EDR: تطور مضادات الفيروسات
تعتمد برامج مضاد الفيروسات (AV) التقليدية بشكل كبير على ملفات التواقيع للتعرف على البرمجيات الخبيثة المعروفة. هذا النهج غير فعال ضد الهجمات الحديثة التي لا تعتمد على ملفات أو الهجمات متعددة الأشكال (polymorphic).
كشف واستجابة الأجهزة الطرفية (EDR)
EDR هو حل حديث يتجاوز مجرد مطابقة التواقيع.
- التركيز: التسجيل المستمر لجميع أنشطة الأجهزة الطرفية (إنشاء ملفات، تنفيذ عمليات، اتصالات الشبكة).
- التحليل: يستخدم التحليل السلوكي، وتعلم الآلة، ومحركات الارتباط للكشف عن الأنماط المشبوهة التي قد تشير إلى هجوم 'العيش على خيرات الأرض' أو استغلال ثغرة يوم صفر.
- الاستجابة: يمكن لأنظمة EDR عزل الجهاز المخترق تلقائياً، أو إنهاء العمليات الخبيثة، أو التراجع عن التغييرات الخبيثة، مما يتيح استجابة سريعة للحوادث.
'الجهاز الطرفي' (Endpoint)
الجهاز الطرفي هو أي جهاز متصل بشبكة المؤسسة (لابتوب، جهاز مكتبي، هاتف ذكي، خادم).