ما هي حماية EDR لنقاط النهاية؟

يعبّر مصطلح EDR عن Endpoint Detection and Response، أي اكتشاف نقاط النهاية والاستجابة لها. ونقطة النهاية هي أي جهاز من أجهزة العمل يستخدمه الموظفون، مثل سطح المكتب أو الحاسوب المحمول أو الخادم أو هاتف الشركة. تراقب EDR هذه الأجهزة بحثًا عن سلوك غير معتاد، وتُسجّل ما الذي حدث، وتساعد فريق تقنية المعلومات في التحقيق والاستجابة.

يركّز مضاد الفيروسات الأساسي غالبًا على البحث عن الملفات الخبيثة المعروفة. أما EDR فتذهب إلى أبعد من ذلك. يمكنها رصد أنماط تبدو مشبوهة، مثل برنامج يحاول تغيير العديد من الملفات بسرعة، أو عمليات تسجيل دخول غير معتادة، أو برمجيات تتصل بمواقع لا يفترض عادةً أن تتصل بها.

عادةً ما تكون EDR جزءًا من برنامج وجزءًا من عملية عمل بشرية. ينشئ البرنامج تنبيهات. ثم يقوم فريق تقنية معلومات داخلي أو مزود خدمات تقنية مُدارة، يُسمّى MSP، بمراجعة تلك التنبيهات وتحديد ما يجب فعله بعد ذلك.

إذا كنت جديدًا على التقنية المُدارة، فهذه إحدى أدوات الأمان العديدة التي قد يوصي بها مزود MSP. يمكنك قراءة المزيد من الإجابات المبسطة بلغة واضحة في قسم مركز الإجابات.

تعتمد الشركات الصغيرة على الأجهزة في البريد الإلكتروني والملفات والرواتب وسجلات العملاء والعمل اليومي. إذا أصيب جهاز كمبيوتر محمول واحد بالعدوى أو تم إساءة استخدام حساب موظف واحد، فقد ينتشر ذلك، ويعطّل العمل، ويُولّد تكاليف لتنظيف الأنظمة ومعالجة الأثر.

تساعد EDR الشركات على رؤية المشكلات في وقت أبكر والاستجابة بطريقة أكثر تنظيمًا. قد يعني ذلك عزل جهاز واحد، أو إيقاف عملية مشبوهة، أو جمع أدلة، والتحقق مما إذا كانت المشكلة قد وصلت إلى أنظمة أخرى. قد تقلل الاكتشافات المبكرة من الارتباك وتحد من الضرر، لكن لا يوجد مزود صادق يَعِد بعدم انقطاع التشغيل أو بشبكة لا يمكن اختراقها.

يهم الأمر أيضًا لأن كثيرًا من الهجمات لم يعد شكلها يشبه فكرة “الفيروس” القديمة. قد تتضمن التهديدات كلمات مرور مسروقة، أو تنزيلات غير آمنة، أو روابط بريد إلكتروني خبيثة، أو استخدام أدوات عادية بطريقة ضارة. صُممت EDR لتحلل السلوك، وليس فقط توقيعات البرمجيات الخبيثة المعروفة.

بالنسبة للعديد من الشركات، تكون EDR أكثر فائدة عند دمجها مع الأساسيات الأخرى. تشمل الأمثلة: المصادقة متعددة العوامل، ويُختصر لها MFA، والقيام بترقيع منتظم للأنظمة، أي تطبيق تحديثات البرامج والأمان، ونسخ احتياطية قوية، وقواعد واضحة للموظفين.

يقوم أداة EDR الجيدة بجمع النشاط من نقاط النهاية. قد تتابع العمليات، وتسجيلات الدخول، وتغييرات الملفات، واتصالات الشبكة، وعلامات تُشير إلى إيقاف إعدادات الأمان. يساعد ذلك في بناء تسلسل زمني لما حدث على جهاز ما.

عندما يبدو شيء ما مشبوهًا، ينشئ النظام تنبيهًا. وبحسب المنتج والإعداد، قد يتضمن أيضًا إجراءات استجابة محدودة، مثل إيقاف عملية، أو حظر ملف، أو عزل جهاز عن الشبكة لمنع انتشار المشكلة أثناء قيام شخص ما بالتحقيق.

تسمع بعض الشركات أيضًا عن RMM، وهو اختصار Remote Monitoring and Management، أي المراقبة والإدارة عن بُعد. هذه فئة مختلفة. يُستخدم RMM عادةً من قِبل فرق تقنية المعلومات ومزودي الخدمة المُدارة MSP لمراقبة صحة الأجهزة، ونشر التحديثات، والتعامل مع مهام الدعم الروتينية. تركز EDR على اكتشاف والاستجابة لنشاطات أمنية مشبوهة.

قد تسمع كذلك مصطلح “منصة حماية نقاط النهاية” (endpoint protection platform). وباللغة المبسطة، يعني ذلك عادةً برنامج الحماية الأوسع على الجهاز، بينما تُعد EDR طبقة الاكتشاف والاستجابة التي تساعد على التحقيق في ما يجري.

لا تعني EDR الجيدة مجرد شراء ترخيص والآمال. يجب أن يتم إعدادها لتناسب أعمال شركتك، وأن تتم مراقبتها من قِبل شخص يعرف كيفية مراجعة التنبيهات، وأن تُربط بخطة استجابة واضحة. وإلا فقد تنتهي بالكثير من التنبيهات مع حماية حقيقية محدودة.

يتضمن الإعداد القوي عادةً تغطية لجميع نقاط النهاية الرئيسية في العمل، وليس بضع أجهزة محمولة فقط. غالبًا يعني ذلك أجهزة الكمبيوتر الخاصة بالموظفين والخوادم، وأحيانًا الأجهزة المحمولة كذلك، اعتمادًا على طريقة عمل الشركة. كما ينبغي أن تتكامل مع أدواتك الأخرى مثل MFA وأمن البريد الإلكتروني والنسخ الاحتياطية وقواعد الوصول للمستخدمين.

يوضح مقدمو الخدمة الجيدون أيضًا ما الذي سيفعلونه وما الذي لن يفعلوه. يجب أن يشرحوا كيف تتم مراجعة التنبيهات، وما الذي يتم تصعيده، وما خطوات الاستجابة التي تتضمنها الخطة، وكيف يتم الإبلاغ عن الحوادث. إذا كانوا يقدمون SLA، وهو اختصار Service Level Agreement أي اتفاق مستوى الخدمة، فينبغي أن يصف ذلك المستند أهداف الاستجابة وشروط الدعم بلغة واضحة.

إذا كنت تريد مساعدة في العثور على مزود مستقل يمكنه شرح هذه الخيارات بوضوح، يمكن لـ NodeBridge IT أن يساعدك في العثور على تطابق مع مزود MSP. نحن خدمة مطابقة مجانية. نحن لا ندير أو نراقب أو نؤمّن أو نُصلح أو نصل إلى أنظمتك.

تُعد EDR عادة جزءًا من خدمة تقنية مُدارة أوسع. قد يقوم مزود MSP بدمجها مع دعم الأجهزة وإدارة الترقيع وفحوصات النسخ الاحتياطية وأمن الحسابات ومساعدة في التخطيط. يقدم بعض مقدمي الخدمة أيضًا إرشادات vCIO، أي نصائح Chief Information Officer الافتراضي، لمساعدة شركة صغيرة على تحديد أولويات تقنية المعلومات والأمان دون توظيف هذا الدور بدوام كامل.

يهم ذلك لأن الأمن يعمل بشكل أفضل كنظام. على سبيل المثال، يمكن أن تساعد EDR في اكتشاف سلوك مشبوه على حاسوب محمول، لكنها لا تُغني عن النسخ الاحتياطية أو تدريب الموظفين أو ضوابط الوصول أو خطة لتحديد من يتخذ القرارات أثناء الحادث.

النسخ الاحتياطية موضوع منفصل، لكن من الجدير ذكرها هنا. قد تسمع عن استراتيجية نسخ احتياطي 3-2-1. وهذا يعني الاحتفاظ بـ 3 نسخ من البيانات على نوعين مختلفين من وسائط التخزين، مع الاحتفاظ بنسخة واحدة خارج الموقع. تحل EDR والنسخ الاحتياطية مشكلات مختلفة، وغالبًا تحتاج العديد من الشركات إلى كليهما.

إذا كنت تقارن بين مزودين، يمكن أن يساعدك نظرة عامة على الخدمات في فهم ما قد تتضمنه التقنية المُدارة عادةً وما الأسئلة التي يجب طرحها.

بالنسبة لشركة صغيرة، غالبًا ما يتم تسعير EDR لكل جهاز لكل شهر، أو يتم تضمينها ضمن حزمة أوسع من التقنية المُدارة. قد يكون النطاق التقريبي حوالي 8 إلى 25 دولارًا لكل جهاز شهريًا بالنسبة لمكوّن EDR نفسه، بينما قد تكون حزمة التقنية المُدارة الكاملة التي تتضمن أدوات أمان أعلى بكثير. الرقم الحقيقي يعتمد على عدد الموظفين، وعدد الأجهزة، واحتياجات الأمان، وساعات الدعم، والمنطقة التي تعمل فيها. هذه النطاقات ليست عروض تسعير.

أرخص خيار ليس دائمًا أفضل قيمة. قد تعني الأسعار المنخفضة مراجعة محدودة للتنبيهات، أو إعدادًا ضعيفًا، أو مسؤولية غير واضحة عن الاستجابة. ومن ناحية أخرى، لا يعني السعر المرتفع أنه أفضل تلقائيًا إذا لم يكن بإمكان المزود شرح ما يتضمنه بكلمات واضحة.

اطرح أسئلة عملية. من يراجع التنبيهات ومتى. ما الإجراءات التي يتم أتمتتها. ماذا يحدث بعد ساعات العمل. ما الأجهزة المشمولة. كيف يتم التعامل مع الإنذارات الكاذبة. ما التقارير التي ستستلمها. وكيف تتكامل EDR مع النسخ الاحتياطية والترقيع وأمن الحسابات.

إذا كنت تريد طريقة أبسط للبدء، يمكن لـ NodeBridge IT أن يوصلّك بـ مزود MSP مستقل يخدم نوع عملك وموقعك. خدمتنا مجانية لأصحاب الأعمال. نجمع فقط تفاصيل عمل أساسية وتفاصيل تواصل بسيطة حتى نساعدك في العثور على تطابق.