تشخیص و پاسخ گسترده چیست و چه مزایایی دارد؟آیا می‌خواهید با XDR شروع کنید؟

هر سه تا پنج سال یک‌بار، یک اصطلاح جدید فناوری امنیت سایبری به ‌شدت مورد استقبال قرار می‌گیرد. در سال 2021 نوبت به فناوری تشخیص و پاسخ گسترده (XDR) رسیده است. سال 2017، زمانی که فناوری تشخیص و پاسخ به نقطه پایانی (EDR) به‌عنوان «جام مقدس» در دفاع سایبری معرفی شد را به یاد می­آوریم.

فن آوری EDR در نسخه بیت دیفندر  الترا استفاده شده است.

قرار بر این بود EDR به حل همه چالش‌های امنیت سایبری ما بپردازد. پذیرندگان اولیه می‌توانستند این پتانسیل را ببینند، اما کاستی‌های متداولی را نیز تجربه کردند. EDR به‌ویژه از دقت پایین و سایر مشکلات عملکردی رنج می‌برد که در بسیاری از موارد منجر به هشدارهای حادثه غیر واقعی برای تیم‌های آماده‌سازی و در نتیجه کمبود نیروهای امنیتی برای مقابله با آن‌ها می‌شد.

با گذشت زمان EDR رشد پیدا کرده و در حال حاضر ارزش خود را ثابت کرده است. امروزه EDR یکی از مؤلفه‌های اصلی یک ساختار امنیتی جامع است و به‌ویژه هنگام مبارزه با حملات هدفمند و پیچیده از اهمیت ویژه‌ای برخوردار میشود. اگرچه تجربه EDR نشان داده است ،تلاش‌های پیشگیرانه را همان‌طور که در ابتدا نیز بیان شده بود منسوخ نکرده است. درواقع، این امر نیاز به تمرکز بیشتر بر پیشگیری، برای کاهش تعداد حوادث امنیتی شناسایی‌شده توسط EDR را برجسته کرده است. نسل اول راه‌حل‌های EDR در اعمال همبستگی رویدادهای امنیتی، فراتر از یک نقطه پایانی (endpoints) دارای محدودیت بود. این محدودیت بار تشخیص حملات پیچیده را بر عهده تیم‌های فناوری اطلاعات و عملیات امنیت می‌گذاشت.

تشخیص و پاسخ گسترده

تشخیص و واکنش گسترده (xEDR) دو مورد اصلی را علاوه بر آنچه در حال حاضر با EDR داریم، بهبود می‌بخشد:

  • همبستگی رویداد در سطح سازمانی برای کاهش دیدگاه پراکنده از حوادث پیچیده امنیتی
  • افزودن منابع بیشتر علاوه بر نقاط پایانی، مانند منابع شبکه برای ایجاد تصویری بزرگ‌تر از حملات

درحالی‌که این فناوری ازلحاظ تئوری، ساده و عالی به نظر می‌رسد اما در عمل انجام این پیشرفت‌ها به‌خصوص در یک زمان، ساده نیست. پذیرندگان اولیه XDR و تحلیل گران صنعت به‌طور یکسان، توانایی xEDR را در تشخیص و پاسخ -تأیید می‌کنند اما در مورد آن هشدارهایی نیز ارائه می‌دهند. اغلب نگرانی‌ها مربوط به عدم بلوغ راه‌حل، عدم وجود استانداردهای صنعت ازنظر ویژگی‌های الزامی و ترس از گیر افتادن با یک فروشنده امنیتی برای مدت طولانی استاست. البته همه این موارد خطراتی است که برای دسته‌ای از راه‌حل‌ها که هنوز در حال رشد و ظهور هستند، انتظار می‌رود.

همچنین، آنچه تاکنون واقعاً بخشی از بحث نبوده است، میزان استفاده مؤثر از راه‌حل‌های XDR توسط سازمان‌هایی است که تیم‌های عملیاتی امنیتی قابل‌توجهی ندارند (این موضوع به‌ویژه در مورد مشاغل متوسط ​​و کوچک صادق است).

با توجه به اینکه -فروشندگان xEDR، با قابلیت‌های اصلی مختلف (امنیت شبکه، امنیت نقطه پایانی، SIEM) در حال  ارائه خدمات به سازمان‌هایی با اندازه‌های مختلف هستند، هنوز مشخص نیست که چه تعداد و چه نوع کارمندی برای اجرای مؤثر راه‌حل‌های جدید موردنیاز است.

بنابراین، یک سؤال واقع‌گرایانه وجود دارد که ارزش پرسیدن دارد: آیا راهی وجود دارد که از مفاهیم XDR به روش قابل‌هضم‌تری استفاده کرد؟ چگونه می‌توان از EDR به XDR رشد کرد درحالی‌که کارمندان امنیتی اختصاصی بیشتری اضافه نکرد یا بر کارکنان موجود فشار وارد نکرد؟ XEDR یک گزینه عالی برای شروع است.

XEDR (تشخیص و پاسخ نقطه پایانی گسترده) چیست؟

XEDR (تشخیص و پاسخ نقطه پایانی گسترده) قابلیت‌های EDR، مانند تجزیه‌ و تحلیل امنیت و همبستگی رویدادهای امنیتی در سطح سازمانی، که به‌طور طبیعی در EDR به کار میرود، را دارد. XEDR مرزهای تجزیه‌وتحلیل امنیتی را فراتر از نقطه پایانی خود گسترش می‌دهد و رویدادها را از تمام نقاط پایانی در زیرساخت‌های سازمان به هم پیوند می‌دهد. این موضوع به زیرساخت‌های سازمانی به‌عنوان مجموع نقاط پایانی، همان‌طور که EDR انجام می‌دهد نگاه نمی‌کند، در عوض، یک دیدگاه کلی‌نگر را در نظر می‌گیرد و زیرساخت‌ها را به‌عنوان یک موجود واحد در نظر می‌گیرد که توسط چندین عنصر تشکیل‌ شده است (نقاط نهایی).

xEDR دارای سه مزیت مهم است:

  • مزایای XDR را درجایی که بیشترین اهمیت را دارند متمرکز می‌کند: در نقاط پایانی. چرا نقاط پایانی بیشترین اهمیت را دارند؟ زیرا اینجا مکانی است که داده‌ها در آن قرار می‌گیرند (سرورها / کانتینرها) و اینجا مکانی است که تعامل کاربر (ایستگاه‌های کاری) انجام می‌شود. نقاط پایانی در مقایسه با سایر عناصر زیرساخت در معرض خطر بسیار بالاتری قرار دارند.
  • امکان ادغام گام‌به‌گام سایر منابع در شبکه (غیر از نقاط پایانی) را در طول زمان فراهم می‌کند تا قابلیت تشخیص و مشاهده را افزایش دهد. این ریسک فناوری رایج در راه‌حل جدید را کاهش می‌دهد و از ادغام منابع جدید (چشم‌انداز وسیع‌تر) بدون از دست دادن داده ها پشتیبانی میکند. آنچه EDR بسیار خوب انجام می‌دهد: عمق چشم‌انداز.
  • نیازها را از نظر مهارت و تعداد کارکنان حفظ می‌کند (و حتی ممکن است کاهش دهد) و به بیشتر سازمان‌ها اجازه می‌دهد تاب‌آوری سایبری خود را بدون هیچ‌گونه هزینه عملیاتی اضافی افزایش دهند.

با نگاهی به تجربه گذشته EDR در می یابیم، XDR نیز با گذشت  زمان رشد کرده و و رویکرد  xEDR  می‌تواند مشکل شناسایی و مدیریت حوادث پیچیده سایبری را بهتر و سریع‌تر حل نماید.