آیا XDR راه حل مناسبی برای تهدیدات امنیتی امروزی است؟
XDR و Open XDR جزو اصطلاحات جدید و رایج در بازار ابزارهای امنیت سایبری هستند. البته تعاریف و رویکردهای مختلف برای XDR وجود دارد. در این مطلب از فراست این ابزارهای امنیتی را مورد بررسی قرار میدهیم.
کلیه محصولات امنیت سایبری برای حفاظت از شبکه و اجزای آن در برابر دسترسیهای غیرمجاز، تغییر، خرابی و سوءاستفاده معمولاً از تدابیر پیشگیرانه نرمافزاری و فیزیکی استفاده نموده و عموماً از یکسری تجهیزات خاص موجود در شبکه حفاظت مینمایند. یکسری از ابزارهای امنیتی عبارتند از:
- فایروال: ترافیک را کنترل نموده و از دسترسی کاربران غیرمجاز به شبکه جلوگیری میکند.
- آنتی ویروس/ ضدبدافزار: از سرورها و نقاط پایانی شبکه در برابر آلودگیهای نرمافزاری که ممکن است منجر به خرابی فایلها، استخراج دادههای حساس یا اجرای سایر فعالیتهای مخرب شوند، حفاظت میکند.
- امنیت برنامههای کاربردی: نقاط آسیبپذیر موجود در برنامههای کاربردی را جستجو و مسدود میکند.
- کنترل دسترسی به شبکه: دسترسی کاربران و دستگاههای مجاز را مدیریت نموده و از دسترسی کاربران غیرمجاز پیشگیری میکند.
- تحلیل رفتار کاربران: راهکارهایی که بر روی فعالیت کاربران نظارت دارند. این راهکارها پس از مشخص نمودن رفتار عادی و در صورت مشاهده تخطی از چنین رفتاری هشدار ارسال میکنند.
- تحلیل ترافیک شبکه: محصولات تشخیص و واکنش شبکه یا NDA/NDR (به انگلیسی: Network Detection and Response) ترافیک شبکه را تحلیل و الگوهای ناهنجار که میتوانند نشاندهنده حمله باشند را شناسایی نموده و بر اساس نتایج به دست آمده اقدام میکنند. ترافیک شبکه معمولاً شامل دادههای استراتژیکی برای شناسایی تهدید است.
- امنیت ابر: راهکارهایی که از منابع موجود در ابر محافظت میکنند.
- سیستمهای پیشگیری از نفوذ: شبکه را تحت نظر داشته و حملات اجرا شده توسط کاربران یا فرایندهای خارجی را که ممکن است از فایروال گذر کرده باشند، مسدود مینمایند.
- مدیریت رویداد و اطلاعات امنیتی: این محصولات دادهها را از گزارشات مختلف دستگاههای موجود در شبکه جمعآوری نموده و میتوانند ناهنجاریها را تشخیص دهند. محصولات NTA/NDR (ابزارهای NTA ترافیک شبکه را آنالیز میکنند) با تحلیل گزارشها و اقدام بر اساس آن، مکمل ابزارهای مدیریت رویداد و اطلاعات امنیتی هستند. در واقع وجود NTA/NDR برای داشتن نظارتی فراتر از گزارشهای ساده الزامی است.
همانگونه که مشاهده میکنید، محصولات و راهکارهای بسیار زیادی برای حفاظت از یک شبکه وجود دارند اما آیا استفاده از یک ابزار به جای اجرای چندین راهکار مختلف کارایی بهتری ندارد؟ راهکارهای XDR / Open XDR میتوانند به این پرسش پاسخ دهند.
XDR چیست؟
پیش از این راهکار تشخیص و واکنش توسعه یافته یا XDR (به انگلیسی: eXtended Detection and Response) به عنوان یک پلتفرم واحد که واکنش و تشخیص را در کل زنجیره کشتار یکپارچهسازی میکند، در نظر گرفته میشد. ایده کلی و هدف اصلی از ارایه چنین راهکاری این است که XDR به جای مدیریت دهها کنسول امنیتی مجزای مختلف برای نظارت و حفاظت از شبکه، دادههای جمعآوری شده از این ابزارها را یکپارچهسازی کرده و در قالب یک داشبورد واحد ارایه دهد. محصولات پیشرفتهتر علاوه بر یکپارچهسازی دادهها، آنها را به صورت خودکار به یکدیگر ارتباط داده و تحلیل میکنند تا فهرستی از تهدیدات امنیتی به همراه توصیههایی برای خنثیسازی آنها ارایه دهند.
در بازار امنیت سایبری تعاریف و دیدگاههای مختلفی نسبت به XDR وجود دارد. بنا به گفته Rik Turner تحلیلگر ارشد شرکت Omdia که حروف اختصاری XDR را ابداع کرده: «XDR یک راهکار مستقل واحد نیست که قابلیتهای تشخیص و واکنش تهدید یکپارچه را ارایه دهد. بر اساس ضوابط Omdia، هر محصول امنیتی که شامل قابلیتهای تشخیص و واکنش به تهدید برای نقاط پایانی، شبکهها و محیطهای رایانش ابری باشد یک راهکار XDR کامل و جامع محسوب میگردد».
مؤسسه گارتنر نیز تعریف مشابهی را ارایه داده و به امکاناتی مثل ارتباط دهی حوادث و هشدارها، اتوماسیون داخلی، چندین منبع از دادههای دورسنجی، صورتهای مختلف تشخیص (تشخیص داخلی) و چندین روش واکنش اشاره دارد. همچنین بر اساس ضوابط گارتنر، XDR باید یکپارچه کننده چندین محصول امنیتی اختصاصی از فروشندگان مختلف باشد.
در تعریف XDR توسط فورستر؛ پلتفرم مدنظر باید حول یک راهکار EDR یا Endpoint Detection Response) که رفتارها را در سطح سیستم و نقاط پایانی ذخیره، تحلیل و رفتارهای مشکوک را شناسایی میکند طراحی شده است. XDR بومی را یک EDR تعریف میکند که با ابزارهای امنیتی یک فروشنده ادغام شده باشد؛ XDR ترکیبی، یک EDR است که با ابزارهای امنیتی شخص ثالث ترکیب شده باشد؛ پلتفرم تحلیل امنیت سایبری، پلتفرمی است که قابلیت EDR داخلی نداشته باشد اما قابلیت NAV یا Network Analysis and Visibility را به صورت داخلی و SOAR یا Security Orchestration, Automation and Response (به معنای هماهنگسازی، خودکارسازی و واکنشگرایی در امنیت سایبری است) را از طریق ادغام با راهکارهای شخص ثالث داشته باشد و پلتفرم تحلیل مستقل امنیت سایبری، پلتفرمی است که فقط متکی بر ابزارهای شخص ثالث مثل منابع داده و راهکارهای واکنشی باشد.
Open XDR چیست؟
Open XDR در ابتدا توسط Stellar Cyber با همان امکانات ذکر شده در تعریف گارتنر طراحی شد. البته برخلاف تعریف گارتنر در Open XDR نیاز نیست که همه محصولات و اجزای امنیتی از یک شرکت باشند بلکه چنین پلتفرمی باز بوده و با ابزارهای امنیتی شخص ثالث ترکیب میشود. بعضی از اجزای این پلتفرم داخلی و بعضی دیگر از طریق ادغامهای شخص ثالث اضافه میگردند.
مدتها بعد Open XDR توسط شرکتهایی استفاده شده که از لحاظ منابع داده و واکنش صرفاً متکی بر اکوسیستمی وسیع از ابزارهای شخص ثالث هستند اما هیچ بخش داخلی ندارند.
کاربرد Open XDR
Open XDR به یکی از واقعیتهای کلیدی در زیرساختهای امنیت سایبری سازمانی رسیدگی میکند. شرکتهایی که سرمایهگذاریهای سنگینی برای تهیه ابزارهای امنیتی انجام داده و مایل نیستند این ابزارها را جهت جایگزینی XDR ترک کنند با بکارگیری Open XDR میتوانند از سرمایهگذاریهای فعلی خودشان استفاده نموده و از طریق ارتباط دهی خودکار دادههای آنها با دادههای ابزارها و سایر حسگرها، ارزش آنها را حفظ میکنند.
همچنین پلتفرمهای Open XDR پیشرفتهتر از یادگیری ماشینی و هوش مصنوعی برای کاهش هشدارهای کاذب استفاده میکنند. در این روش به جای مدیریت هزاران هشدار ایجاد شده از دهها ابزار امنیتی، XDR هشدارهای مرتبط را با حوادث سطح بالاتر ترکیب میکند و بر اساس یادگیری الگوهای رفتاری عادی در هر محیطی، بسیاری از هشدارها را نادیده میگیرد.
با توجه به موج روزافزون حملاتی که همه سازمانها را تحت تأثیر خود قرار دادهاند، کمبود تحلیلگران امنیت سایبری در سطح جهان و خستگی نیروهای این حوزه، هر راهکاری که قدرت تشخیص را افزایش داده و منجر به افزایش بهرهوری تحلیلگران شود مورد استقبال قرار خواهد گرفت. انتظار میرود که XDR هم جزو چنین راهکارهایی باشد.
منبع: cybersecuritymagazine