آیا سازمان شما به XDR نیاز دارد؟

اخیراً به سازمانهای بزرگ، بسیار پیشنهاد می شود تا جهت محافظت از زیرساخت های فناوری اطلاعات خود، از راهکارهای XDR استفاده کنند. با این وجود همچنان بسیاری از افراد بصورت کامل درک نکرده اند که این راهکارها چه هستند و واقعا چه کاری انجام می دهند. در این مقاله ما به چند سوال پایه ای پاسخ، و کمک می کنیم تا با مزایای پیاده سازی راهکارهای XDR آشنا شوید.


محافطت های سنتی چه مشکلاتی داشتند؟

در گذشته ابتدا این Endpoint ها (Servers and Workstations) بودند که در مقابل تهدیدات سایبری محافظت می شدند امادرنهایت وقتی که پای مقابله با تهدیدات پیچیده امنیتی وسط آمد به یک گام اساسی تبدیل شدند. همچنین سازمان ها با بکارگیری محافظت اولیه از شبکه و یا ابزارهای محافظتی پیشرفته تلاش می کردند تا تنها یک مسیر حمله احتمالی را ببندند_برای مثال روی Endpoint از راهکارهای EDR و یا شبکه راهکارهای NTA و ... استفاده کردند_ درصورتیکه امروزه مجرمان سایبری بطور فزاینده ای راه و روش های مختلفی را بکار می گیرند و حملات خود را با استفاده از چندین نقطه ورودی به زیر ساخت، حرکت جانبی از طریق شبکه، انواع تاکتیک ها و تکنینک های حمله و همچنین مهندسی اجتماعی پیش می برند. همه این عوامل سطح حمله را گسترش و بررسی و پاسخگویی را نیز دشوارتر کرد. در نتیجه سازمان¬ها برای مبارزه با این نوع حملات سایبری، به یک ابزار جدید با رویکردی جامع¬تر نیاز پیدا کردند.


راهکار XDR چیست؟

نام XDR مخفف Extended Detection and Response است. " Extended" به این معنی است که تهدیدها نه تنها در سطح Endpoint (کامپیوترها، لپ تاپ ها و سرورها) بلکه فراتر از آن نیز شناسایی و اصلاح می-شوند. به عبارت دیگر، راه حل Endpoint Detection and Response (EDR) که وظیفه شناسایی و مقابله با تهدیدات در سطح Endpoint _ عنصر اصلی تکنولوژی XDR_ را بر عهده دارد، با ابزارهای امنیت اطلاعات مختلف، از همان شرکت ارائه دهنده Endpoint تکمیل می شود. علاوه بر این، این ابزارها با یکدیگر یکپارچه شده و سناریوهای بیشتری را اضافه میکنند تا روند مبارزه با تهدیدات پیچیده سایبری تقویت شوند.


راهکار XDR شامل چه چیزی است؟

نوع و تعداد ابزارهایی که به یک راه حل XDR متصل می شوند مستقیماً به تعداد ابزارهای موجود در سبد محصولات تولیدکننده و چگونگی یکپارچگی آنها با یکدیگر بستگی دارد. برای مثال این ابزارها می توانند محصولاتی که برای محافظت از ایمیل، وب، شبکه، زیرساخت ابری و غیره طراحی شده¬اند، باشند. XDR همچنین ممکن است با ابزارهای تشخیص هوشمند تهدیدات (threat intelligence) یکپارچه شود _ برای مثال Threat data feeds و پلتفرمی که این داده ها را مدیریت می کند (Threat intelligence platform) _ XDR همچنین ممکن است شامل پورتالی با قابلیت جستجوی جزئیات و وابستگی‌های تهدیدات سایبری باشد. این قابلیت به متخصص امنیت فناوری اطلاعات امکان می دهد تا هنگام بررسی رخدادهای سایبری، پراهمیت ترین ها را تشخیص دهد. به طور کلی، امروزه مفهوم XDR موضوی مدرن در اکوسیستم امنیت اطلاعات است.


آیا اجرای XDR به این معنی است که تمام تلاش های امنیتی قبلی ما بیهوده بوده است؟

لزوما خیر. دو نوع از راه حل های XDR در بازار وجود دارد: یکپارچه و هایبریدی. اگر در ابتدای راه پیاده سازی ابزارهای محافظت از شبکه و یا در حال افزایش مقیاس استفاده از محصولات مربوط به یک شرکت امنیتی هستید، راه حل های غیر هایبریدی یا یکپارچه انتخاب خوبی هستند. اما راه‌حل‌های هایبریدی یا ترکیبی امکان یکپارچه شدن با راهکارهای امنیت اطلاعات شرکت¬های Third-party را نیز فراهم می‌کنند، بنابراین در اینصورت هر هزینه ای که قبلاً صرف بالا بردن امنیت شده است، از دست نمی¬رود.


آیا XDR ترفند بازاریابی دیگری است که توسط تحلیلگران ابداع شده است؟

خیر، دقیقا برعکس، این مفهوم با تکامل محصولات امنیت اطلاعات و نیازهای بازار ظاهر شد. این روزها، مشتریان به بیش از یک مجموعه ی واحد از ابزارهای امنیت اطلاعات از یک شرکت امنیتی یکسان نیاز دارند. آنها انتظار مزایای دیگری از این یکسان¬سازی دارند - به عنوان مثال: اتوماتیک سازی فرآیندها، سناریوهای تعاملی بین محصولات مختلف، صرفه جویی در منابع و کاهش هزینه ها. یک راه حل XDR تمام این ویژگی ها را در بر می گیرد.


ارزش XDR برای سازمان ها چیست؟

اول، در میان کمبود جهانی کارشناسان امنیت اطلاعات، XDR حفاظتی جامع برای یک زیرساخت فناوری اطلاعات در حال توسعه و تغییر، در برابر تهدیدات سایبری که به سرعت در حال تکامل هستند، ارائه می‌کند.

دوم، XDR کار منابع با ارزش و کمیاب مانند متخصصان امنیت فناوری اطلاعات را ساده می کند و آنها را در فرآیند کار با حوادث مشارکت می¬دهد.

سوم، XDR میانگین زمان تشخیص و زمان پاسخ (MTTD و MTTR) را به حداقل می رساند که این مسئله برای مقابله با تهدیدات پیچیده و حملات هدفمند بسیار مهم است و شانس مهاجمان برای دستیابی به هدف خود و وارد کردن آسیب مالی یا اعتباری به یک سازمان را کاهش می‌دهد. بنابراین حتی اگر منابع تخصصی محدودی دارید، می توانید سازمان خود را در برابر حملات پیچیده سایبری محافظت کنید زیرا XDR قابلیت های زیر را ارائه می¬دهد:

• افزایش خودکارسازی فرآیند ها

• استفاده از تنها یک کنسول

• یک محیط داده واحد

• تعامل نزدیک میان ابزارهای امنیت فناوری اطلاعات به عنوان بخشی از XDR و سناریوهای مشترک.

• تصویری منسجم از آنچه در زیرساخت اتفاق می افتد

• وجود enrichment داخلی با قابلیت اطمینان، مربوط به داده تشخیص هوشمند تهدیدات.

• اولویت بندی حوادث.

• کاهش هشدارهایFalse positive .


نتیجه گیری:

در پایان پس از همه¬ی این تفاسیر، سوال این است که آیا راهکار های XDR در سازمان های کشور ما نیز قابل پیاده سازی است؟ آیا در کشور ما نیز نیاز به این چنین راهکارهایی امنیتی وجود دارد؟

برای استفاده از این راهکارها در سازمان ها، فارغ از وجود بودجه کافی، تجهیزات سخت افزاری مناسب و تیم مرکز عملیات امنیت، باید لایه های مختلف امنیتی مثل SIEM, Mail Security, Vulnerability Management, Hardening,… پیاده سازی شده باشد و در واقع سازمان به بلوغ امنیتی لازم رسیده باشد تا بتواند از راهکارهای XDR بیشترین بهره را ببرد؛ در غیر اینصورت تنها یک سرویس به سرویس های قبلی اضافه شده و ناکارآمد خواهد بود.

اما در ضرورت وجود این راهکارها در سازمانهای کشورمان باید گفت که بله. با توجه به اینکه کشور ما همواره، از گذشته تاکنون، در معرض تهدیدات و مخاطرات امنیتی مختلفی همچون حملات سایبری اخیر در جایگاه های سوخت، سازمان صدا و سیما و .... بوده است و خواهد بود، وجود این راهکارها درصورت وجود بلوغ امنیتی در سازمان بسیار ضروری و کاربردی است.


منبع: سایت کسپرسکی