تشخیص و پاسخ گسترده چیست و چه مزایایی دارد؟آیا میخواهید با XDR شروع کنید؟
هر سه تا پنج سال یکبار، یک اصطلاح جدید فناوری امنیت سایبری به شدت مورد استقبال قرار میگیرد. در سال 2021 نوبت به فناوری تشخیص و پاسخ گسترده (XDR) رسیده است. سال 2017، زمانی که فناوری تشخیص و پاسخ به نقطه پایانی (EDR) بهعنوان «جام مقدس» در دفاع سایبری معرفی شد را به یاد میآوریم.
فن آوری EDR در نسخه بیت دیفندر الترا استفاده شده است.
قرار بر این بود EDR به حل همه چالشهای امنیت سایبری ما بپردازد. پذیرندگان اولیه میتوانستند این پتانسیل را ببینند، اما کاستیهای متداولی را نیز تجربه کردند. EDR بهویژه از دقت پایین و سایر مشکلات عملکردی رنج میبرد که در بسیاری از موارد منجر به هشدارهای حادثه غیر واقعی برای تیمهای آمادهسازی و در نتیجه کمبود نیروهای امنیتی برای مقابله با آنها میشد.
با گذشت زمان EDR رشد پیدا کرده و در حال حاضر ارزش خود را ثابت کرده است. امروزه EDR یکی از مؤلفههای اصلی یک ساختار امنیتی جامع است و بهویژه هنگام مبارزه با حملات هدفمند و پیچیده از اهمیت ویژهای برخوردار میشود. اگرچه تجربه EDR نشان داده است ،تلاشهای پیشگیرانه را همانطور که در ابتدا نیز بیان شده بود منسوخ نکرده است. درواقع، این امر نیاز به تمرکز بیشتر بر پیشگیری، برای کاهش تعداد حوادث امنیتی شناساییشده توسط EDR را برجسته کرده است. نسل اول راهحلهای EDR در اعمال همبستگی رویدادهای امنیتی، فراتر از یک نقطه پایانی (endpoints) دارای محدودیت بود. این محدودیت بار تشخیص حملات پیچیده را بر عهده تیمهای فناوری اطلاعات و عملیات امنیت میگذاشت.
تشخیص و پاسخ گسترده
تشخیص و واکنش گسترده (xEDR) دو مورد اصلی را علاوه بر آنچه در حال حاضر با EDR داریم، بهبود میبخشد:
- همبستگی رویداد در سطح سازمانی برای کاهش دیدگاه پراکنده از حوادث پیچیده امنیتی
- افزودن منابع بیشتر علاوه بر نقاط پایانی، مانند منابع شبکه برای ایجاد تصویری بزرگتر از حملات
درحالیکه این فناوری ازلحاظ تئوری، ساده و عالی به نظر میرسد اما در عمل انجام این پیشرفتها بهخصوص در یک زمان، ساده نیست. پذیرندگان اولیه XDR و تحلیل گران صنعت بهطور یکسان، توانایی xEDR را در تشخیص و پاسخ -تأیید میکنند اما در مورد آن هشدارهایی نیز ارائه میدهند. اغلب نگرانیها مربوط به عدم بلوغ راهحل، عدم وجود استانداردهای صنعت ازنظر ویژگیهای الزامی و ترس از گیر افتادن با یک فروشنده امنیتی برای مدت طولانی استاست. البته همه این موارد خطراتی است که برای دستهای از راهحلها که هنوز در حال رشد و ظهور هستند، انتظار میرود.
همچنین، آنچه تاکنون واقعاً بخشی از بحث نبوده است، میزان استفاده مؤثر از راهحلهای XDR توسط سازمانهایی است که تیمهای عملیاتی امنیتی قابلتوجهی ندارند (این موضوع بهویژه در مورد مشاغل متوسط و کوچک صادق است).
با توجه به اینکه -فروشندگان xEDR، با قابلیتهای اصلی مختلف (امنیت شبکه، امنیت نقطه پایانی، SIEM) در حال ارائه خدمات به سازمانهایی با اندازههای مختلف هستند، هنوز مشخص نیست که چه تعداد و چه نوع کارمندی برای اجرای مؤثر راهحلهای جدید موردنیاز است.
بنابراین، یک سؤال واقعگرایانه وجود دارد که ارزش پرسیدن دارد: آیا راهی وجود دارد که از مفاهیم XDR به روش قابلهضمتری استفاده کرد؟ چگونه میتوان از EDR به XDR رشد کرد درحالیکه کارمندان امنیتی اختصاصی بیشتری اضافه نکرد یا بر کارکنان موجود فشار وارد نکرد؟ XEDR یک گزینه عالی برای شروع است.
XEDR (تشخیص و پاسخ نقطه پایانی گسترده) چیست؟
XEDR (تشخیص و پاسخ نقطه پایانی گسترده) قابلیتهای EDR، مانند تجزیه و تحلیل امنیت و همبستگی رویدادهای امنیتی در سطح سازمانی، که بهطور طبیعی در EDR به کار میرود، را دارد. XEDR مرزهای تجزیهوتحلیل امنیتی را فراتر از نقطه پایانی خود گسترش میدهد و رویدادها را از تمام نقاط پایانی در زیرساختهای سازمان به هم پیوند میدهد. این موضوع به زیرساختهای سازمانی بهعنوان مجموع نقاط پایانی، همانطور که EDR انجام میدهد نگاه نمیکند، در عوض، یک دیدگاه کلینگر را در نظر میگیرد و زیرساختها را بهعنوان یک موجود واحد در نظر میگیرد که توسط چندین عنصر تشکیل شده است (نقاط نهایی).
xEDR دارای سه مزیت مهم است:
- مزایای XDR را درجایی که بیشترین اهمیت را دارند متمرکز میکند: در نقاط پایانی. چرا نقاط پایانی بیشترین اهمیت را دارند؟ زیرا اینجا مکانی است که دادهها در آن قرار میگیرند (سرورها / کانتینرها) و اینجا مکانی است که تعامل کاربر (ایستگاههای کاری) انجام میشود. نقاط پایانی در مقایسه با سایر عناصر زیرساخت در معرض خطر بسیار بالاتری قرار دارند.
- امکان ادغام گامبهگام سایر منابع در شبکه (غیر از نقاط پایانی) را در طول زمان فراهم میکند تا قابلیت تشخیص و مشاهده را افزایش دهد. این ریسک فناوری رایج در راهحل جدید را کاهش میدهد و از ادغام منابع جدید (چشمانداز وسیعتر) بدون از دست دادن داده ها پشتیبانی میکند. آنچه EDR بسیار خوب انجام میدهد: عمق چشمانداز.
- نیازها را از نظر مهارت و تعداد کارکنان حفظ میکند (و حتی ممکن است کاهش دهد) و به بیشتر سازمانها اجازه میدهد تابآوری سایبری خود را بدون هیچگونه هزینه عملیاتی اضافی افزایش دهند.
با نگاهی به تجربه گذشته EDR در می یابیم، XDR نیز با گذشت زمان رشد کرده و و رویکرد xEDR میتواند مشکل شناسایی و مدیریت حوادث پیچیده سایبری را بهتر و سریعتر حل نماید.