خبرمقالات

چه انتظاراتی باید از ارایه دهندگان راهکارهای XDR داشته باشیم؟

راهکارهای تشخیص و واکنش گسترده یا همان [۱]XDR یکی از مفاهیم جدید در حوزه امنیت سایبری هستند که از آنها برای شناسایی و مقابله با تهدیدات سایبری بر مبنای مدل «خدمات نرم‌افزاری-خدمات رایانه‌ای» استفاده می شود. این راهکارها می توانند محصولات امنیتی مختلف را در قالب یک سیستم جامع عملیات امنیتی با یکدیگر ادغام کنند.

بر اساس آمار و نتایج تحقیقات اخیر که در سال ۲۰۲۱ میلادی انجام شده است، حدود ۸۰ درصد از سازمان‌ها از راهکارها و ابزارهای فعلی در زمینه تشخیص و واکنش به تهدیدات امنیتی رضایت کافی نداشته و در سال های پیش رو هزینه های بیشتری را در این حوزه صرف خواهند کرد. کارشناسان امنیت پیش‌بینی می‌کنند ابزار XDR می‌تواند موجب رضایت سازمان‌ها در رابطه با چالش های امنیتی شده و ارتباط مؤثر و کارآمدی را نیز با آنها در خصوص شناسایی و مقابله با تهدیدات سایبری برقرار کند.

در این مطلب از فراست، ابتدا راهکارهای XDR و نحوه عملکرد آنها را بررسی نموده و سپس به بیان انتظاراتی که مدیران ارشد امنیتی سازمان ها از ارایه دهندگان چنین راهکارهایی دارند، می‌پردازیم.

 

XDR چیست؟

XDR یک معماری پلتفرم تحلیل و عملیات امنیتی است که مدل‌های مختلفی (از جمله مدل‌های مبتنی بر کنترل، مبتنی بر صفحه مدیریتی، XDR باز و …) دارد. از این رو سازمان‌ها باید آموزش‌های کافی را در این خصوص و انتخاب راهکار مناسب ببینند. یکی از منابع آموزشی مطمئن برای یادگیری راهکارهای XDR، شرکت در کنفرانس‌ها و سمینارهای معرفی محصول یا خواندن محتواهای آموزشی مربوطه است.

 

الگوریتم XDR

شیوه عملکرد الگوریتم XDR به این صورت است که پس از جمع‌آوری داده‌ها از منابع داده‌ای مختلف، آنها را به گونه‌ای ترکیب و پردازش می‌کند که بتواند تهدیدات سایبری را به صورت جامع، دقیق و در سریع‌ترین زمان ممکن شناسایی کند.

از آنجا که کارشناسان و تحلیلگران امنیتی تاکنون راهکارهای زیادی را با ادعاهای مشابه مشاهده کرده اند، از این رو ارایه دهندگان ابزارهای XDR باید تلاش کنند ویژگی‌های آنها را به صورت عملیاتی و نه فقط در حد و توصیف تعریف بیان کنند. آنها باید نشان دهند راهکار XDRشان علاوه بر تشخیص آسان و سریع تهدیدات سایبری، قابلیت شناسایی حملات پیچیده را هم دارد.

 

راهنمای پیاده‌سازی

ارایه دهندگان راهکارهای XDR باید با در اختیار داشتن معماری‌های مرجع و راهنماهای مناسب، دانش کافی برای استفاده از این ابزارها و پیاده‌سازی آنها را در اختیار مشتریان شان قرار دهند. آنها باید آموزش‌های لازم را به کاربران در خصوص نحوه کار با این ابزارها داده و به آنها بگویند با گذشت زمان چگونه می توانند این ابزارها را با یکدگیر ادغام کنند. کاربران نیز باید اطلاعات لازم را درباره چگونگی کار با ابزارهای XDR کسب کنند.

 

مدل‌های عملیات امنیتی

ارایه دهندگان راهکارهای XDR می بایست در جلسات آموزشی و کنفرانس های مربوطه حضور یافته و نشان دهند که ابزارهای شان قابلیت پشتیبانی از همه فرایندهای عملیاتی را داشته و در مقایسه با ابزارهای تشخیص تهدیدات امنیتی فعلی کارآمدتر هستند. مواردی همچون نحوه استفاده تیم‌های عملیات امنیتی از ابزارهای XDR، چگونگی رسیدگی تیم‌های عملیات امنیتی به هشدارها و اولویت‌بندی آنها، نحوه خودکارسازی اقدامات لازم برای واکنش به هشدارها و اینکه ابزارهای XDR چگونه با سیستم‌های [۲]ITSM کار می‌کنند هم باید توسط ارایه دهندگان ابزارهای XDR به خوبی بیان شوند.

 

مدیریت داده‌های امنیتی

تاکنون فعالیت‌های زیادی در حوزه مدیریت داده‌های امنیتی صورت گرفته است. مثلاً سازمان‌های بزرگ در حوزه‌هایی همچون تحلیل و پردازش جریان داده سرمایه‌گذاری های بی شماری نموده و در حال افزودن منابع داده‌ای جدیدی (از جمله هوش تهدید) به بخش‌های خودشان هستند. در گفتگوهایی که با تیم‌های عملیات امنیتی سازمان‌های بزرگ صورت گرفته تعداد زیادی از آنها گفته اند در استفاده از فناوری XDR برای مدیریت منابع داده‌ای چندترابایتی مطمئن نیستند. از این رو ارایه دهندگان راهکارهای XDR باید تلاش زیادی را برای مدیریت داده‌ها انجام داده و تمرکز بیشتر و دقیق‌تری بر روی این موضوع داشته باشند.

بسیاری از کارشناسان امنیتی معتقدند معماری XDR در نهایت جایگزین سیستم‌های اطلاعات امنیتی و مدیریت رویدادها (SIEM) می‌شود. فعالیت این سیستم‌ها بر پایه شبکه‌های پیچیده‌ای بوده که روزانه چندین ترابایت از داده‌ها را جمع‌آوری، ارسال و نشانه‌گذاری می‌کنند.

 

ادغام با سایر راهکارها

بر اساس گفته های یکی از مدیران ارشد امنیت اطلاعات: «ممکن است ارایه دهندگان XDR تصور کنند قصد جایگزین کردن محصولات آنها را با راهکارهای مورد استفاده کنونی از جمله EDR، NDR و SIEM داشته و محصول آنها را به راهکاری استاندارد و جامع در سازمان تبدیل می کنیم. در حال حاضر از انواع راهکارهای EDR، NDR و SIEM استفاده می کنیم و امکان جایگزینی آنها در تمام بخش‌های سازمان وجود ندارد».

از این رو هر راهکار XDR باید قابلیت کار و ادغام با سایر راهکارها را داشته باشد. ارایه دهندگان راهکارهای XDR بایستی یک گام جلوتر رفته و با در اختیار داشتن مجموعه کاملی از گزینه‌های قابل ادغام از جمله انواع APIها، اتصال دهنده‌های ویژه، همکاری‌ها و غیره، روش‌های استانداردی را برای ادغام و تعامل‌پذیری مشخص کنند.

 

قابلیت نظارت بر بستر ابر

کارشناسان امنیتی ابتدا تصور می‌کردند سازمان‌ها در استفاده از ابزارهای XDR به بسترهای ابری توجهی نداشته و فقط به دنبال جایگزین نمودن آنها با راهکارهای EDR یا NDR هستند. با این حال تیم‌های امنیتی معمولاً مایل به پیاده‌سازی یک راهکار XDR می‌باشند که مجهز به قابلیت‌های تشخیص و واکنش برای اقدامات مبتنی بر ابر و SaaS باشد.

به همین خاطر ارایه دهندگان راهکارهای XDR باید اطلاعات لازم را در خصوص انواع داده‌های مبتنی بر ابری که جمع‌آوری، پردازش، تحلیل و تصویرسازی می‌کنند، ارایه کرده و آنها را به عنوان بخشی از زنجیره مقابله با تهدیدات سایبری در نظر بگیرند. باید توجه داشت که این داده‌ها در نقاط انتهایی، شبکه‌ها، سرورها، سرویس‌ها و کل معماری فناوری اطلاعات سازمان پراکنده شده‌اند.

 

مدیریت هویت

متأسفانه اغلب مواقع راهکارهای XDR عامل انسانی را در حملات سایبری نادیده گرفته و فاقد یکپارچه‌سازی مناسب با دایرکتوری‌های شبکه[۳]، سازوکارهای احراز هویت و [۴]IAM هستند. این موضوع به ویژه در سازمان‌هایی که از انواع برنامه‌های کاربردی SaaS استفاده نموده یا شرکت‌هایی که توسعه‌دهندگان مختلفی دارند و فعالیت آنها بر روی توسعه ابزارهای مبتنی بر ابر است، بیشتر صدق می‌کند. بر طبق آخرین گزارشی که از این صنعت موجود است، تمرکز اصلی ابزارهای آن فقط فناوری‌های عملیاتی امنیتی و نه کاربران بوده است.

 

کلام پایانی

بدیهی است که سازمان‌ها برای تشخیص و واکنش به تهدیدات گسترده سایبری به کمک نیاز داشته و مایل هستند دیدگاه جامعی در خصوص ابزارهای XDR داشته باشند. ارایه دهندگان این راهکارها باید در کنفرانس‌های و جلسات آموزشی مربوطه شرکت نموده و آمادگی لازم برای ایجاد گفتگویی صادقانه را در رابطه با موقعیت امروزی XDR، جایگاه آن در فرایند‌ها و فناوری‌های عملیات امنیتی و چگونگی رشد و تکامل آن در گذر زمان داشته باشند.

آنها باید به مواردی از قبیل اینکه آیا راهکارهای XDR قابلیت پشتیبانی از توسعه‌های آتی شبکه سازمان‌ شما را داشته و اینکه در صورت انجام کارهایی مثل افزودن پلتفرم‌های ابری جدید، گسترش زیرساخت SD-WAN[۵] و نصب دستگاه‌های جدید در لبه‌ شبکه سازمان، راهکار XDR مورد نظر همچنان قادر به پشتیبانی از سیستم‌های سازمانی خواهد بود یا خیر بپردازند.

 

[۱] Extended Detection and Response

[۲] IT Service Management

[۳] یک دایرکتوری شبکه، نوع خاصی از پایگاه داده است که اطلاعات مربوط به دستگاه‌ها، برنامه‌ها، افراد و سایر جنبه‌های یک شبکه رایانه ای را ذخیره می‌کند.

[۴] Identify and Access Management

[۵] یک شبکه گسترده بر مبنای نرم‌افزار است که سرعت و امنیت شبکه را افزایش داده و در عین حال نیز موجب کاهش هزینه ها و پیچیدگی‌های فنی می‌شود.

 

منبع: csoonline

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

4 × 3 =

دکمه بازگشت به بالا