آیا XDR راه حل مناسبی برای تهدیدات امنیتی امروزی است؟

XDR و Open XDR جزو اصطلاحات جدید و رایج در بازار ابزارهای امنیت سایبری هستند. البته تعاریف و رویکردهای مختلف برای XDR وجود دارد. در این مطلب از فراست این ابزارهای امنیتی را مورد بررسی قرار می‌دهیم.

کلیه محصولات امنیت سایبری برای حفاظت از شبکه و اجزای آن در برابر دسترسی‌های غیرمجاز، تغییر، خرابی و سوءاستفاده معمولاً از تدابیر پیشگیرانه نرم‌افزاری و فیزیکی استفاده نموده و عموماً از یکسری تجهیزات خاص موجود در شبکه حفاظت می‌نمایند. یکسری از ابزارهای امنیتی عبارتند از:

همانگونه که مشاهده می‌کنید، محصولات و راهکارهای بسیار زیادی برای حفاظت از یک شبکه وجود دارند اما آیا استفاده از یک ابزار به جای اجرای چندین راهکار مختلف کارایی بهتری ندارد؟ راهکارهای XDR / Open XDR می‌توانند به این پرسش پاسخ دهند.

ابزارهای امنیتی

XDR چیست؟

پیش از این راهکار تشخیص و واکنش توسعه یافته یا XDR (به انگلیسی: eXtended Detection and Response) به عنوان یک پلتفرم واحد که واکنش و تشخیص را در کل زنجیره کشتار یکپارچه‌سازی می‌کند، در نظر گرفته می‌شد. ایده کلی و هدف اصلی از ارایه چنین راهکاری این است که XDR به جای مدیریت ده‌ها کنسول امنیتی مجزای مختلف برای نظارت و حفاظت از شبکه، داده‌های جمع‌آوری شده از این ابزارها را یکپارچه‌سازی کرده و در قالب یک داشبورد واحد ارایه دهد. محصولات پیشرفته‌تر علاوه بر یکپارچه‌سازی داده‌ها، آنها را به صورت خودکار به یکدیگر ارتباط داده و تحلیل می‌کنند تا فهرستی از تهدیدات امنیتی به همراه توصیه‌هایی برای خنثی‌سازی آنها ارایه دهند.

در بازار امنیت سایبری تعاریف و دیدگاه‌های مختلفی نسبت به XDR وجود دارد. بنا به گفته Rik Turner تحلیلگر ارشد شرکت Omdia که حروف اختصاری XDR را ابداع کرده: «XDR یک راهکار مستقل واحد نیست که قابلیت‌های تشخیص و واکنش تهدید یکپارچه را ارایه دهد. بر اساس ضوابط Omdia، هر محصول امنیتی که شامل قابلیت‌های تشخیص و واکنش به تهدید برای نقاط پایانی، شبکه‌ها و محیط‌های رایانش ابری باشد یک راهکار XDR کامل و جامع محسوب می‌گردد».

مؤسسه گارتنر نیز تعریف مشابهی را ارایه داده و به امکاناتی مثل ارتباط دهی حوادث و هشدارها، اتوماسیون داخلی، چندین منبع از داده‌های دورسنجی، صورت‌های مختلف تشخیص (تشخیص داخلی) و چندین روش واکنش اشاره دارد. همچنین بر اساس ضوابط گارتنر، XDR باید یکپارچه کننده چندین محصول امنیتی اختصاصی از فروشندگان مختلف باشد.

در تعریف XDR توسط فورستر؛ پلتفرم مدنظر باید حول یک راهکار EDR یا Endpoint Detection Response) که رفتارها را در سطح سیستم و نقاط پایانی ذخیره، تحلیل و رفتارهای مشکوک را شناسایی می‌کند طراحی شده است. XDR بومی را یک EDR تعریف می‌کند که با ابزارهای امنیتی یک فروشنده ادغام شده باشد؛ XDR ترکیبی، یک EDR است که با ابزارهای امنیتی شخص ثالث ترکیب شده باشد؛ پلتفرم تحلیل امنیت سایبری، پلتفرمی است که قابلیت EDR داخلی نداشته باشد اما قابلیت NAV یا Network Analysis and Visibility را به صورت داخلی و SOAR یا Security Orchestration, Automation and Response (به معنای هماهنگ‌سازی، خودکارسازی و واکنش‌گرایی در امنیت سایبری است) را از طریق ادغام با راهکارهای شخص ثالث داشته باشد و پلتفرم تحلیل مستقل امنیت سایبری، پلتفرمی است که فقط متکی بر ابزارهای شخص ثالث مثل منابع داده و راهکارهای واکنشی باشد.

Open XDR چیست؟

Open XDR در ابتدا توسط Stellar Cyber با همان امکانات ذکر شده در تعریف گارتنر طراحی شد. البته برخلاف تعریف گارتنر در Open XDR نیاز نیست که همه محصولات و اجزای امنیتی از یک شرکت باشند بلکه چنین پلتفرمی باز بوده و با ابزارهای امنیتی شخص ثالث ترکیب می‌شود. بعضی از اجزای این پلتفرم داخلی و بعضی دیگر از طریق ادغام‌های شخص ثالث اضافه می‌گردند.

مدت‌ها بعد Open XDR توسط شرکت‌هایی استفاده شده که از لحاظ منابع داده و واکنش صرفاً متکی بر اکوسیستمی وسیع از ابزارهای شخص ثالث هستند اما هیچ بخش داخلی ندارند.

کاربرد Open XDR

Open XDR به یکی از واقعیت‌های کلیدی در زیرساخت‌های امنیت سایبری سازمانی رسیدگی می‌کند. شرکت‌هایی که سرمایه‌گذاری‌های سنگینی برای تهیه ابزارهای امنیتی انجام داده‌ و مایل نیستند این ابزارها را جهت جایگزینی XDR ترک کنند با بکارگیری Open XDR می‌توانند از سرمایه‌گذاری‌های فعلی خودشان استفاده نموده و از طریق ارتباط دهی خودکار داده‌های آنها با داده‌های ابزارها و سایر حسگرها، ارزش آنها را حفظ می‌کنند.

همچنین پلتفرم‌های Open XDR پیشرفته‌تر از یادگیری ماشینی و هوش مصنوعی برای کاهش هشدارهای کاذب استفاده می‌کنند. در این روش به جای مدیریت هزاران هشدار ایجاد شده از ده‌ها ابزار امنیتی، XDR هشدارهای مرتبط را با حوادث سطح بالاتر ترکیب می‌کند و بر اساس یادگیری الگوهای رفتاری عادی در هر محیطی، بسیاری از هشدارها را نادیده می‌گیرد.

با توجه به موج روزافزون حملاتی که همه سازمان‌ها را تحت تأثیر خود قرار داده‌اند، کمبود تحلیلگران امنیت سایبری در سطح جهان و خستگی نیروهای این حوزه، هر راهکاری که قدرت تشخیص را افزایش داده و منجر به افزایش بهره‌وری تحلیلگران شود مورد استقبال قرار خواهد گرفت. انتظار می‌رود که XDR هم جزو چنین راهکارهایی باشد.

منبع: cybersecuritymagazine

خروج از نسخه موبایل