اصول انتخاب یک راهکار XDR مناسب برای سازمان

اصول انتخاب راهکار XDR مناسب برای سازمان‌ها

با توجه به حجم، پیچیدگی و آسیب‌های ناشی از حملات، تیم‌های امنیت سایبری باید تمام تلاش خودشان را برای شناسایی حملات و رخنه‌های احتمالی به کار ببندند. در حالت ایده‌آل، این تلاش شامل بررسی همه نشانی‌های درج شده در کلیه ایمیل‌های مسدودی، فایل‌هایی که در وب سایت‌های مسدود شده میزبانی می‌شوند و درخواست‌های ورود مسدود یا اجرا شده و غیره است.

به طور میانگین، سازمان‌ها از ده‌ها ابزار امنیتی که معمولاً متعلق به چندین شرکت است، استفاده می‌کنند. معمولاً این راهکارها روزانه هزاران هشدار ایجاد می‌کنند که نیاز به بررسی دارند. عموماً این ابزارها نیز به شکل منفرد کار می‌کنند، به همین خاطر دنبال کردن این هشدارها معمولاً نیازمند مشخص کردن ارتباط بین رویدادها از طریق کنسول‌های مدیریتی مختلف است. در نتیجه این پیچیدگی، تیم‌های امنیتی زمان کافی برای انجام بررسی های لازم را نداشته و ممکن است متوجه حملات در حال اجرا نشده و واکنش تیم‌های امنیتی به هشدارها به کندی انجام شود.

به این ترتیب جای تعجب نیست که حدود نیمی از مدیران امنیت سازمان‌ها پیچیدگی محیط را یکی از چالش برانگیزترین جنبه‌های امنیت می‌دانند. همچنین بیش از سه چهارم سازمان‌ها اعتراف کرده‌اند که معماری امنیتی آنها به دلیل استفاده از محصولات امنیتی غیریکپارچه، دچار از هم گسیختگی شده است. علاوه‌ بر این با توجه به اینکه در حال حاضر بیشتر سازمان‌ها فعالیت شان را در فضای دیجیتال گسترش داده‌اند، زمان و تخصص کافی برای بررسی همه رویدادها و هشدارها را ندارند.

مزایای استفاده از راهکارهای تشخیص و واکنش گسترده (XDR[1])

یکی از مفاهیم جدید در حوزه امنیت سایبری که توجه کارشناسان را به خود جلب کرده، راهکارهای تشخیص و واکنش گسترده (XDR) هستند. مؤسسه گارتنر، راهکار XDR را یک ابزار تشخیص و واکنش به تهدیدات سایبری بر مبنای مدل خدمات نرم‌افزاری تعریف کرده که محصولات امنیتی مختلف را در یک سیستم عملیات امنیتی جامع ترکیب می‌کند.

چالشی که بیشتر راهکارهای امنیتی با آن مواجه هستند این است که هر چند چنین راهکارهایی در حوزه خودشان کارایی لازم را دارند اما قابلیت‌های آنها تا حدودی محدود است. مثلاً ممکن است عملکرد یک فایروال در سطح کلاس جهانی باشد ولی فقط بتواند تصویر لحظه‌ای ترافیکی که از یک نقطه خاص از شبکه عبور می‌کند را فراهم کند. در حالی که محافظت در برابر تهدیدات پیچیده امروزی نیازمند داشتن یک دید جامع و همچنین وجود کنترل‌هایی است که بر روی کل شبکه توزیع شده گسترش پیدا می‌کنند.

XDR، نشان دهنده شکل گیری یک رویکرد امنیتی جدید است که در آن کنترل‌های امنیتی مختلف می‌توانند به عنوان بخشی از یک پلتفرم امنیتی هماهنگ شده عمل کرده و داده‌های مختلف را مشاهده، به اشتراک‌گذاری و ارتباط دهی کنند. به این ترتیب قابلیت تشخیص تهدیدات سایبری افزایش یافته و می‌توان پاسخ‌های هماهنگی ارایه کرد که کل سطح حمله را پوشش می دهد.

اگرچه ممکن است پیاده سازی چنین سیستمی کار ساده‌ای به نظر برسد اما قطعاً انجام این کار با چالش‌هایی همراه است که در ادامه این مطلب از فراست به بررسی آنها می‌پردازیم.

چالش‌های راهکارهای XDR

ایده فعال کردن فناوری‌های مختلف برای همکاری با هم به صورت یک سیستم واحد و یکپارچه، مزایای قابل توجهی برای تشخیص و واکنش به حملات سایبری دارد. به همین دلیل بسیاری از شرکت‌ها به این سمت حرکت کرده‌اند. با این حال بیشتر راهکارهای XDR دچار یکی از سه چالش زیر هستند:

  1. اول از همه اینکه بسیاری از شرکت‌ها تنها یک (یا در بهترین حالت تعداد محدودی) مسیر حمله (یعنی نقاط انتهایی، ایمیل، شبکه یا محیط ابر) را تحت پوشش قرار می‌دهند اما قابلیت اصلی XDR، کمک به همکاری راهکارهای مختلف با یکدیگر است. بنابراین ارزش XDR کاملاً به شرکت‌های دیگری بستگی دارد که این فناوری‌ها را ارایه کرده و آنها را توسعه می‌دهند. این موضوع یعنی اینکه ممکن است حوزه عملکرد راهکار XDR شما فقط محدود به بخشی از سازمان و سطح حمله آن باشد.
  2. دوماً احتمال دارد شرکت‌هایی که بسته‌های امنیتی را به شکل کامل ارایه می‌کنند، برای ارایه یک راهکار XDR کارآمد با چالش‌هایی روبرو باشند. اینکه یک شرکت چندین محصول مختلف ارایه می‌کند لزوماً به معنای آن نیست که برای تهیه منابع لازم جهت ادغام و یکپارچه سازی آنها سرمایه گذاری کافی کرده است. به ویژه وقتی بخش‌هایی از این راهکار از طریق اکتساب‌های بزرگ به دست آمده باشند. در چنین شرایطی، ممکن است الزامات ایجاد شده در اثر نصب انبوه این راهکارها مانع از تخصیص منابع لازم برای توسعه آنها شده و باعث جلوگیری از اعمال تغییرات مورد نیاز برای ادغام شود. در چنین مواقعی راهکارهای XDR صرفاً به عنوان راهی برای جبران این واقعیت عمل می‌کنند که این ابزارها با یکدیگر در تعامل نیستند و محدودیت‌های قابل توجهی در عملکرد آنها وجود دارد که می‌تواند چالش‌هایی جدی برای تیم‌های فناوری اطلاعات ایجاد کند.
  3. سوم اینکه بیشتر فروشندگان، متمرکز بر ارایه راهکار تشخیص و واکنش توسعه یافته هستند و مراحل میانی یعنی تحقیق و اعتبارسنجی را نادیده می‌گیرند. در نتیجه، کارشناسان امنیت باز هم با زحمت و کار زیادی مواجه هستند (به خصوص با توجه به ادامه افزایش تعداد هشدارها و تهدیدات سایبری).

برای کارآمد واقع شدن راهکارهای XDR، نیاز به پوشش گسترده سطح حمله، ادغام و یکپارچه سازی عمیق و تمرکز بر هر سه مرحله تشخیص، تحقیق و واکنش دارید.

انتخاب راهکار XDR مناسب

هنگام انتخاب یک راهکار XDR باید سه عملکرد مهم و اصلی آن را ارزیابی کرد که عبارتند از:

  1. تشخیص گسترده: راهکار XDR باید قادر به جمع آوری داده‌ها از منابع مختلف در سطح سازمان بوده، سپس ارتباط آنها را مشخص و تحلیل کند تا بتواند انبوه داده‌های خام را تبدیل به جزییات مهم و دقیق درباره حوادث احتمالی کند. هر چقدر در خصوص روش های حمله اطلاعات بیشتری کسب کنید، احتمال اینکه قادر به شناسایی یک تهدید فعال باشید نیز بیشتر می شود. البته جمع آوری اطلاعات، نیمی از راه پیش روی شما است. همچنین ابزارهای تحلیلی مورد استفاده برای تشخیص حوادث، عملکرد راهکار XDR و تشخیص‌های آن باید به شکل دقیق مورد ارزیابی قرار گیرند.
  2. تحلیل گسترده: پس از تشخیص یک حادثه احتمالی باید درباره آن تحقیق کرده و مشخص نمود که آیا واقعاً تهدیدی وجود داشته یا فقط یک تشخیص مثبت کاذب است؟ آیا این حادثه نشان دهنده وجود یک تهدید بزرگتر است؟ در این صورت، حوزه تهدید چقدر است؟ امروزه بیشتر حملات سایبری چندمرحله‌ای هستند و اجزای مختلف آنها پس از انجام کار مدنظرشان ناپدید می‌شوند. اینکه قادر به مشاهده نشانه های مخاطره ای که موجب فعال شدن یک هشدار شده‌اند نیستید، هرگز به معنای امن بودن سازمان و بروز اشتباه در تشخیص نیست.
  3. واکنش گسترده: بررسی و اعتبارسنجی باید منجر به اجرای واکنش مناسب برای مقابله با حادثه شود. اولاً این سیستم باید بتواند بیشترین منابع ممکن را هدایت کند تا پاسخی کارآمد و هماهنگ شده، متناسب با میزان گستردگی حمله ایجاد شود. همچنین این سیستم باید به خوبی از قبل تعریف شده و قابل تکرار باشد تا علاوه بر افزایش کارایی برای شناسایی حملات، قادر به مداخله در همه مراحل پیشرفت حمله نیز باشد. نکته سوم هم اینکه این سیستم باید بتواند خلاء موجود در چارچوب امنیت فعلی که امکان اجرای حمله را فراهم کرده است، برطرف کند.

بیشتر راهکارهای XDR، کار بررسی و تحقیقات را به تیم امنیت (انسان‌ها) واگذار می‌کنند اما با توجه به انبوه هشدارها و محدودیت‌های موجود از نظر تخصص و منابع انسانی، بسیاری از تیم‌های امنیت سایبری قادر به ردیابی یکایک حوادث احتمالی نیستند. یک کارشناس امنیتی مجرب باید ابتدا احتمال وقوع حادثه را بررسی کرده و آن را تأیید کند تا آنگاه بتواند گام‌های لازم برای مقابله با تهدید و بازگشت به شرایط امن قبلی را بردارد. انجام این کار زمان می‌برد و بسیاری از سازمان‌ها زمان و تخصص کافی برای انجام آن را ندارند.

در نتیجه سازمان‌ها باید به دنبال یک راهکار XDR باشند که با هوش مصنوعی مخصوصی که برای بررسی خودکار هشدارها آموزش های لازم را دیده است، همراه شوند. این سیستم باید قادر به تشخیص زمینه و شرایط وقوع حادثه، انجام تحقیقات کامل، مشخص کردن ماهیت و گستردگی حمله و تولید اطلاعات کافی برای سرعت بخشیدن به واکنش باشد (یک سیستم هوش مصنوعی که خوب آموزش دیده باشد می‌تواند این کار را ظرف چند ثانیه انجام دهد. مقیاس پذیری چنین سیستمی نیز راحت‌تر انجام شده و می‌تواند جایگزین منابع انسانی کمیاب شود).

همه راهکارهای XDR شبیه به هم نیستند، پس با دقت انتخاب کنید.

XDR گام مهمی برای افزایش قابلیت شناسایی، تحقیق و واکنش به حملات سایبری محسوب می‌شود. با این حال، این فناوری هم مثل هر فناوری جدیدی با اغراق و بزرگنمایی‌های تبلیغاتی همراه شده است. در نتیجه خریداران باید به شدت مراقب باشند. واقعیت این است که تمام راهکارهای XDR شبیه به هم نیستند.

اولین پرسشی که باید از خودتان بپرسید این است که آیا چنین راهکاری منجر به ارتقای شرایط امنیتی سازمان شما می‌شود؟ تصمیم گیری درست برای خرید، مستلزم داشتن درک کاملی از عملکرد راهکار مورد نظر و قابلیت‌ها و نواقص آن است. دومین پرسش مهم این است که چنین سیستمی چقدر به کاهش سربار کمک می‌کند؟ برای پاسخ به این سؤال می‌توانید قابلیت‌های راهکار مدنظرتان، الزامات آن و همچنین فناوری‌ها و منابع موجود در سازمان را بررسی کنید.

در نهایت، آخرین پرسش این است که آیا این راهکار قابلیت پشتیبانی از توسعه های آتی شبکه سازمان شما را دارد؟ باید مشخص کنید که آیا در صورت انجام کارهایی مثل افزودن پلتفرم‌های ابری جدید، گسترش زیرساخت SD-WAN و نصب دستگاه‌های جدید در لبه شبکه تان، راهکار مورد نظر باز هم قادر به پشتیبانی از سیستم‌های شما خواهد بود یا خیر؟

توجه به این پرسش‌ها و پرسش‌های مشابه، بهترین راه اطمینان از انتخاب راهکار جامع و مناسبی است که به شما برای پیشگیری از وقوع حملات و همچنین شناسایی سریع تهدیدهای امنیتی در دنیای پیچیده و پرچالش امروزی امنیت سایبری کمک می‌کند.

 

[1] Extended Detection and Response

 

منبع: csoonline

خروج از نسخه موبایل