چه انتظاراتی باید از ارایه دهندگان راهکارهای XDR داشته باشیم؟
راهکارهای تشخیص و واکنش گسترده یا همان [1]XDR یکی از مفاهیم جدید در حوزه امنیت سایبری هستند که از آنها برای شناسایی و مقابله با تهدیدات سایبری بر مبنای مدل «خدمات نرمافزاری-خدمات رایانهای» استفاده می شود. این راهکارها می توانند محصولات امنیتی مختلف را در قالب یک سیستم جامع عملیات امنیتی با یکدیگر ادغام کنند.
بر اساس آمار و نتایج تحقیقات اخیر که در سال 2021 میلادی انجام شده است، حدود 80 درصد از سازمانها از راهکارها و ابزارهای فعلی در زمینه تشخیص و واکنش به تهدیدات امنیتی رضایت کافی نداشته و در سال های پیش رو هزینه های بیشتری را در این حوزه صرف خواهند کرد. کارشناسان امنیت پیشبینی میکنند ابزار XDR میتواند موجب رضایت سازمانها در رابطه با چالش های امنیتی شده و ارتباط مؤثر و کارآمدی را نیز با آنها در خصوص شناسایی و مقابله با تهدیدات سایبری برقرار کند.
در این مطلب از فراست، ابتدا راهکارهای XDR و نحوه عملکرد آنها را بررسی نموده و سپس به بیان انتظاراتی که مدیران ارشد امنیتی سازمان ها از ارایه دهندگان چنین راهکارهایی دارند، میپردازیم.
XDR چیست؟
XDR یک معماری پلتفرم تحلیل و عملیات امنیتی است که مدلهای مختلفی (از جمله مدلهای مبتنی بر کنترل، مبتنی بر صفحه مدیریتی، XDR باز و …) دارد. از این رو سازمانها باید آموزشهای کافی را در این خصوص و انتخاب راهکار مناسب ببینند. یکی از منابع آموزشی مطمئن برای یادگیری راهکارهای XDR، شرکت در کنفرانسها و سمینارهای معرفی محصول یا خواندن محتواهای آموزشی مربوطه است.
الگوریتم XDR
شیوه عملکرد الگوریتم XDR به این صورت است که پس از جمعآوری دادهها از منابع دادهای مختلف، آنها را به گونهای ترکیب و پردازش میکند که بتواند تهدیدات سایبری را به صورت جامع، دقیق و در سریعترین زمان ممکن شناسایی کند.
از آنجا که کارشناسان و تحلیلگران امنیتی تاکنون راهکارهای زیادی را با ادعاهای مشابه مشاهده کرده اند، از این رو ارایه دهندگان ابزارهای XDR باید تلاش کنند ویژگیهای آنها را به صورت عملیاتی و نه فقط در حد و توصیف تعریف بیان کنند. آنها باید نشان دهند راهکار XDRشان علاوه بر تشخیص آسان و سریع تهدیدات سایبری، قابلیت شناسایی حملات پیچیده را هم دارد.
راهنمای پیادهسازی
ارایه دهندگان راهکارهای XDR باید با در اختیار داشتن معماریهای مرجع و راهنماهای مناسب، دانش کافی برای استفاده از این ابزارها و پیادهسازی آنها را در اختیار مشتریان شان قرار دهند. آنها باید آموزشهای لازم را به کاربران در خصوص نحوه کار با این ابزارها داده و به آنها بگویند با گذشت زمان چگونه می توانند این ابزارها را با یکدگیر ادغام کنند. کاربران نیز باید اطلاعات لازم را درباره چگونگی کار با ابزارهای XDR کسب کنند.
مدلهای عملیات امنیتی
ارایه دهندگان راهکارهای XDR می بایست در جلسات آموزشی و کنفرانس های مربوطه حضور یافته و نشان دهند که ابزارهای شان قابلیت پشتیبانی از همه فرایندهای عملیاتی را داشته و در مقایسه با ابزارهای تشخیص تهدیدات امنیتی فعلی کارآمدتر هستند. مواردی همچون نحوه استفاده تیمهای عملیات امنیتی از ابزارهای XDR، چگونگی رسیدگی تیمهای عملیات امنیتی به هشدارها و اولویتبندی آنها، نحوه خودکارسازی اقدامات لازم برای واکنش به هشدارها و اینکه ابزارهای XDR چگونه با سیستمهای [2]ITSM کار میکنند هم باید توسط ارایه دهندگان ابزارهای XDR به خوبی بیان شوند.
مدیریت دادههای امنیتی
تاکنون فعالیتهای زیادی در حوزه مدیریت دادههای امنیتی صورت گرفته است. مثلاً سازمانهای بزرگ در حوزههایی همچون تحلیل و پردازش جریان داده سرمایهگذاری های بی شماری نموده و در حال افزودن منابع دادهای جدیدی (از جمله هوش تهدید) به بخشهای خودشان هستند. در گفتگوهایی که با تیمهای عملیات امنیتی سازمانهای بزرگ صورت گرفته تعداد زیادی از آنها گفته اند در استفاده از فناوری XDR برای مدیریت منابع دادهای چندترابایتی مطمئن نیستند. از این رو ارایه دهندگان راهکارهای XDR باید تلاش زیادی را برای مدیریت دادهها انجام داده و تمرکز بیشتر و دقیقتری بر روی این موضوع داشته باشند.
بسیاری از کارشناسان امنیتی معتقدند معماری XDR در نهایت جایگزین سیستمهای اطلاعات امنیتی و مدیریت رویدادها (SIEM) میشود. فعالیت این سیستمها بر پایه شبکههای پیچیدهای بوده که روزانه چندین ترابایت از دادهها را جمعآوری، ارسال و نشانهگذاری میکنند.
ادغام با سایر راهکارها
بر اساس گفته های یکی از مدیران ارشد امنیت اطلاعات: «ممکن است ارایه دهندگان XDR تصور کنند قصد جایگزین کردن محصولات آنها را با راهکارهای مورد استفاده کنونی از جمله EDR، NDR و SIEM داشته و محصول آنها را به راهکاری استاندارد و جامع در سازمان تبدیل می کنیم. در حال حاضر از انواع راهکارهای EDR، NDR و SIEM استفاده می کنیم و امکان جایگزینی آنها در تمام بخشهای سازمان وجود ندارد».
از این رو هر راهکار XDR باید قابلیت کار و ادغام با سایر راهکارها را داشته باشد. ارایه دهندگان راهکارهای XDR بایستی یک گام جلوتر رفته و با در اختیار داشتن مجموعه کاملی از گزینههای قابل ادغام از جمله انواع APIها، اتصال دهندههای ویژه، همکاریها و غیره، روشهای استانداردی را برای ادغام و تعاملپذیری مشخص کنند.
قابلیت نظارت بر بستر ابر
کارشناسان امنیتی ابتدا تصور میکردند سازمانها در استفاده از ابزارهای XDR به بسترهای ابری توجهی نداشته و فقط به دنبال جایگزین نمودن آنها با راهکارهای EDR یا NDR هستند. با این حال تیمهای امنیتی معمولاً مایل به پیادهسازی یک راهکار XDR میباشند که مجهز به قابلیتهای تشخیص و واکنش برای اقدامات مبتنی بر ابر و SaaS باشد.
به همین خاطر ارایه دهندگان راهکارهای XDR باید اطلاعات لازم را در خصوص انواع دادههای مبتنی بر ابری که جمعآوری، پردازش، تحلیل و تصویرسازی میکنند، ارایه کرده و آنها را به عنوان بخشی از زنجیره مقابله با تهدیدات سایبری در نظر بگیرند. باید توجه داشت که این دادهها در نقاط انتهایی، شبکهها، سرورها، سرویسها و کل معماری فناوری اطلاعات سازمان پراکنده شدهاند.
مدیریت هویت
متأسفانه اغلب مواقع راهکارهای XDR عامل انسانی را در حملات سایبری نادیده گرفته و فاقد یکپارچهسازی مناسب با دایرکتوریهای شبکه[3]، سازوکارهای احراز هویت و [4]IAM هستند. این موضوع به ویژه در سازمانهایی که از انواع برنامههای کاربردی SaaS استفاده نموده یا شرکتهایی که توسعهدهندگان مختلفی دارند و فعالیت آنها بر روی توسعه ابزارهای مبتنی بر ابر است، بیشتر صدق میکند. بر طبق آخرین گزارشی که از این صنعت موجود است، تمرکز اصلی ابزارهای آن فقط فناوریهای عملیاتی امنیتی و نه کاربران بوده است.
کلام پایانی
بدیهی است که سازمانها برای تشخیص و واکنش به تهدیدات گسترده سایبری به کمک نیاز داشته و مایل هستند دیدگاه جامعی در خصوص ابزارهای XDR داشته باشند. ارایه دهندگان این راهکارها باید در کنفرانسهای و جلسات آموزشی مربوطه شرکت نموده و آمادگی لازم برای ایجاد گفتگویی صادقانه را در رابطه با موقعیت امروزی XDR، جایگاه آن در فرایندها و فناوریهای عملیات امنیتی و چگونگی رشد و تکامل آن در گذر زمان داشته باشند.
آنها باید به مواردی از قبیل اینکه آیا راهکارهای XDR قابلیت پشتیبانی از توسعههای آتی شبکه سازمان شما را داشته و اینکه در صورت انجام کارهایی مثل افزودن پلتفرمهای ابری جدید، گسترش زیرساخت SD-WAN[5] و نصب دستگاههای جدید در لبه شبکه سازمان، راهکار XDR مورد نظر همچنان قادر به پشتیبانی از سیستمهای سازمانی خواهد بود یا خیر بپردازند.
[1] Extended Detection and Response
[2] IT Service Management
[3] یک دایرکتوری شبکه، نوع خاصی از پایگاه داده است که اطلاعات مربوط به دستگاهها، برنامهها، افراد و سایر جنبههای یک شبکه رایانه ای را ذخیره میکند.
[4] Identify and Access Management
[5] یک شبکه گسترده بر مبنای نرمافزار است که سرعت و امنیت شبکه را افزایش داده و در عین حال نیز موجب کاهش هزینه ها و پیچیدگیهای فنی میشود.
منبع: csoonline