XDRچیست و چگونه کار می‌کند؟

08 مهر 1403 48 بازدید
 XDRچیست و چگونه کار می‌کند؟

با توجه به اینکه چشم‌انداز تهدیدات سایبری دائماً در حال تغییر است، XDR ضمانت می‌کند که زمان بررسی و پاسخ تیم‌های امنیتی را به‌طور چشمگیری بهبود بخشد. اما مانند هر رویکرد جدید دیگری، ممکن است در مورد اینکه XDR چیست، تفاوت آن با راه‌حل‌های امنیتی سنتی و نتایج امنیتی که کاربران می‌توانند از آن انتظار داشته باشند، سردرگمی وجود داشته باشد. برای اطلاعات بیشتر به ادامه مطلب می‌پردازیم.

معنی و تعریف XDR

XDR

تشخیص و پاسخ گسترده یا XDR یک فناوری امنیتی چند لایه است که از زیرساخت فناوری اطلاعات محافظت می‌کند. این رویکرد این کار را با جمع‌آوری و همبستگی داده‌ها

(Collecting and Corellation)از چندین لایه امنیتی از جمله نقاط پایانی، برنامه‌ها، ایمیل، محیط ابری و شبکه‌ها انجام می‌دهد و دید بیشتری را به محیط فناوری سازمان ارائه می‌دهد. این به تیم‌های امنیتی اجازه می‌دهد تا تهدیدات سایبری را به سرعت و به طور موثر شناسایی، بررسی و پاسخ دهند.

XDR نسخه پیشرفته تری از تشخیص و پاسخ نقطه پایانی (EDR) در نظر گرفته می‌شود. در حالی که EDR بر نقاط پایانی تمرکز می‌کند، XDR به طور گسترده بر چندین نقطه کنترل امنیتی برای شناسایی سریع‌تر تهدیدات، با استفاده از تجزیه و تحلیل عمیق و اتوماسیون تمرکز دارد.

چشم انداز تهدیدات سایبری مدرن

چشم انداز امنیت سایبری به سرعت در حال توسعه و گسترش است. در دهه گذشته شاهد گسترش ابزارهای تشخیص و پاسخ به تهدید بوده‌ایم که هر کدام تلاش می‌کنند از آخرین تهدیدات سایبری جلوتر باشند. با افزایش کار از راه دور و انتقال عملکردهای تجاری بیشتر به فضای ابری، شناسایی و پاسخگویی همیشه کار ساده ای نیست؛ به ویژه به این دلیل که نقض‌های فاجعه بار می‌تواند از هر کجا و در هر زمان باشد.

در این محیط دیجیتال پرخطر، دانستن نحوه مدیریت منسجم و جامع تهدیدات سایبری ضروری است. تیم‌های امنیتی برای اینکه جلوتر از مجرمان سایبری باشند باید به یکپارچگی عمیق‌تر و اتوماسیون بیشتر تکیه کنند.

 

ویژگی‌های چشم انداز تهدید مدرن عبارتند از:

  • عوامل مخرب اکنون زمان قابل توجهی را برای جمع‌آوری اطلاعات اولیه صرف می‌کنند تا مشخص کنند چه کسانی را هدف قرار خواهند داد، چگونه آنها را هدف قرار خواهند داد و زمان بهینه حمله خود را مشخص کنند. این سطح از برنامه‌ریزی از قبل، حملات را پیچیده‌تر و در نتیجه گرفتن آنها را سخت‌تر می‌کند.
  • مهاجمان به طور فزاینده‌ای با همکاری یکدیگر برای نفوذ به مجموعه‌ها، مهارت‌های مختلف را باهم به اشتراک می‌گذارند. به عنوان مثال، تیمی که تخصص آن در دستیابی به دسترسی اولیه است، ممکن است با تیمی که در حرکت جانبی تخصص دارد کار کند. سپس آنها ممکن است دسترسی به تیم دیگری را بفروشند که بر باج افزارهایی متمرکز است که داده‌ها را به منظور اخاذی سرقت می‌کند. این سطح از همکاری پیچیدگی بیشتری ایجاد می‌کند.
  • حملات سایبری اکنون از بسیاری از مناطق شبکه عبور می‌کنند. برای مثال، ممکن است از ایستگاه کاری یک کارمند از طریق یک ایمیل فیشینگ یا یک IP باز که می‌تواند در معرض خطر قرار گیرد، شروع شود، اما پس از نقشه برداری سریع شبکه، مهاجمان می‌توانند به مراکز داده، زیرساخت‌های ابری و شبکه‌های فناوری عملیاتی (OT)دسترسی پیدا کنند. تحول دیجیتالی بسیاری از سازمان‌ها، همراه با افزایش کار از راه دور، به این معنی است که سطح حمله برای اکثر شرکت‌ها رشد کرده است.
  • مهاجمان به طور فزاینده‌ای در پنهان کردن فعالیت‌های خود مهارت پیدا کرده‌اند. آنها این کار را از طریق ابزارهای قانونی به طور مخرب استفاده می‌کنند تا مسیرهای خود را پنهان کنند.
  • روش‌های اخاذی پیچیده‌تر شده‌اند؛ از جمله سرقت داده‌ها، DDoS، باج‌افزار و در موارد شدید، تماس با مشتریان برای تحت فشار قرار دادن شما برای پرداخت هزینه‌های اخاذی‌شان.
  • در برخی از سازمان‌ها، زیرساخت‌های امنیتی را می‌توان در سراسر شبکه پنهان کرد. اگر راه‌حل‌های امنیتی مستقل یکپارچه نباشند، می‌توانند هشدارهای زیادی را بدون زمینه ایجاد کنند، تیم‌های امنیتی را تحت فشار قرار دهند و دید آنها را در کل سطح حمله کاهش دهند.
  • از آنجایی که مجرمان از تکنیک‌های پیشرفته‌تری برای بهره‌برداری از کنترل‌های امنیتی سنتی استفاده می‌کنند، سازمان‌ها می‌توانند برای ایمن کردن دارایی‌های دیجیتال آسیب‌پذیر هم در داخل و هم در خارج از محیط شبکه سنتی تلاش کنند. با توجه به تغییر تیم‌های امنیتی به دلیل تغییر کار از راه دور، فشار بر منابع تقویت شده است. سازمان‌ها برای دفاع از دارایی‌های فناوری خود، از جمله نقاط پایانی قدیمی، تلفن همراه، شبکه و حجم‌های کاری ابری بدون پرسنل زیاد و منابع داخلی، به اقدامات امنیتی پیشگیرانه و یکپارچه نیاز دارند.

در نتیجه، بیشتر رهبران امنیت سازمانی و مدیریت ریسک، مزایا و ارزش بهره‌وری امنیت XDR را در نظر می‌گیرند.

XDR چگونه کار می‌کند؟

XDR

XDR با بهبود قابلیت‌های تشخیص و پاسخ از طریق یکپارچه‌سازی دید و کنترل در نقاط پایانی، شبکهداخلی و ابری، کارایی امنیتی ایجاد می‌کند. با اتصال داده‌ها از راه‌حل‌های امنیتی ، دید تهدید بهبود می‌یابد و زمان مورد نیاز برای شناسایی و پاسخ به یک حمله کاهش می‌یابد.

XDR تحقیقات پیشرفته و قابلیت های شکار تهدید را در چندین دامنه از یک کنسول واحد تسهیل می‌کند.

 

به طور کلی، سه جنبه برای نحوه عملکرد امنیت XDR وجود دارد:

 

  1. جمع‌آوری داده‌ها: اولین مرحله جمع‌آوری و عادی‌سازی حجم زیادی از داده‌ها از نقاط پایانی، فعالیت های ابری، ایمیل، ترافیک شبکه، کانتینرهای مجازی و موارد دیگر است. همه داده‌ها ناشناس هستند و فقط شامل عناصری هستند که برای شناسایی ناهنجاری‌ها و تهدیدات بالقوه نیاز دارند.

 

  1. تشخیص: سپس، تمرکز بر تجزیه و همبستگی داده‌ها(Parsing and Corelating) برای شناسایی خودکار تهدیدات مخفی با استفاده از هوش مصنوعی پیشرفته (AI) و یادگیری ماشینی (ML) است.

 

  1. پاسخ: اولویت‌بندی داده‌های تهدید بر اساس شدت است تا تیم‌های امنیتی بتوانند رویدادهای جدید را به‌ موقع تجزیه و تحلیل و تریاژ کنند و تحقیقات و پاسخ را خودکار کنند. فرآیند پاسخ باید از یک مرکز واحد انجام شود که شامل داده‌ها، زمینه و ابزارهای مرتبط است.

فناوری XDRبابه تصویر کشیدن توالی فعالیت و فرآیندهایی که مهاجم قبل از حمله نهایی انجام داده است، برای تحلیلگران مفید می‌باشد. زنجیره حمله با اطلاعات موجودی دارایی‌ها مانند آسیب پذیری‌های مربوط به دارایی، مالک یا صاحبان دارایی، نقش تجاری و شهرت ازطریق اطلاعات تهدید

(Threat Intelligence) غنی شده قابل مشاهده است.

با توجه به اینکه تیم‌های امنیتی اغلب هر روز در معرض حجم زیادی از هشدارها هستند، خودکار کردن فرآیند تریاژ و ارائه اطلاعات متنی به تحلیلگران بهترین راه برای مدیریت فرآیند است. XDR به تیم‌های امنیتی اجازه می‌دهد تا با تمرکز بر هشدارهایی که بیشترین آسیب را به عمراه دارند، از زمان خود به نحو احسن استفاده کنند.

 

چرا کسب و کارها به XDR نیاز دارند؟

XDR ابزارهای امنیتی را هماهنگ می‌کند، تجزیه و تحلیل، تحقیق و پاسخ را یکسان و ساده می‌کند. این مورد مزایای قابل توجهی را برای سازمان‌ها ارائه می‌دهد، از جمله:

 

  • مشاهده تهدیدات به هم ربط داده شده:XDR ترکیب داده‌های ناشناس را در نقطات پایانی با ارتباطات شبکه و برنامه ها فراهم می کند. این شامل اطلاعاتی در مورد مجوزهای دسترسی، فایل های قابل دسترسی و برنامه های کاربردی در حال استفاده است. دید کامل در سراسر سیستم به شما امکان می‌دهد حملات را سریع‌تر شناسایی و مسدود کنید.
  • بهبود قابلیت‌های پیشگیری:هوش تهدید و یادگیری ماشینی تطبیقی فراهم کننده پیکربندی متمرکز و قابلیت سخت‌سازی به همراه راهنمایی برای جلوگیری از حملات احتمالی هستند.
  • پاسخ موثر: جمع‌آوری و تجزیه و تحلیل گسترده داده‌ها به تیم های امنیتی اجازه می‌دهد تا مسیر حمله را ردیابی کنند و اقدامات مهاجم را بازسازی نمایند و شانس شناسایی عاملانحمله را افزایش می‌دهد. داده‌ها همچنین اطلاعات ارزشمندی را ارائه می‌دهند که می‌توانید از آنها برای تقویت دفاع خود استفاده کنید.
  • کنترل بیشتر: امکان مسدود کردن لیست و اجازه دادن (Block and Allow list) به ترافیک و فرآیندهای لیست تضمین می‌کند که فقط اقدامات و کاربران تأیید شده می‌توانند وارد سیستم شما شوند.
  • افزایش بهره‌وری:با متمرکز کردن حجم هشدارها دقت آن‌ها را افزایش می‌دهد، که به این معنی است که آزمون و خطای کمتری برای غربال کردن وجود دارد. از آنجایی که XDRیک پلتفرم یکپارچه در مقابل ترکیبی از راه حل‌های دیگر است ، مدیریت آن آسان‌تر است و تعداد رابط‌هایی را که تیم امنیت باید در طول پاسخ به آنها دسترسی داشته باشد، کمتر می‌باشد.
  • بازیابی پس از مخاطره:XDR می‌تواند به تیم‌های امنیتی کمک کند تا با حذف فایل‌های و کلیدهای رجیستری مخرب و همچنین بازیابی فایل‌ها و کلیدهای رجیستری آسیب دیده با استفاده از پیشنهادات اصلاح، به سرعت پس از حمله بازیابی شوند.

نمونه‌ای از موارد کاربری XDR

XDR

فناوری XDR برای طیف گسترده‌ای از مسئولیت‌های امنیت شبکه مناسب است. کاربرد آن به نیازهای سازمان شما و بلوغ تیم امنیتی شما بستگی دارد. مصارف نمونه عبارتند از:

 

  • تریاژ:XDR می‌تواند به عنوان ابزار اصلی برای جمع آوری داده‌ها، سیستم‌های نظارت، شناسایی رویدادها و هشدارها به تیم‌‌های امنیتی استفاده شود.
  • تحقیق و بررسی: سازمان‌ها می‌توانند از راه‌حل‌های XDR به عنوان مخزن اطلاعات رویدادها استفاده کنند. آنها می‌توانند از این اطلاعات در ترکیب با اطلاعات تهدید(Threat Intelligence) برای بررسی رویدادها، تعیین پاسخ آنها و آموزش کارکنان امنیتی استفاده کنند.
  • شکار تهدید: داده‌های جمع‌آوری‌ شده توسط راه‌حل‌های XDR می‌تواند به‌عنوان پایه‌ای برای انجام عملیات شکار تهدید استفاده شود. به نوبه خود، داده‌های مورد استفاده و جمع‌آوری ‌شده در طول عملیات شکار تهدید می‌تواند برای ایجاد اطلاعات تهدیدجدید برای تقویت پروتکل‌ها و سیستم‌های امنیتی استفاده شود.

مزایای XDR چیست؟

XDR با ادغام چندین ابزار امنیتی در یک پلتفرم شناسایی و پاسخ امنیتی منسجم و یکپارچه، برای ما ارزش افزوده فراهم میکند.

مزایای اصلی XDR عبارتند از:

  • ادغام حجم زیادی از هشدارهای مربوط به هم و مشابه که می‌توانند برای بررسی دستی اولویت بندی شوند.
  • ارائه گزینه‌های یکپارچه واکنش به حادثه که زمینه کافی را فراهم می‌کند تا هشدارها به سرعت حل شوند.
  • ارائه گزینه‌های پاسخ در کل نقاط کنترل زیرساخت، از جمله شبکه، فضای ابری و نقاط پایانی که سبب گسترده شدن سطح محافظت می‌شود.
  • خودکارسازی کارهای تکراری برای بهبود بهره وری؛ در نهایت ارائه یک مدیریت مشترک و تجربه گردش کار در سراسر اجزای امنیتی، ایجاد کارایی بیشتر، مزایای کلیدی بهبود قابلیت‌های حفاظت، شناسایی و پاسخ، بهبود بهره‌وری کارکنان امنیتی عملیاتی، به‌علاوه کاهش هزینه برای شناسایی و پاسخ‌دهی موثر تهدیدات امنیتی.

 در راه حل XDR به دنبال چه چیزی باشید؟

XDR

ویژگی‌های کلیدی که باید در راه حل XDR جستجو کنید عبارتند از:

  • کنترل-آگنوستیک: توانایی ادغام با چندین فناوری
  • همبستگی و تشخیص اطلاعات مبتنی بر ماشین: برای تسهیل تجزیه و تحلیل به موقع مجموعه داده‌های بزرگ و کاهش تعداد آزمون و خطا
  • مدل‌های داده از پیش ساخته شده: برای ادغام اطلاعات تهدید و همچنین تشخیص و پاسخ خودکار بدون نیاز به مهندسان نرم افزار برای اجرای برنامه نویسی یا ایجاد قوانین
  • ادغام تولید: به جای نیاز به جایگزینی راه‌حل‌های مدیریت حوادث و رویدادهای امنیتی (SIEM)، فناوری‌های هماهنگ‌سازی و پاسخ امنیتی (SOAR) و ابزارهای مدیریت پرونده، یک راه‌حل XDR می‌تواند با آنها یکپارچه شود تا به سازمان‌ها اجازه دهد تا ارزش سرمایه‌گذاری خود را به حداکثر برسانند.
  • ادغام با اعتبار سنجی امنیتی: هنگامی که XDR و اعتبارسنجی امنیتی با هم کار می‌کنند، تیم های امنیتی از اینکه پشته امنیتی آنها چقدر خوب عمل می کند، آسیب پذیری‌ها در کجا قرار دارند و چه اقداماتی برای رفع شکاف های عملکردی باید انجام دهند، آگاهی بیشتری دارند.

 

 XDR در مقابل سایر فناوری‌های تشخیص و پاسخ

XDR با سایر ابزارهای امنیتی که با متمرکز کردن، عادی سازی و مرتبط کردن داده‌ها از منابع متعدد، متفاوت است. با جمع‌آوری و تجزیه و تحلیل داده‌ها از منابع متعدد، فناوری XDR کار بهتری را برای اعتبارسنجی هشدارها انجام می‌دهد که باعث کاهش آزمون و خطا و افزایش قابلیت اطمینان می‌شود. این مورد باعث صرفه‌جویی در وقت تیم‌های امنیتی می‌شود و امکان پاسخ‌های سریع‌تر و خودکارتر را فراهم می‌کند.

 

XDR با EDR متفاوت است. سیستم‌های EDR به سازمان‌ها کمک می‌کنند تا با تمرکز بر فعالیت فعلی در تمام نقاط پایانی خود، با استفاده از یادگیری ماشینی پیشرفته برای درک این فعالیت و مشخص کردن پاسخ‌ها، و استفاده از اتوماسیون برای ارائه اقدامات سریع در صورت نیاز، تهدیدات را مدیریت کنند.

سیستم‌های XDR با یکپارچه‌سازی جریان‌ دادههای غیرنقطه‌ای در سطوح متعدد مانند شبکه‌ها، ایمیل، شبکه ابری، برنامه‌های کاربردی، دستگاه‌ها، هویت، دارایی‌ داده ها، اینترنت اشیا و احتمالاً موارد دیگر بنا می‌شوند. این عناصر اضافی کشف تهدیدات، نقض‌ها و حملات بیشتر و پاسخ مؤثرتر را ممکن می‌سازد، زیرا می‌توانید اقدامات را در زیرساخت‌های گسترده‌ خود، نه فقط در نقاط پایانی، بلکه در سطوحی که معرفی شد هدایت کنید. XDR همچنین بینش عمیق‌تری در مورد آنچه دقیقاً اتفاق می‌افتد، ارائه می‌دهد.

برخی از سازمان‌ها سعی می‌کنند با استفاده از ترکیبی از راه حل‌های EDR و مدیریت حوادث و رویدادهای امنیتی (SIEM) تهدیدات سایبری را مدیریت کنند. با این حال، در حالی که راه حل‌های SIEM داده‌های کم عمق‌تری را از بسیاری از منابع جمع آوری می‌کند، XDR داده‌های عمیق‌تری را از منابع هدف جمع آوری می‌کند. این XDR را قادر می‌سازد تا دسترسی به زمینه گسترده‌تری از رویدادها فراهم کند و نیاز به تنظیم دستی یا یکپارچه‌سازی داده‌ها را از بین می‌برد.منابع هشدار(Alerts)درون XDR هستند، که در مقابل به این معنی است که تلاش یکپارچه سازی و نگهداری مورد نیاز برای نظارت بر هشدارها در SIEM حذف می‌شود.

در نهایت، هر چه مدت زمان طولانی‌تری یک تهدید در شبکه سازمان باقی بماند، مهاجم فرصت‌های بیشتری برای آسیب رساندن به سیستم‌ها و سرقت داده‌های ارزشمند دارد. این بدان معنی است که بسیار مهم است که در سریع‌ترین زمان ممکن در پاسخ به هر تهدیدی که در نظر گرفته شده است، اقدام کنید. تیم‌های امنیتی به روش‌های بهتری برای آگاهی از زمان وجود تهدید نیاز دارندهمچنین روش‌های سریع‌تر برای برجسته کردن و خنثی کردن آنها در هنگام حمله برای به حداقل رساندن خسارات احتمالی است. در نهایت، این چالشی است که XDR برای رفع آن طراحی شده است.

سوالات متداول در مورد XDR

XDR چیست؟

XDR مخفف تشخیص و پاسخ گسترده است و به فناوری اطلاق می‌شود که تهدیدات امنیت سایبری را نظارت و کاهش می‌دهد. XDR داده‌ها را در چندین لایه امنیتی - از جمله نقطه پایانی، شبکه و داده‌های ابری - جمع‌آوری می‌کند و به‌طور خودکار به هم مرتبط می‌کند و تشخیص تهدید را سرعت می‌بخشد و امکان پاسخگویی سریع‌تر و دقیق‌تر را فراهم می‌کند.

 

XDR چگونه کار می‌کند؟

XDR یک رویکرد پیشگیرانه برای شناسایی و پاسخ تهدید را تضمین می‌کند. XDR با ارائه قابلیت دید در همه داده‌ها و استفاده از تجزیه و تحلیل و اتوماسیون، می‌تواند تهدیدات امنیت سایبری امروزی را برطرف کند. XDR هشدارها را از طریق ایمیل، نقاط پایانی، سرورها، فعالیت‌های ابری و شبکه‌ها جمع آوری می‌کند و سپس این داده‌ها را برای شناسایی تهدیدها تجزیه و تحلیل می‌کند. سپس تهدیدها اولویت بندی، شکار و اصلاح می‌شوند تا از نقض امنیت جلوگیری شود.

تفاوت XDR و EDR چیست؟

تشخیص و پاسخ نقطه پایانی (EDR) بر نظارت مستمر و تشخیص تهدید همراه با پاسخ خودکار متمرکز است. با این حال، از این جهت محدود است که آن توابع را فقط در سطح نقطه پایانی انجام می‌دهد. در مقابل، XDR همان اولویت‌های EDR را دارد، اما آنها را فراتر از نقاط پایانی گسترش می‌دهد تا فعالیت‌های ابری، برنامه‌ها، هویت‌های کاربر و در کل شبکه را در بر بگیرد.

 

امیر حسین دادبین

امیر حسین دادبین

کارشناس امنیت اطلاعات