירה של גורם עוין חיצוני, אבל בהחלט אפשר למנוע ממנו לשבש ולגנוב מידע רגיש.
פתרון ה EDR של פורטינט מתמקד במניעת גניבה ושיבוש מידע בארגונים, תוך שימוש בטכנולוגיה שמגנה על נקודות קצה לפני ואחרי הדבקה, וכן עוצרת זליגות ופגיעה בנתונים בזמן אמת.
בשונה משאר פתרונות אבטחת נקודות קצה, המסתמכים על יכולת בודדת של חסימה או זיהוי, FortiEDR מספק הגנה משולבת הכוללת אוטומציה וניצוח מלא על זיהוי, חסימה ואף תגובה – בזמן אמת. הגנה זו מבטיחה להתמודד בהצלחה עם התקפות הממוקדות בנתונים, ובעיקר גניבה או פגיעה בהם, כפי שקורה פעמים רבות עם תוכנות כופר, ללא צורך במודעות לנתונים וללא כל תלות בשיטת ההדבקה. כאשר הפלטפורמה מזהה ניסיון להוצאת מידע על ידי גורם עוין מחוץ לארגון, היא שולחת התראה לארגון וחוסמת התקשרויות זדוניות החוצה.
פתרון ה ForiEDR מוכיח כי מוצר EDR טוב מונע את ההתקפה בזמן אמת אבל מוצר EDR מצוין כמו FortiEDR עושה זאת עם עלות נמוכה בשל מיעוט אירועים מדויקים ואוטומציה רבה.

רוצים לשמוע עוד ?

אנחנו כאן בשבילכם –

קובי מזרחי, מנהל מוצר אבטחת מידע בבזק בינלאומי  – kobimi@bezeqint.co.il

כתיבת תגובה