امنیت نقطه پایانی نسل بعدی، تفاوت آن با راهکای سنتی

امروزه امنیت نقطه پایانی (Endpoint Security) به یکی از دغدغه‌های اصلی مدیران فناوری اطلاعات تبدیل شده است. با گسترش تهدیدات سایبری پیچیده – از بدافزارهای ناشناخته گرفته تا حملات هدفمند و باج‌افزارها – روش‌های سنتی مبتنی بر آنتی‌ویروس‌های امضابنیان دیگر به‌تنهایی پاسخگوی حفاظت از سیستم‌ها نیستند. نیروهای مهاجم به شکل روزافزون از تکنیک‌های پیشرفته مانند بدافزارهای بدون فایل (Fileless Malware) یا سوءاستفاده از رفتارهای کاربر سوءاستفاده می‌کنند که شناسایی آن‌ها با ابزارهای نسل قدیم دشوار است. در این میان، امنیت نقطه پایانی نسل بعدی به‌عنوان رویکردی نوین برای مقابله با تهدیدات نوظهور مطرح شده است. این رویکرد با بهره‌گیری از هوش مصنوعی (AI)، یادگیری ماشین (ML) و فناوری‌های پیشرفته، لایه‌های دفاعی چندگانه‌ای ایجاد می‌کند که می‌تواند سازمان‌ها را در برابر طیف وسیع‌تری از حملات محافظت کند. به ویژه، برند ترلیکس – که حاصل تلفیق دو نام‌آشنای صنعت امنیت یعنی McAfee Enterprise و FireEye در سال 2022 است – با تمرکز بر راهکارهای نسل بعدی امنیت نقطه پایانی (Next-Gen Endpoint Security) و معماری موسوم به XDR (تشخیص و پاسخ توسعه‌یافته) توانسته است قابلیت‌های نوآورانه‌ای را برای دفاع سایبری سازمان‌ها ارائه دهد. در این مقاله، ضمن تعریف امنیت نقطه پایانی نسل بعدی و تبیین نقش AI و ML در آن، به بررسی محصولات و فناوری‌های Trellix در حوزه امنیت نقطه پایانی می‌پردازیم. همچنین تفاوت این راهکارهای مدرن با راهکارهای سنتی و مزایای کلیدی آن‌ها برای سازمان‌ها تشریح خواهد شد. این راهنما به زبان ساده اما فنی تهیه شده تا برای مدیران فناوری اطلاعات کاربرپسند بوده و قابل استفاده در تصمیم‌گیری‌های امنیت سایبری باشد.

امنیت نقطه پایانی نسل بعدی چیست؟

امنیت نقطه پایانی نسل بعدی (Next-Generation Endpoint Security) به مجموعه‌ای از راهکارهای محافظتی اشاره دارد که فراتر از آنتی‌ویروس‌های سنتی عمل می‌کنند و از فناوری‌های هوشمند و چندلایه برای تامین امنیت دستگاه‌های کاربری (رایانه‌ها، سرورها، لپ‌تاپ‌ها و … در شبکه سازمان) بهره می‌گیرند. برخلاف محصولات قدیمی که عمدتاً متکی به امضاهای شناخته‌شده‌ی بدافزار هستند، راهکارهای نسل بعدی ترکیبی از روش‌های شناسایی مبتنی بر رفتار، تحلیل پیشرفته و هوش مصنوعی را به کار می‌برند. این ابزارها علاوه بر استفاده از پایگاه داده بدافزارهای شناخته‌شده، قادرند به‌صورت بلادرنگ (Real-Time) فعالیت‌های سیستم و کاربر را پایش کرده و هرگونه الگوی مشکوک یا ناهنجار را تشخیص دهند. به عنوان مثال، امنیت نسل بعدی می‌تواند تهدیدات روزصفر (Zero-Day) که فاقد امضای شناخته‌شده هستند یا حملات فایل‌لس که در حافظه اجرا می‌شوند را شناسایی و متوقف کند؛ کاری که از توان نسل قبلی خارج بود.

راهکارهای نقطه پایانی نسل جدید معمولاً یک رویکرد چندلایه دارند. این لایه‌ها ممکن است شامل ترکیبی از آنتی‌ویروس نسل جدید (NGAV) برای شکار بدافزارهای شناخته و ناشناخته، فایروال میزبان برای فیلتر ترافیک ورودی/خروجی دستگاه، کنترل دستگاه‌های جانبی (نظیر پورت‌های USB) برای جلوگیری از نفوذ از طریق ابزارهای جانبی، ممانعت از اکسپلویت (Exploit Prevention) برای خنثی‌سازی سوءاستفاده از آسیب‌پذیری‌های نرم‌افزار، و آنالیز رفتار در محیط ایزوله (Sandboxing) جهت اجرای برنامه‌های مشکوک در محیط کنترل‌شده است. ترکیب این لایه‌ها سطح حمله (Attack Surface) را به حداقل می‌رساند و حفاظت جامع‌تری را فراهم می‌کند.

علاوه بر جلوگیری از تهدیدات (Prevention)، امنیت نقطه پایانی نسل بعدی بر شناسایی و پاسخ فعال نیز تأکید دارد. این بدان معناست که اگر تهدیدی موفق به عبور از لایه‌های پیشگیری شد، سیستم قادر است با شکار تهدیدات پنهان و واکنش سریع خودکار خسارات را به حداقل برساند. ابزارهای EDR (شناسایی و پاسخ نقطه پایانی) بخش مهمی از این راهکارها هستند که در ادامه به آن‌ها خواهیم پرداخت. در مجموع، Next-Gen Endpoint Security یک تغییر پارادایم از رویکرد منفعل سنتی به یک رویکرد پویا، هوشمند و انطباق‌پذیر است که متناسب با تهدیدات مدرن طراحی شده است.

تفاوت راهکارهای نسل بعدی با آنتی‌ویروس‌های سنتی

راهکارهای امنیتی نسل جدید از جهات متعددی با نسل قدیم (راهکارهای سنتی مبتنی بر آنتی‌ویروس‌های ساده) تفاوت دارند. در ادامه به چند تفاوت کلیدی این دو رویکرد اشاره می‌کنیم:

• روش تشخیص: امنیت سنتی عمدتاً متکی بر پایگاه امضاهای بدافزار و روش‌های محدود شناسایی (مثلاً تطبیق الگوهای ثابت) است، در حالی که امنیت نسل بعدی از هوش مصنوعی و یادگیری ماشین برای تحلیل رفتار بهره می‌گیرد. به عبارت دیگر، یک آنتی‌ویروس قدیمی فقط بدافزارهای شناخته‌شده را شناسایی و مسدود می‌کند، اما سیستم نسل جدید می‌تواند بدافزارهای ناشناخته و حملات روزصفر را نیز از طریق تشخیص الگوهای رفتاری غیرعادی کشف کند.

• سرعت واکنش: محصولات سنتی برای شناخت تهدید جدید نیازمند به‌روزرسانی دستی یا دریافت فایل امضا هستند که این امر باعث تأخیر در واکنش می‌شود. در مقابل، راهکار نسل بعدی با استفاده از هوش تهدید ابری بلادرنگ به محض شناسایی تهدید جدید در هر نقطه‌ای از جهان، اطلاعات محافظتی را به سایر نقاط پایانی ارسال می‌کند. این یک واکنش آنی را امکان‌پذیر می‌سازد؛ به‌طوری‌که در برابر بدافزارهای نوظهور خیلی سریع‌تر از آنتی‌ویروس‌های سنتی عمل می‌کند.

• حوزه پوشش و دید: راهکارهای قدیمی عمدتاً هر دستگاه را به صورت مجزا محافظت می‌کنند و توان کمی در همبستگی بین وقایع امنیتی در سطح شبکه یا بین کاربران دارند. نسل جدید اما معمولاً به‌صورت یکپارچه عمل می‌کند و اطلاعات را از منابع مختلف (نقاط پایانی متعدد، شبکه، ایمیل و غیره) گردآوری کرده و تحلیل می‌کند. این دید گسترده‌تر (که در راهکارهای مدرن به شکل XDR توسعه یافته) اجازه می‌دهد حملاتی که در چند مرحله و بر روی چند سیستم انجام می‌شوند نیز شناسایی گردند؛ چیزی که از چشم آنتی‌ویروس سنتی پنهان می‌ماند.

• قابلیت پاسخ‌دهی: آنتی‌ویروس سنتی در بهترین حالت تهدید را شناسایی و فایل مخرب را قرنطینه می‌کند، اما اقدامات بعدی (مانند پاک‌سازی سیستم، قطع دسترسی مهاجم، یا بازیابی اطلاعات) نیازمند دخالت دستی است. در مقابل، در امنیت نسل بعدی اقدامات واکنش خودکار تعبیه شده است؛ به عنوان مثال، سیستم می‌تواند به محض تشخیص یک حمله، دستگاه آلوده را ایزوله کند تا از گسترش تهدید در شبکه جلوگیری شود، یا تغییرات مخرب ایجادشده توسط بدافزار (مانند رمزگذاری فایل‌ها توسط باج‌افزار) را به‌طور خودکار به حالت قبل برگرداند (ویژگی Rollback). این توانمندی‌ها باعث می‌شود تهدیدات فعال به سرعت مهار شوند.

• مدیریت و یکپارچگی: در رویکرد سنتی، سازمان‌ها ممکن بود برای هر کارکرد امنیتی یک محصول جداگانه داشته باشند (مثلاً یک آنتی‌ویروس، یک فایروال، یک نرم‌افزار کنترل ابزارهای جانبی و …)، که مدیریت هر یک به صورت جداگانه پیچیده بود. راهکارهای نسل بعدی اغلب یک پلتفرم یکپارچه ارائه می‌کنند که تمامی این قابلیت‌ها را تحت یک کنسول مرکزی و با یک عامل (Agent) واحد روی هر دستگاه پیاده‌سازی می‌کند. نتیجه این استقرار یکپارچه، کاهش پیچیدگی مدیریت و هزینه‌های عملیاتی کمتر به همراه پوشش جامع‌تر است.

نقش هوش مصنوعی و یادگیری ماشین در امنیت نقطه پایانی

هوش مصنوعی (AI) و یادگیری ماشین (ML) ستون‌های اساسی امنیت نقطه پایانی نسل بعدی هستند. حجم انبوهی از داده‌های مربوط به فعالیت سیستم‌ها (لاگ‌ها، فرآیندها، ترافیک شبکه و…) باید تحلیل شود تا تهدیدات پیچیده شناسایی گردند؛ امری که فراتر از توان نیروی انسانی به‌تنهایی است. AI و ML با سرعت و دقت بالای خود این چالش را برطرف می‌کنند. الگوریتم‌های یادگیری ماشین در راهکارهای مدرن، الگوهای عادی و غیرعادی را از رفتار کاربران و برنامه‌ها یاد می‌گیرند و می‌توانند به سرعت تفاوت بین یک فعالیت مجاز و یک تهدید را تشخیص دهند. برای مثال، یک مدل ML می‌تواند صدها ویژگی یک فایل یا یک فرآیند را بررسی کند و پیش‌بینی نماید که آن رفتار مخرب است یا خیر، حتی اگر هرگز آن بدافزار را پیش‌تر ندیده باشد.

هوش مصنوعی همچنین در کاهش هشدارهای کاذب نقش مهمی دارد. سیستم‌های سنتی ممکن است هر رویداد مشکوکی را به عنوان هشدار گزارش کنند و باعث «خستگی هشدار» در تیم امنیتی شوند. در مقابل، AI با فیلتر کردن هوشمند هشدارها، تنها موارد مهم و معتبر را به گوش ادمین‌ها می‌رساند. یادگیری مستمر از بازخورد کارشناسان امنیت نیز امکان‌پذیر است؛ یعنی سامانه با دریافت تأیید یا رد هشدارها توسط انسان، مدل‌های خود را تنظیم کرده و دقتش را بهبود می‌بخشد.

به علاوه، هوش مصنوعی پایه‌گذار قابلیت‌هایی مانند خودکارسازی واکنش‌ها است. به کمک AI، سیستم می‌تواند دستورالعمل‌های از پیش تعیین‌شده را در پاسخ به رویدادهای خاص اجرا کند (مانند بستن یک پورت شبکه در صورت تشخیص نفوذ) بدون نیاز به مداخله فوری انسان. این امر به تیم امنیت اجازه می‌دهد به جای درگیری با وظایف تکراری، بر تهدیدات مهم‌تر و تحلیل‌های سطح بالا تمرکز کنند.

شرکت ترلیکس با سرمایه‌گذاری گسترده روی AI/ML، این فناوری‌ها را عمیقاً در محصولات خود وارد کرده است. از موتورهای ML در ضدبدافزار نسل جدید گرفته تا بهره‌گیری از AI مکالمه‌محور برای کمک به تحلیل تهدیدات در مرکز عملیات امنیت (SOC)، همگی نشان از نقش کلیدی AI در پلتفرم ترلیکس دارند. به عنوان نمونه، ترلیکس از شبکه گسترده‌ای شامل میلیون‌ها نقطه پایانی در سراسر جهان داده‌های تهدید را جمع‌آوری و با AI تحلیل می‌کند تا هوش تهدید (Threat Intelligence) به‌روز و دقیقی را برای تمامی مشتریان خود فراهم کند. این ترکیب یادگیری ماشین و هوش تهدید جهانی باعث می‌شود راهکارهای امنیتی نسل بعدی بتوانند یک گام جلوتر از مهاجمان حرکت کنند.

ترلیکس؛ پیشگام نسل جدید امنیت نقطه پایانی

ترلیکس نامی تازه در دنیای امنیت سایبری است که به سرعت جایگاه ویژه‌ای پیدا کرده است. این شرکت در اوایل سال 2022 با ادغام دو بازیگر باسابقه‌ی این حوزه – یعنی کسب‌وکار سازمانی مک‌آفی و بخش محصولات FireEye – شکل گرفت. ترلیکس با تلفیق هوش تهدیدات پیشرفته‌ی FireEye و زیرساخت امنیت سازمانی McAfee، نسل جدیدی از محصولات امنیتی را پدید آورده که به‌طور خاص بر معماری XDR (eXtended Detection and Response) متمرکز هستند. به زبان ساده، XDR رویکردی است که داده‌ها و عملیات امنیتی را در تمامی لایه‌ها (نقطه پایانی، شبکه، ایمیل، فضای ابری و …) یکپارچه می‌کند تا دید کاملی از حملات به دست دهد و پاسخ هماهنگ‌تری ارائه کند.

یکی از باورهای محوری ترلیکس، دفاع در عمق (Defense in Depth) و یکپارچگی پلتفرم است. این شرکت به جای ارائه‌ی محصولات مجزا و جزیره‌ای، یک سکوی امنیتی یکپارچه عرضه کرده که در آن همه اجزا با هم هم‌افزایی (Synergy) دارند. برای نمونه، راهکار امنیت نقطه پایانی ترلیکس نه تنها شامل محافظت‌های پیشگیرانه در خود دستگاه است، بلکه به‌طور بومی با سرویس‌های هوش تهدید ابری، تحلیل‌های مبتنی بر AI و سایر ماژول‌های امنیتی ترلیکس در ارتباط است. نتیجه این رویکرد، شکل‌گیری یک چرخه‌ی یادگیری مداوم است که با کشف هر تهدید جدید، کل سیستم امنیتی ترلیکس باهوش‌تر و آماده‌تر می‌شود.

ترلیکس خود را یک ارائه‌دهنده پیشرو در امنیت نسل بعدی می‌داند و این ادعا با بازخوردهای صنعت نیز همخوانی دارد. محصولات این شرکت توسط تحلیل‌گران مستقل امنیتی مورد تحسین قرار گرفته‌اند؛ برای مثال، ترلیکس در گزارش IDC Worldwide Modern Endpoint Security 2024 به عنوان رهبر شناخته شده و در ارزیابی‌های Forrester 2023 جزو بازیگران قدرتمند (Strong Performers) بوده است. همچنین راهکارهای نقطه پایانی ترلیکس موفق به کسب جوایز معتبری نظیر دریافت نشان “Top Product” در آزمون AV-Test سال 2025 برای محافظت از مشتریان سازمانی شده‌اند. این موفقیت‌ها نشان‌دهنده‌ی اثربخشی و قابلیت اعتماد راهکارهای ترلیکس در عمل هستند.

در ادامه، نگاهی دقیق‌تر خواهیم داشت به مهم‌ترین اجزای پلتفرم امنیت نقطه پایانی ترلیکس و ویژگی‌های هر یک.

راهکارهای امنیت نقطه پایانی ترلیکس

ترلیکس یک مجموعه جامع از محصولات امنیت نقطه پایانی ارائه می‌دهد که به صورت هماهنگ عمل می‌کنند. دو ستون اصلی این مجموعه Trellix Endpoint Security (ENS) و Trellix Endpoint Detection and Response (EDR) هستند. ENS به پیشگیری چندلایه از تهدیدات می‌پردازد و EDR بر کشف تهدیدات پیشرفته و واکنش سریع تمرکز دارد. این دو محصول روی یک عامل مشترک بر روی دستگاه‌ها نصب می‌شوند و هر دو از طریق یک کنسول مدیریت مرکزی کنترل می‌گردند، بنابراین کاملاً یکپارچه بوده و مکمل یکدیگر هستند. در کنار این‌ها، ابزارهای دیگری نظیر کنترل کاربردها و قابلیت‌های فارنزیک (جرم‌یابی دیجیتال) نیز در پلتفرم ترلیکس وجود دارند که امنیت را تکمیل می‌کنند. در زیر به معرفی این راهکارها و مزایای هر کدام می‌پردازیم:

ترلکیس ENS، حفاظت چندلایه پیشگیرانه

ENS ترلیکس راهکار پیشگیری (Protect) کمپانی ترلیکس برای نقاط پایانی است که نقش خط مقدم دفاع سایبری را ایفا می‌کند. این محصول یک پلتفرم حفاظت نقطه پایانی (EPP) چندلایه محسوب می‌شود و تمام ابزارهای امنیتی ضروری را در قالب یک بسته‌ی واحد ارائه می‌دهد. مهم‌ترین ویژگی‌ها و قابلیت‌های Trellix ENS عبارت‌اند از:

• آنتی‌ویروس نسل جدید: موتور ضدبدافزار ENS با استفاده از پایگاه داده بدافزارهای شناخته‌شده و الگوریتم‌های یادگیری ماشین، به‌صورت بی‌درنگ (On-Access) فایل‌ها را اسکن می‌کند. هرگاه فایلی اجرا یا دسترسی داده می‌شود، این موتور آن را تحلیل کرده و در صورت مشاهده‌ی الگوی مخرب (امضای شناخته‌شده یا رفتار مشکوک)، فوراً آن را مسدود یا قرنطینه می‌کند. ترکیب روش‌های امضایی با تحلیل هوشمند رفتار باعث می‌شود ENS بتواند طیف گسترده‌ای از بدافزارها – از ویروس‌ها و تروجان‌های رایج تا تهدیدات پیچیده‌تر – را شناسایی کند.

• دیواره‌آتش میزبان و کنترل دستگاه‌ها: Trellix ENS شامل Host Firewall برای کنترل ترافیک شبکه در سطح میزبان است. این فایروال قوانین انعطاف‌پذیری جهت اجازه/ممانعت ارتباطات ورودی و خروجی براساس آدرس IP، پورت و پروتکل فراهم می‌کند و بدین ترتیب جلوی بسیاری از حملات شبکه‌ای به دستگاه را می‌گیرد. علاوه بر آن، Device Control یا کنترل ابزارهای جانبی، امکان اعمال سیاست بر دستگاه‌هایی مانند USB، هارد اکسترنال، بلوتوث و … را می‌دهد. این قابلیت برای جلوگیری از نشت داده‌ها یا انتقال بدافزار از طریق رسانه‌های قابل حمل بسیار حیاتی است (مثلاً می‌توان استفاده از درایو USB ناشناس را ممنوع کرد). ترکیب فایروال میزبان و کنترل ابزار، سطح حمله را بیش از پیش کاهش داده و سازمان را در برابر تهدیدات فیزیکی و شبکه‌ای محافظت می‌کند.

• جلوگیری از بهره‌جویی (Exploit Prevention): یکی دیگر از لایه‌های دفاعی ENS، ماژول محافظت در برابر اکسپلویت‌ها است. این ماژول به‌طور خاص روی نقاط ضعف نرم‌افزارها و سیستم‌عامل متمرکز است. با بهره‌گیری از تکنیک‌هایی مانند تقویت حافظه (Memory Protection) و نظارت بر رفتارهای غیرمجاز در فرایندها (مانند تلاش برای ارتقای سطح دسترسی یا تزریق کد)، ENS بسیاری از حملات روزصفر که از آسیب‌پذیری‌های ناشناخته سوءاستفاده می‌کنند را ناکام می‌گذارد. به عبارتی، حتی اگر بدافزاری موفق شود از سد آنتی‌ویروس عبور کند، مکانیزم ضد Exploit می‌تواند در لحظه‌ی تلاش برای انجام حمله (مثلاً اجرای کد مخرب در حافظه) جلوی آن را بگیرد.

• تحلیل رفتاری و یادگیری ماشین: Trellix ENS مجهز به فناوری Real Protect است که یک موتور تحلیل رفتار مبتنی بر یادگیری ماشین محسوب می‌شود. Real Protect با نظارت بر رفتارهای برنامه‌ها و فرآیندها، بدافزارهای جدید و ناشناخته را از طریق الگوهای رفتاری شناسایی می‌کند. مثلاً اگر یک فایل ظاهراً سالم رفتاری شبیه بدافزار از خود نشان دهد (مانند ایجاد خودکار اتصالات مشکوک یا تغییر تنظیمات سیستمی)، Real Protect آن را به عنوان تهدید علامت‌گذاری و متوقف می‌کند. این قابلیت به طور خاص برای کشف بدافزارهای روزصفر طراحی شده و به ENS کمک می‌کند تهدیداتی را که هرگز دیده نشده‌اند نیز تشخیص دهد.

• محافظت فعال با Dynamic Application Containment: یکی دیگر از امکانات پیشرفته ENS، ویژگی بست‌بندی پویا برنامه‌ها یا DAC است. این قابلیت به گونه‌ای عمل می‌کند که اگر برنامه‌ای غیرشناخته (نه سفید و نه صراحتاً سیاه) بر روی سیستم اجرا شود، ENS آن را در یک حالت ایزوله قرار می‌دهد و دسترسی‌های حساس را به روی آن محدود می‌کند تا زمانی که رفتار برنامه ارزیابی شود. به این ترتیب، برنامه‌های مشکوک امکان انجام اقدامات مخرب (مثل تغییر رجیستری حساس یا دستکاری فایل‌های سیستم) را نخواهند داشت مگر آنکه توسط موتورهای هوشمند امن بودنشان تأیید گردد. DAC به نوعی یک محیط قرنطینه موقت برای برنامه‌های ناشناخته فراهم می‌کند که ریسک اجرای کدهای بالقوه خطرناک را به حداقل می‌رساند.

• خنثی‌سازی خودکار تغییرات مخرب (Rollback): قابلیتی که ENS را از بسیاری راهکارهای سنتی متمایز می‌کند، امکان Rollback خودکار تغییرات ناخواسته است. فرض کنید بدافزاری برخی فایل‌های سیستم را تغییر داده یا آن‌ها را رمزگذاری کرده باشد؛ ENS می‌تواند با کمک گرفتن از تصاویر بازیابی (Snapshots) یا ثبت وقایع سیستم، سیستم را به حالت سالم قبلی بازگرداند. این ویژگی خصوصاً در مقابله با باج‌افزارها بسیار ارزشمند است، زیرا به محض شناسایی تلاش برای رمزگذاری گسترده فایل‌ها، فرآیند مهاجم را متوقف کرده و فایل‌های آسیب‌دیده را بازیابی می‌نماید. بدین ترتیب خسارات حمله به حداقل رسیده و نیازی به بازیابی‌های زمان‌بر یا پرداخت باج نخواهد بود.

• عامل واحد و مدیریت مرکزی: تمامی قابلیت‌های فوق از طریق یک عامل (Agent) سبک و بهینه روی هر دستگاه ارائه می‌شوند. این عامل واحد جایگزین چندین نرم‌افزار امنیتی مجزا شده و در نتیجه سربار سیستمی را کاهش می‌دهد. کنسول مدیریت مرکزی Trellix (معروف به ePolicy Orchestrator یا ePO) امکان مدیریت و پیکربندی تمام این قابلیت‌ها را در یکجا فراهم می‌کند. مدیران امنیت می‌توانند از طریق ePO سیاست‌های امنیتی (Policy) تعریف کرده، وضعیت تمامی نقاط پایانی را به‌صورت متمرکز پایش کنند و گزارش‌های جامعی دریافت نمایند. وجود یک کنسول واحد بدان معناست که یکپارچگی سیاست‌ها حفظ شده و اعمال تغییرات یا واکنش به رخدادها در مقیاس سازمانی به سرعت و سهولت انجام می‌شود.

به طور خلاصه، Trellix ENS تلاش می‌کند قبل از وقوع هرگونه نفوذ، تهدیدات را خنثی کند. این محصول مانند یک سپر مستحکم جلوی مهاجم را می‌گیرد تا اساساً حمله‌ای موفق شکل نگیرد. با این حال، همان‌طور که در دنیای امنیت مرسوم است، هیچ دفاعی صد درصد نیست. اینجاست که لایه‌ی بعدی یعنی EDR وارد عمل می‌شود تا موارد احتمالی عبور کرده از ENS را شناسایی و مهار کند.

ترلیکس EDR، دید گسترده و واکنش سریع

 EDR ترلیکس مکمل راهکار ENS است که بر جنبه‌های شناسایی پیشرفته تهدیدات و پاسخ‌دهی سریع تمرکز دارد. ایده اساسی EDR این است که حتی اگر مهاجمی از لایه‌های پیشگیری عبور کرد، نباید مجال پیدا کند که مدت طولانی در سیستم مخفی بماند یا آزادانه خرابکاری کند. Trellix EDR مانند یک دوربین مدار بسته و تیم واکنش سریع برای نقاط پایانی عمل می‌کند و با پایش مداوم سیستم‌ها، کوچکترین نشانه‌های نفوذ را شکار کرده و اقدامات لازم را بلافاصله انجام می‌دهد. ویژگی‌های برجسته Trellix EDR عبارت‌اند از:

• پایش مداوم و جمع‌آوری داده‌های غنی: بر خلاف ENS که به صورت رویدادی عمل می‌کند، EDR به شکل 24/7 در پس‌زمینه فعالیت دستگاه را مانیتور می‌کند. این سیستم حجم انبوهی از داده‌ها از هر نقطه پایانی گردآوری می‌نماید؛ از جمله فرآیندهای در حال اجرا، اتصالات شبکه‌ای برقرارشده، تغییرات سیستم فایل و رجیستری، ورود/خروج کاربران و بسیاری نشانه‌های دیگر. تمامی این اطلاعات به یک مخزن مرکزی (Cloud-based) ارسال و ذخیره می‌شود. این دید جامع و تاریخچه کامل از فعالیت‌ها به EDR امکان می‌دهد که حتی حملات پیچیده و طولانی‌مدت (مانند Advanced Persistent Threats) را که در طی زمان و گام‌های متعدد انجام می‌شوند، کشف کند.

• تحلیل ابری پیشرفته با هوش مصنوعی (Trellix Wise): Trellix EDR از تحلیل‌های ابری بهره می‌برد؛ به این معنا که داده‌های جمع‌آوری‌شده از نقاط پایانی به پلتفرم ابری Trellix ارسال و در آنجا توسط موتورهای پیشرفته تحلیل می‌شوند. این موتورهای تحلیل، هسته‌شان فناوری هوش مصنوعی Trellix Wise است. Trellix Wise یک موتور GenAI (هوش مصنوعی مولد) اختصاصی Trellix است که با تکیه بر بیش از 25 سال داده و مدل‌سازی AI توسعه یافته است. این موتور قادر است الگوهای بسیار ظریف و مخفی در داده‌ها را بیابد؛ به عنوان مثال، زنجیره‌ای از رویدادهای ظاهراً پراکنده که در کنار هم نشان‌دهنده یک نفوذ هستند. با استفاده از یادگیری ماشین، EDR می‌تواند رفتارهای مشکوک را حتی اگر قبلاً مشاهده نشده باشند شناسایی کند. به عبارتی، تلاش‌های مخفی مهاجم (مثل حرکات جانبی در شبکه، تلاش برای مخفی کردن ردپاها یا استفاده از ابزارهای مدیریت سیستم به شکل سوءاستفاده‌آمیز) با این تحلیل‌های هوشمند قابل کشف می‌شوند.

• شناسایی خودکار تهدیدات پیشرفته: به محض اینکه EDR الگوی غیرعادی یا مشکوکی را در داده‌های پایش‌شده تشخیص دهد، آن را به عنوان هشدار علامت‌گذاری می‌کند. برای مثال، اگر فرآیندی در حال اجرا مشاهده شود که به طور ناگهانی حجم زیادی از فایل‌ها را رمزگذاری می‌کند (رفتاری شبیه باج‌افزار)، یا اجرای یک اسکریپت PowerShell در حافظه بدون ایجاد فایل روی دیسک صورت گیرد (نشانه‌ای از حمله fileless)، EDR بلافاصله زنگ هشدار را به صدا در‌می‌آورد. این اعلان‌ها به کنسول مرکزی ارسال می‌شوند و تیم امنیتی را مطلع می‌سازند. نکته مهم این است که EDR با فیلترهای هوشمند خود، تلاش می‌کند تا حد امکان فقط هشدارهای معتبر تولید کند تا از سیل هشدارهای کاذب جلوگیری شود. استفاده از IoC (شاخص‌های سازش) و IoA (شاخص‌های حمله) در تحلیل‌ها، دقت شناسایی را بالا می‌برد. به عنوان مثال، EDR ممکن است متوجه شود که اجرای همزمان یک ماکروی آفیس به همراه برقراری یک ارتباط شبکه‌ای به سروری ناشناس، در مجموع نشان‌دهنده یک حمله است حتی اگر هر کدام به تنهایی عادی به نظر برسند. این نوع دید چندبعدی از وقایع، مزیت EDR نسبت به ابزارهای سنتی است.

• واکنش خودکار و اقدامات اصلاحی: یکی از نقاط قوت Trellix EDR، قابلیت انجام اقدامات خودکار فوری در پاسخ به تهدیدات شناسایی‌شده است. هنگامی که هشدار مهمی صادر شد، EDR می‌تواند طبق سیاست‌های از پیش تعیین‌شده، اقداماتی را بی‌درنگ اجرا کند تا حمله مهار شود. برخی از این واکنش‌های خودکار عبارت‌اند از: ایزوله کردن سیستم آلوده از شبکه (قطع ارتباط شبکه‌ای دستگاه مشکوک برای جلوگیری از انتشار جانبی بدافزار یا نشت داده)، متوقف‌سازی فرآیندهای مخرب (بستن برنامه یا پردازه‌ای که به عنوان مهاجم شناسایی شده)، حذف خودکار فایل‌های بدافزار یا قرنطینه کردن آن‌ها و مسدودسازی فایل‌های مرتبط در سایر سیستم‌ها. این اقدامات فوری موجب می‌شود زمان توقف تهدید (MTTR) تا حد چشمگیری کاهش یابد و حمله در همان مراحل اولیه خنثی شود. علاوه بر این، EDR امکان اجرای اسکریپت‌های پاسخ را نیز دارد؛ یعنی مدیران می‌توانند اسکریپت‌هایی تعریف کنند که در صورت وقوع رخدادهای خاص روی سیستم اجرا شوند (مثلاً پاک کردن یک لاگ، ریست کردن یک تنظیم، غیرفعال کردن یک اکانت کاربری مشکوک و غیره).

• ابزارهای تحلیل فارنزیک: پس از مهار فوری تهدید، نوبت به بررسی دقیق‌تر حادثه می‌رسد. Trellix EDR با ارائه امکانات فارنزیک به تیم امنیت کمک می‌کند علت اصلی حادثه و دامنه نفوذ را شناسایی کنند. از جمله این امکانات می‌توان به جمع‌آوری خودکار شواهد از دستگاه آلوده اشاره کرد: EDR می‌تواند یک نسخه از فایل‌های مشکوک، تصویر حافظه (Memory Dump) در لحظه حمله، و حتی ایمیج کامل دیسک را برداشت کند تا برای تحلیل دقیق به کارشناسان امنیت ارائه شود. علاوه بر این، EDR تایم‌لاین دقیقی از فعالیت‌های مهاجم روی سیستم تهیه می‌کند (چه عملیاتی انجام داده، چه فایل‌هایی را دستکاری کرده، چه اتصالاتی برقرار شده و …). این داده‌ها به کارشناسان امکان می‌دهد مسیر حمله را گام‌به‌گام ردیابی کرده و شکاف‌های دفاعی را که مورد سوءاستفاده قرار گرفته‌اند شناسایی کنند. چنین بینشی برای جلوگیری از حملات مشابه در آینده حیاتی است.

• نگاشت به چارچوب‌های تهدیدشناسی: ترلیکس EDR رخدادها و یافته‌های خود را به چارچوب‌های استاندارد امنیتی مانند MITRE ATT&CK نگاشت می‌کند. این بدان معناست که برای هر رفتار یا تکنیک کشف‌شده، EDR تعیین می‌کند که در طبقه‌بندی MITRE ATT&CK (که یک دانشنامه‌ی جامع از تکنیک‌های مهاجمان است) تحت کدام شناسه یا گروه قرار می‌گیرد. خروجی این کار برای تیم امنیت بسیار ارزشمند است؛ زیرا مشخص می‌شود مهاجم از چه تاکتیک و تکنیک‌هایی بهره برده (مثلاً اجرای کد در حافظه، حرکات جانبی، سرقت اعتبارنامه و غیره) و بنابراین می‌توان بر اساس آن اقدامات دفاعی مناسب (پوشش شکاف‌ها، بهبود سیاست‌ها) را انجام داد. به تعبیر دیگر، EDR با این کار تصویری بزرگ‌تر از حمله را در اختیار سازمان قرار می‌دهد.

در مجموع، Trellix EDR نقش چشم دوم امنیتی سازمان را بازی می‌کند. اگر ENS قفل درب ورودی باشد، EDR نگهبانی است که درون ساختمان گشت می‌زند و هر حرکت غیرعادی را زیر نظر دارد. این دو در کنار هم تضمین می‌کنند که هم پیشگیری و هم شناسایی/پاسخ به بهترین نحو انجام شود. هماهنگی ENS و EDR (هر دو تحت پلتفرم مشترک ترلیکس) باعث می‌شود هیچ رخدادی از دیده بان خارج نمانده و حملات در کوتاه‌ترین زمان شناسایی، تحلیل و خنثی شوند.

سایر اجزای مکمل در پلتفرم ترلیکس

علاوه بر ENS و EDR که ارکان اصلی امنیت نقطه پایانی Trellix هستند، چند ابزار و قابلیت مکمل نیز در این پلتفرم ارائه شده که برای تکمیل راهکار امنیتی سازمان‌ها مفیدند:

• Trellix Application and Change Control: این ماژول به سازمان‌ها اجازه می‌دهد سیاست‌های سخت‌گیرانه اجرایی را بر نقاط پایانی اعمال کنند. به زبان ساده، با Application Control می‌توان مشخص کرد فقط نرم‌افزارهای موردتأیید و لیست‌سفید اجازه اجرا روی سرورها، دسکتاپ‌ها و دستگاه‌های خاص را داشته باشند. این قابلیت برای محیط‌های حساس (مانند سرورهای صنعتی یا سیستم‌های SCADA) که نیاز به قفل کردن وضعیت دارند بسیار حیاتی است. همچنین Change Control تضمین می‌کند هیچ تغییری در سیستم (نصب نرم‌افزار جدید، تغییر پیکربندی مهم و …) بدون ثبت و مجوز صورت نگیرد. این رویکرد مبتنی بر whitelist سطح حمله را به شدت کاهش می‌دهد، چرا که حتی اگر مهاجم یا بدافزاری موفق به نفوذ شود، امکان اجرای کد دلخواه یا ایجاد تغییر نامجاز را نخواهد داشت.

• Trellix Endpoint Forensics: هرچند خود EDR امکانات فارنزیک را فراهم می‌کند، Trellix یک راهکار مجزا نیز برای فارنزیک نقاط پایانی در مقیاس بزرگ ارائه می‌دهد. این ابزار به تیم‌های پاسخ به حادثه (IR) امکان می‌دهد که به سرعت دامنه یک حادثه را در هزاران نقطه پایانی تعیین کنند. با Queryها و اسکریپت‌های سفارشی، کارشناسان می‌توانند پرس‌وجوهای پیچیده‌ای روی تمامی سیستم‌ها انجام دهند (مثلاً «در 24 ساعت گذشته چه سیستم‌هایی فایل X را اجرا کرده‌اند و چه تغییراتی رخ داده؟») و نتیجه را فوری دریافت کنند. Endpoint Forensics به ویژه در زمانی که حمله‌ای گسترده کشف شده و نیاز است تمام سیستم‌های آلوده‌شده شناسایی و شواهدشان جمع‌آوری شود، بسیار به کار می‌آید. این ابزار عملاً نقش یک جاروبرقی داده‌های حادثه را بازی می‌کند که کار تحلیل پساحمله را تسهیل می‌نماید.

• توجه: مدیریت متمرکز با Trellix ePO: همان‌گونه که اشاره شد، تمامی اجزای فوق از طریق یک کنسول واحد به نام ePolicy Orchestrator یا ePO مدیریت می‌شوند. ePO قلب تپنده پلتفرم Trellix است که دید یکپارچه‌ای از وضعیت امنیتی کل سازمان به مدیران می‌دهد. از طریق داشبوردهای قابل تنظیم ePO، مدیران می‌توانند شاخص‌های کلیدی مانند تعداد تهدیدات متوقف‌شده، وضعیت به‌روزبودن Agents، هشدارهای EDR، وضعیت تطبیق سیستم‌ها با سیاست‌ها و … را یکجا مشاهده کنند. ePO امکان خودکارسازی بسیاری از وظایف تکراری را نیز دارد؛ برای مثال می‌توان تنظیم کرد که اگر تعداد مشخصی هشدار بحرانی از یک سرور دریافت شد، به طور خودکار آن سرور قرنطینه شبکه‌ای شود یا ایمیلی به مدیر ارسال گردد. مزیت دیگر ePO باز بودن آن برای یکپارچه‌سازی با محصولات سایر فروشندگان است. Trellix یک اکوسیستم همکاران (Security Innovation Alliance) دارد که ده‌ها محصول امنیتی دیگر را قادر می‌سازد با ePO تبادل داده کنند. در نتیجه، سازمان‌هایی که از ابزارهای متنوعی استفاده می‌کنند نیز می‌توانند از ePO به عنوان مرکز فرماندهی واحد امنیتی بهره ببرند.

مزایای کلیدی راهکارهای ترلیکس برای سازمان‌ها

استفاده از راهکارهای امنیت نقطه پایانی نسل بعدی ترلیکس مزایای متعددی برای سازمان‌ها و مدیران فناوری اطلاعات به همراه دارد. در این بخش به طور خلاصه به مهم‌ترین مزایا و ارزش‌های افزوده این راهکارها اشاره می‌کنیم:

• پیشگیری موثرتر از تهدیدات پیشرفته: ترکیب چندین لایه حفاظت (از امضاهای سنتی گرفته تا تحلیل رفتاری AI-محور) در محصولات ترلیکس سبب می‌شود تهدیدات بسیار بیشتری در همان ابتدا خنثی شوند. تهدیداتی نظیر بدافزارهای روزصفر، حملات بدون فایل، باج‌افزارهای جدید و تکنیک‌های مبهم‌سازی که معمولاً از دید آنتی‌ویروس‌های قدیمی پنهان می‌ماند، توسط Trellix ENS به خوبی متوقف می‌شوند. این به معنای کاهش رخنه‌های امنیتی و جلوگیری از بسیاری از حوادث سایبری است که می‌توانند هزینه‌های سنگینی تحمیل کنند.

• کشف و واکنش سریع به نفوذهای پنهان: حتی در صورت وقوع نفوذ، Trellix EDR تضمین می‌کند که مهاجم به سرعت شناسایی و مهار گردد. میانگین شاخص‌هایی مانند زمان تشخیص تهدید (MTTD) و زمان واکنش (MTTR) با بهره‌گیری از EDR و قابلیت‌های خودکار ترلیکس به شدت بهبود می‌یابند. در عمل، این یعنی اگر سازمانی با حمله‌ای مواجه شود، به جای اینکه هفته‌ها یا ماه‌ها بعد متوجه حضور مهاجم شود، ظرف چند دقیقه تا چند ساعت هشدار دریافت کرده و اقدامات کنترل خسارت را انجام خواهد داد. این سرعت عمل جلوی تبدیل‌شدن حوادث کوچک به بحران‌های بزرگ را می‌گیرد.

• کاهش بار کاری تیم امنیت و مدیریت آسان‌تر: راهکارهای ترلیکس با خودکارسازی بسیاری از وظایف (از آپدیت تهدیدات گرفته تا واکنش‌های خودکار) و کاهش نویز هشدارها، بار کاری تیم امنیت سازمان را کاهش می‌دهند. مدیران فناوری اطلاعات می‌توانند با تکیه بر هوش مصنوعی Trellix، بخشی از کارهایی را که قبلاً نیاز به نیروی انسانی داشت بر عهده سیستم بگذارند. علاوه بر این، وجود کنسول یکپارچه ePO باعث می‌شود مدیریت ده‌ها یا صدها سیستم به همان سادگی مدیریت یک سیستم باشد. سیاست‌ها یکبار تعریف شده و به‌صورت مرکزی اعمال می‌شوند و دید کلی نسبت به امنیت فراهم است. در نتیجه، نیازی به صرف زمان برای هماهنگ‌سازی چندین کنسول یا نصب پچ دستی بر روی تک‌تک سیستم‌ها نخواهد بود.

• ارتقای دانش و مهارت تیم امنیت: Trellix نه تنها ابزار ارائه می‌کند، بلکه به کمک قابلیت‌های خود یادگیری و AI مکالمه‌ای (Conversational AI) به کارشناسان امنیت در حین کار آموزش می‌دهد. به عنوان مثال، Trellix Wise با رابط پرسش و پاسخ طبیعی خود، به تحلیل‌گران اجازه می‌دهد سؤالات خود را درباره یک تهدید یا هشدار به زبان معمولی بپرسند و راهنمایی دریافت کنند. این ویژگی که نوعی دستیار مجازی امنیتی است، به تحلیل‌گران کم‌تجربه کمک می‌کند حین فرآیند شکار تهدید نکات جدید یاد بگیرند و مهارتشان ارتقا یابد. به بیان دیگر، پلتفرم Trellix می‌تواند شکاف مهارتی نیروی انسانی را نیز تا حدی جبران کند و بهره‌وری تیم را بالا ببرد.

• انعطاف‌پذیری و سازگاری با آینده: طراحی راهکارهای ترلیکس بر پایه معماری باز و تطبیق‌پذیر انجام شده است. این محصولات قابلیت یکپارچه شدن با سیستم‌های موجود سازمان (SIEM، SOAR، ابزارهای ابری و …)، مقیاس‌پذیری با افزایش تعداد کاربران یا دستگاه‌ها، و انطباق با فناوری‌های آینده را دارند. برای مثال، ترلیکس اعلام کرده که پلتفرم خود را برای استفاده از فناوری‌های جدیدی چون محاسبات ابری توزیع‌شده و مدل‌های پیشرفته‌ی AI آماده کرده است. بنابراین سرمایه‌گذاری امروز روی ترلیکس به معنی در اختیار داشتن یک زیرساخت امنیتی است که در برابر تغییرات آتی نیز انعطاف نشان می‌دهد. این نکته برای مدیران ارشد فناوری اهمیت دارد که راهکار انتخابی‌شان در بلندمدت پاسخگو باقی بماند.

• بهبود انطباق و گزارش‌دهی: Trellix با فراهم کردن امکانات گزارش‌گیری دقیق و بلادرنگ، کار انطباق با استانداردهای امنیتی و مقررات را آسان‌تر می‌کند. داشبوردهای ePO می‌توانند به سرعت گزارش‌هایی مطابق نیاز چارچوب‌هایی مانند ISO 27001، GDPR، PCI-DSS و … تولید کنند (مثلاً گزارش آسیب‌پذیری‌های وصله‌نشده، گزارش حوادث طی دوره معین و …). همچنین لاگ‌های جامع جمع‌آوری‌شده توسط EDR و سایر مولفه‌ها، مدارک کافی برای تحلیل‌های پساحمله یا ممیزی‌های امنیتی را فراهم می‌نماید. این سطح از نظارت و مستندسازی، اعتماد مدیریت ارشد و بازرسان را نسبت به وضعیت امنیتی سازمان افزایش می‌دهد.

نتیجه‌گیری

امنیت نقطه پایانی نسل بعدی پاسخی ضروری به چشم‌انداز تهدیدات پیچیده‌ی امروزی است. همان‌طور که بررسی کردیم، اتکا به آنتی‌ویروس‌های سنتی دیگر کافی نیست و سازمان‌ها نیازمند راهکارهایی هستند که هوشمند، چندلایه و پویا باشند. Trellix به عنوان یکی از پیشگامان این حوزه، مجموعه کاملی از محصولات را ارائه داده که با محوریت AI/ML و یکپارچگی پلتفرم، توانسته‌اند تعادل بهینه‌ای میان پیشگیری و کشف/پاسخ برقرار کنند. برای مدیران فناوری اطلاعات، بهره‌گیری از راهکارهای ترلیکس می‌تواند به معنای کاهش چشمگیر ریسک سایبری سازمان، بهبود کارایی عملیات امنیت و آرامش خاطر بیشتر باشد. تلفیق تجربه سالیان دراز McAfee و FireEye در قالب جدید ترلیکس باعث شده که این پلتفرم هم قابلیت اطمینان و بلوغ یک راهکار سازمانی آزموده‌شده را داشته باشد و هم نوآوری و چابکی یک بازیگر جدید را.

در نهایت، حرکت به سمت امنیت نقطه پایانی نسل بعدی یک سرمایه‌گذاری استراتژیک برای هر سازمان مدرن محسوب می‌شود. مهاجمان سایبری پیوسته در حال به‌روزرسانی روش‌های خود هستند؛ بنابراین مدافعان نیز باید ابزارهای خود را ارتقا دهند. با راهکارهایی نظیر ترلیکس ، سازمان‌ها می‌توانند مطمئن باشند که از جدیدترین فناوری‌ها (AI، یادگیری ماشین، تحلیل رفتاری و …) برای حفاظت از دارایی‌های دیجیتالشان بهره می‌برند. ترکیب قدرت انسان و ماشین در محصولات Trellix موجب ایجاد یک دفاع سایبری زنده و پویا شده که با هر حمله قوی‌تر می‌شود. این همان رویکردی است که امنیت سایبری آینده بر آن بنا شده است. پس شایسته است که مدیران فناوری اطلاعات از امروز مسیر مهاجرت به این نسل جدید از راهکارهای امنیتی را در برنامه خود قرار دهند تا فردایی امن‌تر برای سازمان خویش رقم بزنند.