XDR یا Extended Detection & Response

سیر تکاملی امنیت سایبری از آنتی ویروس شروع شد سپس به راهکارهای EPP (حفاظت از نقاط انتهایی) و EDR (تشخیص و پاسخ به تهدیدات نقاط انتهایی) رسید و تا به امروز به XDR (واکنش تشخیص توسعه یافته) منتهی شده است، این سیر تغییر فناوری، بازتابی از یک واقعیت همیشه درست می‏باشد: بازیگران تهدید امنیت سایبری پیوسته در حال تکاملند و برای غلبه بر آنها همواره باید یک قدم جلوتر حرکت کنیم.

امروزه وجود دو عامل چشم انداز تهدیدهای سایبری پویا و پیشرفت سریع کسب و کار،  بسیاری از سازمان ها را برآن داشته تا از زیرساختهای On-premise محلی به شبکه های توزیع شده مبتنی بر “ابر” مهاجرت کنند.

بدنبال گسترش و پبچیده تر شدن ساختار محیط های کاری ریموت،  حفظ تداوم کسب و کار و امنیت عملیاتی سرویس ها نیز پیچیده تر خواهد شد بطور مثال طبق آمار بیش از پنج میلیارد تله‏ کنفرانس در طول ماه برگزار می‏شود،  در چنین شرایطی  تعداد حملات هجومی و تعداد بازیگرانی که میتوانند حملات سایبری موفقتی را شکل دهند بصورت نمایی در حال افزایش است.

تکنولوژی امنیت در گذشته برای تاب آوردن سرعت مهارنشدنی تهدیدات امروز طراحی نشده بود، بطور مثال افزایش تهدیدات ناشی از باج افزارها، انتشار داده های منتاقض و سرقت IP، تیمهای مراکز امنیت را با حجم انبوهی از هشدارها مواجه کرده و تحت فشار قرار میداد در عین حال روند افزایشی تهدیدات سایبری علیرغم حضور تجهیزات و ابزار امنیتی همچنان ادامه داشت. بنابراین سازمان ها در صدد تهیه راهکار جامع و بهینه برای تشخصیص و پاسخدهی به تهدیدات سایبری برآمدند،  مدلی که هم بتواند نقاط پایانی (end point) سنتی را پوشش دهد و هم سطح حملات به شبکه و ساختار ابری که روز به روز با رشد فزاینده مواجه بودند را مهار کند.

خوشبختانه این تنها بخشی از مشکلات و مواردیست که در طراحی XDR پوشش داده شده اند، این که خود XDR چیست و چگونه تیم های امنیت را تقویت می‏کند را در ادامه این مقاله خواهیم دید.

امنیت سایبری معموالا به رقابت تسلیحاتی بین مهاجمین و مدافعین اطلاق می‏شود، این رقابت هم اکنون در سطحی فراتر از نقطه پایانی گسترده شده است، هرچه کسب و کارها از کار کردن بصورت ریموت و زیرساختای ابری بیشتر استقبال کنند به تبع آن زمینه برای گسترش سطح حملات فراهم خواهد شد و در چنین ساختاری فقط پلتفرم های یکپارچه قادر خواهند بود دید لازم و مکانیزم دفاع خودکار را برای دارایی های سازمان پیاده سازی کنند.

وبینار بررسی تخصصی راهکار XDR

تشخیص حمله و واکنش توسعه یافته یا XDR چیست؟

XDR مخفف عبارت “تشخیص و پاسخ توسعه یافته به تهدیدات سایبری” بوده و بنوعی قدم بعدی در تحول راهکار EDR “تشخیص و واکنش نقاط پایانی” محسوب می‏شود، در واقع XDR عبارت است از ابزار و قابلیت هایی که بیشتر تمرکزشان روی تشخیص فعالیت های مشکوک نقاط پایانیست.

بر خلاف راهکارهای امنیتی قدیمی که تنها دارای قابلیت  تشخیص و قرنطینه کردن فای های مشکوک و malware ها بودند، ابزار EDR بگونه ای طراحی شده اند که رفتارهای غیرعادی را تشخیص داده و هشدارهایی به واحد امنیت برای بررسی و انجام اقدامات تکمیلی ارسال ‏کنند با این وجود بسیاری از راهکارهای EDR بدلیل وابستگی شدید به منابع، فاقد قابلیت مقیاس پذیری هستند بدین معنی که نمیتوان آنها را بسادگی توسعه داد، از طرفی با توجه به چشم انداز تهدیدهای مدرن معطل ماندن برای دریافت واکنش تحلیلگرِ امنیت هم منطقی نیست، امروزه با توجه به ازدیاد تعداد نقاط پایانی شبکه‏ های کامپیوتری و تغییر آنها از موبایل ها و تجهیزاتIoT (اینترنت اشیاء) به ساختارهای ابری، راهکار EDR اثربخشی چندانی ندارد.

در عوض راهکارهای XDR برای تشخیص و واکنش به حملات لایه‏ ای cross-layered یا حملات سایبری از منابع متنوع،  در سطوحی فراتر از نقاط پایانی وارد عمل شده و تشخیص و تصمیم گیری را بر اساس منابع متنوعِ داده امکانپذیر میسازد. این سیستم ها بصورت بلادرنگ و بر اساس ساختار کلی سازمان شامل ایمیل، شبکه، هویت و امثالهم عمل کرده و فازهای  تشخیص، پردازش، پاسخ و شکار تهدیدات سایبری را بطور قابل توجهی بهبود می‏ بخشند.

راهکار XDR با ترکیب خروجیهای *telemetry ابزار امنیت از یک طرف و تشخیص امنیت نقاط پایانی از طرف دیگر، ساختاری یکپارچه ایجاد می‏کند.

XDR چگونه کار میکند؟

راهکار XDR قابلیتهای تشخیص و واکنش به حملات سایبری را در تمام منابع داده از طریق تفکیک سیلوهای امنیتی سنتی فراهم می‏کند. معمولا این پلتفرمهای امنیتی دارای قابلیتهای زیر هستند:

  • امکان تجزیه و تحلیل و شناسایی کلیه داده های داخلی و بیرونی برای پیدا کردن نقاط آسیب پذیر
  • رد یابی تهدیدات شناسایی شده در سیستم
  • جمع آوری خودکار و تصدیق هشدارها
  • استفاده از رابط کاربری برای توسعه واکنش به رخدادهای امنیتی
  • اجرا و ارائه آنالیز جامع در مقابل تمام منابع تهدید سایبری
  • استفاده از مکانیزم machine learning برای تشخیص تهدیدات سایبری.

آنچه اکثر پلتفرم های  XDR پیشنهاد می‏کنند عبارت است از:

  • ارائه رویکرد حساس به تهدیدات جدید
  • امکان واکنش بدون دخالت انسان
  • انعطاف پذیری با امکان چند مستاجری (multi tenancy) و چند سایتی
  • ارائه دیدگاه یکپارچه

راهکار XDR،  داده های خام را در کل اکوسیستم بررسی می‏کند و اطلاعات”information” را از بین آنها استخراج می‏کند. بدین ترتیب با جمع آوری و تطبیق داده در محدوده بزرگتری از منابع داده می‏تواند تشخیص، واکنش سریعتر، تاثیر گذاری بیشتر و عمیق تری بر روی انواع تهدیدات سایبری داشته باشد.

کاربرد XDR چیست؟

XDR قبل از اینکه به شناسایی و واکنش به تهدیدات سایبری بپردازد، اطلاعات را جمع آوری کرده و از بین لایه های امنیتی چندگانه ارتباط بین داده ها را شناسایی می‏کند و بدین ترتیب امکان آنالیز خودکار و سریعتر حجم گسترده ای از اطلاعات را فراهم می‏سازد.

XDR بطور قابل ملاحظه ای زمان واکنش به تهدیدات سایبری را کاهش می‏دهد و متعاقب آن نقش تحلیلگران امنیت بهبود یافته و بسیاری از مشکلات مراکز امنیتی بطور محسوسی کاهش می‏یابد.

مزایای اولیه XDR عبارتند از:

  • نگاه عمیق تر و قابل فهم تر از تهدیدات
  • اتوماسیون جامع
  • کارایی بهتر
  • اولویت بندی بزرگتر
  • تشخیص و واکنش سریعتر
  • واکنش های موثرتر

در نهایت صرفنظر ازمقیاس سازمان یا حجم تهدیدات سایبری، پیاده سازی راهکار XDR نتایج ملموسی را بدنبال خواهد داشت.

پیش نیازهای XDR

قبل از اینکه سازمان ها از پلتفرم XDR استفاده کنند، لازم است درک درستی از پیش نیازهایی که منجر به عملکرد بهینه این راهکار می‏شود داشته باشند. در اکثر موارد فروشنده، پورت فولیوی محصول و اکوسیستم جامع شریک تجاری را باهم ارائه می‏دهد بدین شکل که پلتفرم ارائه شده از میان بردارهای تهدید سایبری، تشخیص های حملات را چندگانه را انتخاب کرده و  آنها را بصورت یکپارچه بهم متصل و مرتبط می‏کند. زمانی که داده ها به اصطلاح *contextualize شدند در مرحله بعدی ریسک موجود اولویت بندی شده و واکنش به حمله سایبری  در کل سازمان هماهنگ و سازماندهی می‏شود.

Contextualize: بافت انگاری و بستر سازی برای داده ها

برای دریافت نتایج بهتر لازم است  فعالیت های تشخیص و واکنش در حد امکان در لایه ها و نقاط پایانی توسعه داده شوند، پس از جمع آوری داده های مورد نیاز از لایه های مختلف توسط XDR، تمام اطلاعات لازم برای تجزیه و تحلیل و ارتباط موثر فراهم خواهد شد.

راهکارهای XDR با  ایجاد یکپارچگی و تعامل بین قابلیت های تشخیص، بررسی و  پاسخ به حملات سایبری، بهینه سازی حداکثری را به ارمغان خواهند آورد.

خدمات سایبرلاجیک

در صورت تمایل به دانستن بیشتر در مورد ویژگیها و نحوه پیاده سازی XDR می‏توانید از مشاوران متخصص ما کمک بگیرید.