یکی از توصیه های امنیتی اخیر برای حفاظت زیر ساخت و مدیریت امنیت شبکه، استفاده از راهکارهای XDR است. اما هنوز بسیاری از مدیران و کارشناسان سازمان ها اطلاعات کاملی در این زمینه ندارند. پیرو مستندات قبلی، در این متن به تعدادی از سوالات اساسی در مورد معرفی مزیت ها و نحوه عملکرد XDR پاسخ داده ایم.
ایراد راهکارهای حفاظتی سنتی چیست؟
در راهکارهای سنتی، در ابتدا اندپوینت ها (ایستگاههای کاری و سرورها) در برابر تهدیدات سایبری محافظت می شدند، که همین مرحله، گام اولیه مبارزه با حملات سایبری پیچیده، است. همچنین سازمانها از حفاظت اولیه شبکه یا نصب ابزارهای حفاظتی پیشرفته برای پیشگیری از فقط یک جنبه از حملات بالقوه استفاده می کنند، برای مثال فقط در اندپوینتها (EDR) یا شبکه (راهکارهای NTA). اما امروزه مجرمان سایبری، چندین جنبه و رویکرد را برای حملات در پیش میگیرند. مهاجمان حملات خود را از چندین نقطه ورود به زیرساخت، حرکت جانبی از طریق شبکه و انواع روشهای حمله و مهندسی اجتماعی انجام میدهند.
همه این عوامل باعث گسترش سطح حمله می شود و بررسی و پاسخگویی به آنها را دشوار می کند. بنابراین برای مبارزه با این نوع حملات سایبری، نیازمند ابزاری جدید با رویکردی جامع برای حفاظت از سازمان هستیم.
XDR چیست؟
XDR از اصطلاح Extended Detection and Response گرفته شده است. شرکتها بیش از پیش در محیطهای ابری و ترکیبی فعالیت میکنند، از طرفی تهدیدات سایبری در حال تحول بوده بنابراین چالشهای امنیتی پیچیده تر از قبل شده اند. برخلاف (EDR)، پلتفرمهای XDR پوشش خود را برای محافظت در برابر انواع پیچیدهتر حملات سایبری گسترش میدهند. راهکار XDR قابلیتهای شناسایی، بررسی و پاسخ را در طیف وسیعتری از دامنهها، از جمله اندپوینتهای سازمان، احراز هویت های ترکیبی، برنامههای کاربردی ابری و workloadها، ایمیل و ذخیره سازی داده ارائه میکنند. همچنین با قابلیت مشاهده زنجیره حملات سایبری پیشرفته، اتوماسیون و تجزیه و تحلیل مبتنی بر هوش مصنوعی و اطلاعات گسترده از تهدیدات، کارایی تیم امنیت را در حد بسیار وسیعی بالا می برند.
قابلیت های کلیدی XDR
- تجزیه و تحلیل براساس حادثه
XDR انواع هشدارها، شامل هشدارهای سطح پایین و هشدارهای حساس را جمع آوری کرده و آنها را به حوادث مرتبط کرده و در زمانی کوتاه به تحلیلگران امنیتی تصویری جامع از هر حمله سایبری بالقوه ارائه میدهد. تحلیلگران دیگر نیازی به غربال کردن بخش های مختلف اطلاعات برای شناسایی و درک فعالیت های تحلیل سایبری نداشته که منجر به افزایش بهره وری و پاسخگویی سریعتر خواهد شد.
- پیشگیری خودکار از حملات سایبری پیشرفته
XDR با استفاده از سیگنالهای امنیتی با ضریب اطمینان بالا و به صورت کاملا خودکار حملات سایبری در حال انجام را شناسایی می کند. سپس اقدامات موثر در پاسخ به حادثه از جمله متوقف کردن پروسس ها، قرنطینه کردن تهدید و … و در نهایت در صورت نیاز shutdown یا جداسازی دستگاهها و اکانتهای در معرض خطر را شروع می کند. با استفاده از این قابلیت، سازمانها می توانند خطرات و ریسکها را به میزان قابل توجهی کاهش دهند، شدت و خسارت ناشی از حادثه را محدود کرده و عملیات تجزیه و تحلیل و پاکسازی پس از حادثه را ساده تر انجام دهند.
- امکان مشاهده زنجیره حملات سایبری
از آنجایی که XDR هشدارها را از مجموعه منایع بیشتری دریافت می کند، تیم SOC می توانند زنجیره کامل حملات سایبری یک حمله پیچیده را مشاهده کرده، موضوعی که ممکن است توسط راه حل های امنیتی سنتی امکان پذیر نباشد. دید بیشتر، زمان بررسی را کمتر کرده و احتمال پیشگیری یا جبران حملات سایبری را افزایش میدهد.
- بهبود خودکار دارایی های آسیب دیده
با استفاده از قابلیت های خودکار، XDR دارایی های سازمان در سیستم ها و اکانت های آسیب دیده را که توسط باج افزار، فیشینگ و … در معرض خطر قرار گرفته اند، به حالت امن بازیابی می کند و اقدامات اصلاحی مانند متوقف کردن فرآیندهای مخرب، حذف قوانین نادرست و … را برای آنها پیاده سازی می نماید.
- هوش مصنوعی و Machine learning
استفاده از هوش مصنوعی و Machine learning در XDR باعث ایجاد امنیت سایبری مقیاس پذیر و کارآمد می شود. XDR از نظارت بر رفتارهای تهدیدآمیز تا ارسال هشدار، تجزیه و تحلیل، اصلاح تا شناسایی خودکار، پاسخگویی و کاهش حملات سایبری احتمالی از هوش مصنوعی استفاده می کنند. با Machine Learning، XDR پروفایلی از رفتارهای مشکوک ایجاد کرده و آنها را برای بررسی تحلیلگر مشخص می کنند.
XDR چطور کار می کند؟
XDR از هوش مصنوعی و تجزیه و تحلیل پیشرفته برای نظارت بر دامنه های متعدد در محیط فناوری یک سازمان، شناسایی هشدارها و مرتبط کردن آنها با حوادث و اولویت بندی حوادثی که بالاترین خطر را دارند، استفاده می کند. زمانی که تیم های امنیتی قادر به مشاهده هر حمله سایبری با دید وسیع تر باشند، میتوانند به وضوح و سریعتر خطر موجود را درک کنند و بهترین واکنش را تعیین کنند.
در اینجا نحوه عملکرد یک سیستم XDR گام به گام آورده شده است:
- جمع آوری و گزارش اتفاقات و ایونت ها
سیستم به طور خودکار داده های آماری را از چندین منبع دریافت می کند. این داده ها را مرتب، سازماندهی و استاندارد می کند تا از دسترس بودن داده های با کیفیت بالا برای تجزیه و تحلیل اطمینان حاصل شود.
- تجزیه و ارتباط داده ها
با استفاده از machine learning و سایر قابلیت های هوش مصنوعی برای تجزیه و تحلیل خودکار داده و ارتباط آنها با حوادث استفاده می کند. با این کار می توان داده های گسترده را تجزیه و تحلیل و حملات سایبری و رفتارهای مخرب را در لحظه (real time )و با سرعتی بیشتر نسبت به زمانی که این فرایند به صورت دستی انجام می شود، شناسایی نمود.
- تسهیل در مدیریت حوادث
این راهکار حوادث جدید را براساس شدت آنها اولویت بندی می کند و به کارشناسان امنیت کمک می کند تا سریع تر تهدیدات سایبری مهم را شناسایی کرده و به آنها پاسخ دهند. براساس شرایط، کاربران می توانند به صورت دستی به یک رخداد پاسخ داده یا به سیستم اجازه دهند که به طور خودکار واکنش نشان دهد، مانند قرنطینه کردن یک دستگاه، یا مسدود سازی آدرس IP و دامنه های سرور ایمیل. تحلیل گران امنیتی همچنین می توانند گزارشهای حادثه و راه حل های پیشنهادی را بررسی کرده و براساس آن عملیات مناسب را انجام دهند.
- کمک به پیشگیری از حوادث آینده
از طریق تجزیه و تحلیل گسترده اطلاعات تهدید، برخی از سیستم های XDR اطلاعات دقیقی درباره تهدیدات سایبری ارائه می کنند که به محیط و شرایط خاصل سازمان مربوط می شود:، از جمله تکنیک های حمله سایبری و اقدامات توصیه شده برای مقابله با آنها. تیم های امنیتی می توانند از این اطلاعات برای محافظت پیشگیرانه در برابر آن دسته از تهدیدات سایبری که بیشترین خطر را برای عملیات سازمان ایجاد می کند، استفاده کنند.
آیا راهکار XDR یک ترفند بازاریابی برای سود بیشتر نیست؟
خیر. بلکه کاملا برعکس، این راهکارها همزمان با تکامل محصولات امنیت اطلاعات و نیازهای امنیتی ایجاد شده اند. این روزها کاربران به بیش از یک مجموعه واحد از ابزارها نیاز دارند. همچنین آنها انتظار مزایای بیشتری نیز دارند. برای مثال در قالب سناریوهای Cross-product، خودکار شدن فرآیندها و صرفه جویی در منابع و کاهش خسارت ها یک راهکار XDR تمام این ویژگی ها را در برمیگیرد.
چرا XDR برای شرکت/سازمانها ارزشمند است؟
اولا با وجود کمبود کارشناسان امنیت اطلاعات در بسیاری از سازمان/شرکتها، XDR حفاظتی جامع را برای یک زیرساخت فناوری اطلاعات در حال توسعه و در حال تغییر در برابر چشمانداز تهدیدات سایبری که به سرعت در حال تکامل است، ارائه میکند.
دوما XDR بسیاری از کارهای متخصصین امنیت سایبری را ساده تر کرده و آنها را در فرآیند بررسی حوادث مشارکت می دهد.
سوما XDR کمک می کند تا زمان شناسایی و پاسخ به حوادث را به حداقل میزان ممکن برساند. این کار برای مبارزه با تهدیدات پیچیده و حملات هدفمند بسیار مهم است، جایی که اقدام سریع کارشناسان امنیت، شانس مهاجمان را برای رسیدن به هدف مخربشان کاهش داده و از آسیب مالی و اعتباری به سازمان پیشگیری می کند. اگر حتی منابع تخصصی سازمان محدود باشد، می توانید با استفاده از XDR از سازمان خود در برابر تهدیدات حفاظت کنید.
مزایای کلیدی XDR
XDR طیف وسیعی از مزایای امنیتی را ارائه می دهد که به سازمان امکان محافظت جامع، انعطاف پذیر و کارآمد در برابر تهدیدات را ارائه می کند. سازمان با یکپارچه سازی تیمها، ابزارها و فرآیندهای خود با سیستمهای XDR میتواند امنیت سایبری را به روشهای مختلف بهبود بخشند. در اینجا به هفت مزیت XDR اشاره می شود:
1- افزایش دید
XDR گستره دید سازمان را افزایش میدهد و درک بهتری از چشم انداز امنیتی آن ارائه می دهد. همچنین با یکپارچه سازی داده های آماری از دامنه های متعدد مثل اندپوینتها، احراز هویت ها، ایمیل، برنامه های کاربردی و Workloadها و … تهدیداتی را که امکان شناسایی آنها کم است را تشخیص میدهد.
2- شناسایی و پاسخ سریع به تهدیدات
XDR تهدیدات متقابل دامنه را در زمان واقعی شناسایی کرده و اقدامات پاسخ خودکار را به کار میگیرد. این قابلیت ها مدت زمان دسترسی مهاجمان سایبری به داده ها و سیستم های سازمانی را حذف یا کاهش میدهد.
3- ساده سازی گردش کار SecOps
با همبستگی خودکار هشدارها، اعلان و هشدارها را ساده می کند، پیام های مزاحم در صندوق ورودی تحلیلگران را حذف کرده و مدت زمانی که آنها صرف بررسی دستی تهدیدات می کنند را کاهش میدهد.
4- کاهش پیچیدگی و هزینه های عملیاتی
XDR با ادغام ابزارهای چند وندور در یک پلتفرم مقرون به صرفه، بررسی و پاسخگویی را در عملیات امنیتی ساده تر می کند.
5- اولویت بندی حوادث پیشرفته
XDR حوادث پرخطر و در حال پیشرفت را ارزیابی و مشخص می کند تا تحلیلگران بتوانند زودتر به آنها رسیدگی نمایند. همچنین اقدامات لازم و هماهنگ با استانداردهای کلیدی صنعتی، نظارتی و سفارشی سازمان را پیشنهاد می کند.
6- سرعت درک SOC
XDR مرکز عملیات SOC را با قابلیت های هوش مصنوعی و خودکار، جلوتر از تهدیدات پیچیده، ارائه می کند. علاوه بر این با یک پلتفرم XDR مبتنی بر ابر، SOC می تواند به سرعت عملیات خود را همزمان با تکامل تهدیدات سایبری تغییر داده و مقیاس بندی کند.
7- بهبود بهره وری و کارآیی
XDR قابلیت هایی را ارائه می کند که وظایف تکراری را خودکار نموده و امکان اصلاح خودکار دارایی ها، کاهش نیاز به تعداد نیروی متخصص بالا، آزاد کردن وقت تحلیلگران و متخصصین برای انجام سایر فعالیت های مهمتر را فراهم می کند. همچنین ابزارهای مدیریت متمرکز، دقت هشدار را افزایش داده و راه حل هایی را که تحلیلگران برای بررسی و رفع تهدیدات باید به آن دسترسی داشته باشند، ساده سازی می کنند.
اجزای یک راهکار XDR
- ابزارهای تشخیص و پاسخ اندپوینت ها
ابزارهای تشخیص و پاسخ اندپوینت (EDR) انواع اندپوینت ها، لپتاپ ها و دستگاههای IoT را کنترل می کنند. EDR به سازمانها کمک می کند تا فعالیت های مشکوکی را که نرم افزارهای آنتی ویروس را دور می زنند، شناسایی، بررسی کرده و به آنها پاسخ دهد.
- هوش مصنوعی و Machine learning
پلتفرم XDR از جدیدترین قابلیت های هوش مصنوعی و machine learning برای شناسایی ناهنجاری ها، الویت بندی تهدیدات فعال و ارسال هشدار استفاده می کنند. همچنین تجزیه و تحلیل رفتار کاربران را نیز انجام میدهند.
- سایر ابزارهای تشخیص و پاسخ به تهدیدات
امنیت ایمیل و قابلیت حفاظت از احراز هویت از حسابهای کاربری و دسترسی های غیرمجاز، در برابر از دست رفتن یا به خطر افتادن آنها محفاظت می کند. ابزارهای امنیت ابری و امنیت داده ها به حفاظت از سیستم های مبتنی بر ابر و داده از آسیب پذیری های داخلی و خارجی مثل نقض داده ها، کمک می کند. شناسایی تهدیدات موبایلی دید و حفاظت بیشتری به تمامی دستگاهها از جمله دستگاههای شخصی متصل به شبکه سازمان میدهد.
- یک موتور تجزیه و تحلیل امنیتی
یک موتور تجزیه و تحلیل از هوش مصنوعی و خودکارسازی برای بررسی هشدارهای بی شمار جداگانه و ارتباط آنها با حوادث استفاده می کند. این موتور ردیابی ها را با اطلاعات تهدیدات سایبری غنی سازی می کند. اطلاعات تهدید هم در پلتفرم های XDR تعبیه شده و هم از فیدهای سراسری خارجی استخراج می شود.
- جمع آوری و ذخیره داده ها
یک زیرساخت داده ایمن و مقیاس پذیر، سازمان را قادر می سازد تا حجم زیادی از داده ها را جمع آوری، ذخیره و پردازش کند. این راهکار باید به منابع داده ای مختلف و چندگانه مثل اپلیکیشن های third-party یا ابزار ابری و فیزیکی و محیط های ترکیبی متصل شده و انواع مختلف داده ها را پشتیبانی کند.
- playbook های پاسخ خودکار
Playbookها مجموعه ای از اقدامات اصلاحی هستند که تیم های امنیتی می توانند از آنها برای هماهنگ کردن و پاسخ دهی خودکار به تهدیدات استفاده کنند. playbookها می توانند به صورت دستی یا به صورت خودکار (در صورت ایجاد قوانین خودکارسازی) برای پاسخ به انواع خاصی از حوادث و هشدارها استفاده شوند.
موارد استفاده رایج
تهدیدات سایبری از نظر ارتباط و نوع متفاوت هستند و به روشهای مختلفی برای شناسایی، بررسی و حل نیاز دارند. با XDR، سازمان انعطاف پذیری بیشتری برای رسیدگی به طیف گسترده ای از چالشهای امنیت سایبری در محیطهای IT دارند. در ادامه به چند مورد از کاربردهای رایج XDR اشاره می شود:
- شکار تهدیدات سایبری
با XDR سازمانها می توانند به صورت خودکار تهدیدات سایبری را شکار کرده و در محیط امنیتی سازمان جستجوی پیشرفته ای برای تهدیدات شناسایی نشده و ناشناس داشته باشند. ابزار برای شکار تهدیدات می تواند به تیم های امنیتی کمک کند تا تهدیدات معلق و حملات در حال اجرا را قبل از هر آسیبی متوقف کنند.
- تجزیه و تحلیل حوادث امنیتی
XDR به صورت خودکار داده های یک حمله، هشدارهای غیرعادی وابسته را جمع آورده و علت و ریشه حادثه را آنالیز می کند. با استفاده از یک کنسول مدیریتی مرکزی امکان دید کامل تهدیدات پیچیده وجود داشته و به تیم امنیتی کمک می کند تا اثرات مخرب بالقوه و بررسی های مورد نیاز آتی هر حادثه را مشخص کند.
- هوش شناسایی تهدید و آنالیز
XDR به سازمانها امکان دسترسی به آنالیز حجم زیادی از داده ها در مورد تهدیدات موجود و نوظهور را میدهد. قابلیت های قدرتمند هوش تهدید هر روز سیگنال های سراسری را مشاهده و ثبت کرده و آنها را آنالیز می کند تا به سازمان در شناسایی فعال و پاسخ دهی به هر تهدید داخلی و خارجی کمک کند.
- ایمیل های فیشینگ و بدافزار
زمانی که کارمندان و مشتریان ایمیل هایی دریافت می کنند که مشکوک به حمله فیشینگ است، آنها را برای آنالیز امنیتی و بررسی دستی به متخصصین ارسال می کنند. با XDR سازمانها می توانند به صورت خودکار آنالیز ایمیل را انجام داده و آنهایی که مخرب هستند را شناسایی کنند و ایمیل های آلوده را از میل باکسهای سازمان حذف نمایند. این کار حفاظت را تقویت کرده و وظایف تکراری را کاهش میدهد. به همین شکل قابلیت های هوش مصنوعی و خودکار سازی XDR می تواند به تیم های امنیتی در شناسایی قبل از فعالیت بدافزار کمک کند.
- تهدیدات داخلی
تهدیدات داخلی چه عمدی و سهوی می تواند منجر به در معرض خطر قرار گرفتن اکانتها، استخراج داده ها یا آسیب به اعتبار سازمان شود. XDR از آنالیزهای رفتاری و سایر معیارها برای شناسایی فعالیت های مشکوک آنلاین مثل سوءاستفاده از اعتبارنامه ها و بارگذاری حجم داده زیاد و … که می تواند نشانه ای از تهدیدات داخلی باشند، استفاده می کند.
- نظارت بر دستگاههای اندپوینت
با XDR تیم های امنیتی می توانند به صورت خودکار عملیات بررسی سلامت اندپوینت ها را با استفاده از شاخص های خطر و حمله بررسی کرده تا تهدیدات معلق و در حال پردازش را شناسایی کنند. XDR همچنین امکان نظارت کامل بر اندپوینتها را فراهم کرده که تیم های امنیتی می توانند منبع هر تهدید، نحوه گسترش و چگونگی ایزوله سازی و توقف آن را تشخیص دهند.
XDR را در سازمان خود پیاده سازی کنید.
چشم انداز امنیت سایبری امروزی پیچیده، چند لایه و به سرعت در حال تغییر است. خوشبختانه، XDR رویکردی منعطف و جامع برای شناسایی و پاسخگویی فعالانه به تهدیدات سایبری فارغ از این که در کدام قسمت شبکه در کمین هستند، ارائه می دهد. همچنین بهره وری و کارایی را به طرز چشمگیری افزایش می دهد.
شرکت پانا به طور تخصصی ارائه، فروش و پشتیبانی محصولات XDR از برندهای معتبر را بر عهده دارد. چنانچه احساس می کنید به دنبال محصولی کامل و بیش از راهکارهای امنیتی سنتی هستید، با همکاران ما در واحد فروش تماس حاصل نمایید، ما با افتخار آماده پاسخگویی به سوالات شما هستیم.
منبع: