به صورت خلاصه و در چند جمله:
• EDR بر روی شناسایی و پاسخ به تهدیدات در دستگاه های نقطه پایانی (ٍEndpointها) با استفاده از نظارت و تجزیه و تحلیل Real-Time (درلحظه) تمرکز دارد. (Endpoint Detection and Response)
• MDR خدمات امنیتی مدیریت شده از جمله نظارت 24 ساعته و پاسخ به تهدید را ارائه می دهد که برای سازمان های دارای منابع محدود مفید است. (در این راهکار خریدار، علاوه بر خرید EDR، با شرکت سازنده محصول قرارداد خدمات امنیتی امضا خواهد کرد، ترکیب نرم افزار امنیتی و نیروی انسانی) (Management Detection And Response)
• XDR علاوه بر اندپوینت ها، با یکپارچهسازی دادهها از منابع مختلف مانند شبکهها و سرویسهای ابری، ایمیل و …. با یک رویکرد امنیتی یکپارچه، تشخیص تهدید و پیشگیری و عکس العمل در مقابل آن را به طرز چشمگیری را گسترش میدهد.
در حالی که EDR، MDR و XDR ویژگی های مشترکی مانند تجزیه و تحلیل پیشرفته دارند، دامنه و سطوح پاسخ آنها به طور قابل توجهی متفاوت است.
انتخاب راه حل مناسب امنیت سایبری به نیازهای خاص سازمان از نظر حفاظت، نظارت بر داده ها و قابلیت های پاسخ بستگی دارد.
تشخیص و پاسخ نقطه پایانی (EDR) چیست؟ (Endpoint Detection And Response)
EDR بر ایمن سازی دستگاه های نقطه پایانی در شبکه (معمولاً شامل PC، لپتاپ، تلفنهای هوشمند، تبلتها، دستگاههای اینترنت اشیا (IoT)، سرورها و موارد مشابه) تمرکز می کند. EDR را می توان به عنوان نسل تکامل یافته نرم افزارهای حفاظت نقطه پایانی سنتی (EPP) که به عنوان آنتی ویروس ها میشناختیم بدانیم، اما نسل EDR ها برای شناسایی تهدیدات ناشناخته، مانند تهدیدات پایدار پیشرفته (APT) یا حملات بدون فایل ساخته شده و مناسب تر است. همانطور که از نامش پیداست APTها تهدیدات سایبری پیچیده تری هستند که می توانند برای مدت طولانی شناسایی نشوند، EDR ابزاری قوی برای نمایان کردن تهدیدات در نقطه پایانی و شناسایی حرکت جانبی و خروج احتمالی داده هاست و به تیم ها بینش بیشتری در مورد آنچه در یک اندپوینت اتفاق می افتد می دهد تا بتوانند به سرعت تهدیدات را در صورت بروز برطرف کنند همچنین توصیههایی برای اصلاح ارائه می کنند.
• پایش نقطه پایانی و ضبط رویداد
• جستجوی داده، تحقیق و شکار تهدید
• اولویت بندی هشدار یا اعتبارسنجی فعالیت مشکوک
• تشخیص فعالیت مشکوک
• تحلیل داده ها
• هوش عملی برای پشتیبانی از پاسخ
• اصلاح شرایط
با توجه به این که EDR مزایای زیادی دارد آن را به یک ابزار امنیتی جذاب تبدیل می کند. از آنجا که 70٪ از تمام نقض ها با نقاط پایانی شروع می شوند، این رویکرد برای متخصصان امنیتی بسیار ارزشمند است.
اما تمرکز محدود بر تله متری نقطه پایانی به تنهایی میزان داده های موجود برای تجزیه و تحلیل را محدود می کند. فعالیت غیرعادی نقطه پایانی که به صورت مجزا دیده می شود، تصویر ناقصی را ترسیم می کند. برای مثال، بدون زمینهای از آنچه در شبکه یا در فضای ابری اتفاق میافتد، تشخیص اینکه چه چیزی یک تهدید واقعی است و چه چیزی صرفاً False-positive است، دشوارتر است.
Extended Detection and Response چیست؟ (XDR)
تشخیص و پاسخ گسترده (XDR) داده های امنیتی، تجزیه و تحلیل و گردش کار را در کل شبکه سازمان ساده می کند، دید مدیران شبکه بر تهدیدات امنیتی پنهان و پیشرفته را افزایش می دهد و پاسخ را یکپارچه و از طریق یک پلتفرم ارائه می کند.
یک پلتفرم XDR دادهها را از سراسر زیرساخت (اندپوینت ها، کل شبکه و فضای ابری سازمان و … ) جمعآوری میکند تا بتواند دید درستی از تهدیدات در سراسر سازمان ارائه دهد، عملیات امنیتی را تسریع کند و خطر را کاهش دهد. XDR این دادهها را تجزیه و تحلیل، اولویتبندی و سادهسازی میکند و آنها را در قالبی عادی از طریق یک کنسول منفرد و یکپارچه به تیمهای امنیتی تحویل می دهد.
پلتفرم XDR قابلیت های زیر را ارائه می دهند:
• تله متری امنیتی متنوع و چند دامنه ای
• تحلیل رویداد متمرکز بر تهدید
• شناسایی تهدید و اولویت بندی صحت داده ها
• جستجوی داده، بررسی و شکار تهدید در تله متری Multi Domain
• پاسخ به تهدیدات، کاهش و اصلاح تهدید
چرا سازمان ها به XDR نیاز دارند؟
راهکارهای قبلی و یا قدیمی تر تشخیص تهدید در یک زمان بر روی یک لایه از معماری امنیتی تمرکز می کنند. به عنوان مثال، راه حل های EDR نقاط پایانی را رصد می کنند در حالی که راه حل های تجزیه و تحلیل ترافیک شبکه تنها به ترافیک شبکه اختصاص داده شده است. دادههای این ابزارها به ندرت یکپارچه میشوند و مانع مشاهده کامل و دقیق تهدیدات در سراسر سازمان میشود.
سازمانهایی که چندین محصول امنیتی جداگانه را برای ایجاد یک معماری امنیتی چند لایه خریداری میکنند، ممکن است به طور ناخواسته یک فرایند امنیتی پیچیده ایجاد کنند که بسیاری از هشدارها را بدون زمینه مناسب ارائه میدهد. با درگیر شدن ابزارهای بیشتر، آنالیز داده ها دشوارتر میشود و این یکی از دلایلی است که طول زمان مورد نیاز برای شناسایی یک نفوذ همگام با پذیرش مدل امنیتی چند لایه افزایش یافته است.
علاوه بر این، تکیه بر ابزارهای امنیتی فردی اغلب وقفه ها و شکاف هایی را در معماری امنیتی ایجاد می کند. هرچه روال های امنیتی پیچیدهتر باشند، احتمال ایجاد شکاف امنیتی بیشتر میشود و تا زمانی که نقضی رخ ندهد، مورد توجه قرار نمی گیرد.
XDR به این مسائل و موارد دیگر که معمولاً با استراتژی دفاعی چندلایه مرتبط هستند، می پردازد. XDR ارزش ابزارهای امنیتی را هماهنگ و گسترش می دهد، تجزیه و تحلیل، بررسی و اصلاح امنیت را یکپارچه و ساده می کند و در یک کنسول یکپارچه بررسی می نماید.
در نتیجه، XDR به طور چشمگیری دید مدیران شبکه را نسبت به تهدیدات بهبود می بخشد، عملیات امنیتی را تسریع می کند، هزینه TCO را کاهش می دهد و بار کارکنان امنیتی همیشه حاضر را به اندازه چشمگیری کاهش می دهد.
Management Detection And Response (MDR) چیست؟
همانطور که EDR و XDR می توانند برای یک سازمان مفید باشند، بدون چالش هم نیستند. ابزارهایی که به سادگی دادههای فعالیت ها را جمعآوری میکنند، چه از نقطههای پایانی به تنهایی (EDR) یا سایر حوزههای زیرساخت فناوری اطلاعات شما (XDR)، دادههای زیادی تولید میکنند که نیاز به تجزیه و تحلیل بیشتری دارد. این امر به نوبه خود بار کاری را افزایش می دهد و به درک عمیقی از تله متری و فرآیندهای امنیت سایبری نیاز دارد. این چالشی است که مدیران به دنبال رفع آن هستند.
MDR یک فناوری خاص نیست، بلکه یک سرویس مدیریت شده است که مزایای EDR و/یا XDR را در یک پیشنهاد راحت بسته بندی می کند و به رفع برخی از چالش های استخدام متخصصان امنیت سایبری که تجربه لازم را دارند کمک می کند.
EDR و XDR مقادیر قابل توجهی از اطلاعات را تولید میکنند، که تیمها را ملزم میکند تا حجم بیشتری از هشدارها را تجزیه و تحلیل کنند و مشخص کنند چه چیزی اخطار کاذب است و چه چیزی یک تهدید واقعی است. MDR این دغدغه مشتری را حذف می کند و مسئولیت تشخیص و پاسخ را در دستان یک ارائه دهنده امنیت شخص ثالث با تجربه می گذارد.
• بزرگترین مزیت MDR آرامش خاطری است که به مشاغل ارائه می دهد. MDR بهعنوان یک سرویس مدیریتشده، زمان را برای تیمهای فناوری اطلاعات و امنیت برای تمرکز بر طرحهای استراتژیک سازمان، آزاد میکند.
• سرویس MDR ممکن است مقرون به صرفه تر و در دسترس تر از ایجاد یک تیم امنیتی داخلی باشد. با استفاده از قابلیت های EDR و ارائه آنها به عنوان یک سرویس مدیریت شده، ارائه دهندگان MDR می توانند مزایای بیشتری را به مشتریان خود ارائه دهند:
• تجزیه و تحلیل رویداد – انجام کار سخت تجزیه و تحلیل بالقوه میلیاردها رویداد امنیتی، کمک به حذف موارد False-Positive از تهدیدات واقعی، اغلب همراه با تقویت یادگیری ماشین با تجزیه و تحلیل و پشتیبانی انسانی.
• اولویت بندی هشدارها – که به سازمان ها اجازه می دهد تا فعالیت های امنیت سایبری خود را بهتر اولویت بندی کنند و ابتدا روی مهم ترین مسائل تمرکز کنند.
• مدیریت آسیبپذیری ها– پرداختن فعالانه به آسیبپذیریها برای به حداقل رساندن سطح تهدید سازمان
• اصلاح و پیگیری تهدیدات– که به عنوان یک سرویس اضافی ارائه می شود یا در قرارداد خدمات گنجانده شده است،
ارائه دهندگان MDR می توانند به تعمیر، بازیابی و اصلاح پس از یک حادثه امنیت سایبری کمک کنند و آسیب و زمان بازیابی را به حداقل برسانند.
• شکار تهدید (Threat hunting) – ارائه دهندگان MDR می توانند شبکه سازمان را نظارت کنند و به دنبال حوادث فعال باشند و به سازمان ها کمک کنند تا تهدیدات را زود تشخیص دهند و آسیب احتمالی را به حداقل برسانند.
خدمات MDR روی بستر EDR یا XDR سازمان ارائه می شود بسته به انتخاب راهکار، خدمات MDR می تواند گسترده تر یا خلاصه تر باشد.
جدول مقایسه
| EDR | MDR | XDR | |
| توانمندی ها | رصد اندپوینت ها برای شناسایی تهدیداتی که راه حل های آنتی ویروس و سایر تکنیک های پیشگیرانه آنها را شناسایی نکرده اند. | در کنار EDR، “به عنوان یک سرویس.” همان قابلیت های EDR را به همراه خدمات مدیریت شده 24 ساعته برای نظارت، کاهش، حذف و اصلاح تهدیدات | راه حل امنیتی با طیف کامل و تهدید محور که داده ها را از ابزارهای امنیتی مختلف موجود برای بهبود دید و کاهش خطر جمع آوری و یکپارچه می کند. |
| اجزا | Real-time endpoint monitoring | Human threat hunting | قابلیت های EDR به علاوه: |
| Behavioural analysis (IOCs and IOAs) | Managed investigation services | Autonomous analysis, response and threat hunting | |
| Threat database and graphing | Guided response | Cloud-based ingestion | |
| Network containment | Managed remediation | Automatic investigation and scoring | |
| Remediation recommendations | Prioritization of threats and alerts | Cross-domain correlation | |
| —– | Central communication and coordination hub for managed service and in-house teams | Actionable threat summaries | |
| —— | —— | Advanced detection, incident response and threat hunting | |
| روشها ، ابزار و تکنولوژی ها | Software-based EDR solution | —– | Network analysis and visibility (NAV) |
| —– | —– | Next-gen firewall | |
| —– | —– | Email security | |
| —– | —– | Identity and access management (IAM) | |
| —– | —– | Cloud workload protection platform (CWPP) | |
| —– | —– | Cloud access security broker (CASB) | |
| محدوده دید تهدید | Endpoints | Endpoints | All endpoints, users, network assets, cloud workloads, email, data and other assets |
| Protection | + | ++ | +++ |
| EDR tools are a core component of every cybersecurity strategy and the foundation for all advanced cyber solutions and capabilities. | MDR combines the real-time monitoring and response capabilities of an EDR solution with highly skilled cybersecurity professionals to conduct proactive security actions such as threat hunting, threat intelligence and managed response. | The next frontier in threat-centric security prevention, XDR provides the highest level of protection through EDR and sound integration of tools and systems across the network architecture to eliminate silos and gaps that put the organization at risk. | |
| برای چه شرکت/سازمانهای مناسب است؟ | * سازمانها و شرکتها با یک تیم داخلی IT که به صورت منظم نیازمند نظارت بر اندپوینتها و پاسخ گویی مرکزی بوده تا وظایف و کارهای فردی و دستی کاهش یابد. | * شرکتهایی که به دنبال گسترش سایر قابلیت های امنیت IT از طریق کاهش وظایف مربوط به شناسایی و پاسخ هستند. * سازمانهایی که ممکن است بودجه یا نیروی کافی برای مدیریت SOC خود نداشته باشند. | سازمانهایی که نیازمند امنیتی کامل از طریق یک پلتفرم واحد با قابلیت های زیر هستند: * تصویر منسجم از آنچه در زیرساخت شبکه سازمان رخ میدهد * شکار تهدیدات داخلی و تهدیدات هوشمند * الویت بندی حوادث و هشدارهای false Positive کمتر |
| ارزش تجاری | * افزایش ظرفیت تیم امنیت IT فعلی با خودکار شدن آنالیز، بررسی و فرآیندهای پاسخگویی. * صرفه جویی موثر در هزینه ها با توجه به توانایی تیم امنیت برای فعالیت موثرتر بدون درگیری با ابزارها و کنسول های مختلف | * فراهم کردن امکان برون سپاری مدیریت فرآیندهای مربوط به حوادث برای تمرکز بهتر منابع گرانقیمت و محدود داخلی روی مسائل حیاتی دیگر * کاهش کلی هزینه های امنیت بدون نیاز به استقرار راهکارهای امنیتی پیچیده و استخدام تعداد زیاد نیروی متخصص داخلی. | * حداکثر شدن عملکرد اکوسیستم ابزارهای امنیت سایبری مورد استفاده، صرفه جویی در منابع و کاهش ریسک * ساده تر شدن کار تیم متخصصین IT و فراهم نمودن امکانات موردنیاز بیشتر برای بررسی و تحلیل حملات چندبرداری |
کدام راه حل برای سازمان من ایده آل است؟
نیازهای هر سازمانی متفاوت است. در حالی که امنیت ضروری است، مهم است که ابزار امنیتی ای را انتخاب کنید که متناسب با نوع ریسک های هر شبکه و نیازمندی آن باشد.
EDR را انتخاب کنید اگر سازمان شما:
- می خواهد وضعیت امنیتی نقطه پایانی و قابلیت های خود را بهبود بخشد
- دارای یک تیم امنیت فناوری اطلاعات است که می تواند بر اساس هشدارها و توصیه های تولید شده توسط راه حل EDR عمل کند
- در مراحل اولیه ساخت یک استراتژی جامع امنیت سایبری است و می خواهد پایه و اساس یک معماری امنیتی مقیاس پذیر را ایجاد کند.
MDR را انتخاب کنید اگر سازمان شما:
- برنامه تشخیص و پاسخ کاملی ندارد که بتواند به سرعت تهدیدات پیشرفته را از طریق ابزارها یا منابع موجود برطرف کند.
- میخواهد بدون نیاز به استخدام و افزایش نیروهای تیم امنیتی، فرآیندهای مربوط به مدیریت و پاسخ به حوادث مدیریت شود.
- در تلاش برای پر کردن شکاف های مهارتی در تیم فناوری اطلاعات یا جذب استعدادهای بسیار ماهر و متخصص است.
- میخواهد از سازمان در برابر آخرین و پیچیده ترین تهدیدات محافظت کند.
XDR را انتخاب کنید اگر سازمان شما؟
- می خواهد تشخیص تهدید پیشرفته را در تمام زیرساختهای شبکه افزایش دهد
- میخواهد تجزیه و تحلیل تهدیدات چند برداری سرعت یافته و بررسی و شکار از یک کنسول انجام شود.
- با مشکلات ناشی از نبود هشدار و خاموش شدن سایر تجهیزات امنیتی روبرو است.
- می خواهد زمان پاسخگویی را بالا برده و بهبود بخشد.
جهت کسب اطلاعات بیشتر با ما تماس بگیرید.
