فناوری Extended Detection and Response يا XDR چیست؟

 XDR چیست ؟ XDR مخفف Cross-layered Detection and Response و به معنای تشخيص و پاسخ لايه‌ای است. XDR اطلاعات را از لایه‌های امنیتی مختلف، از جمله Endpointها، ایمیل، سرورها، Cloud Workloadها و شبکه عمومی جمع‌آوری كرده و مرتبط می سازد. اين راهكار رويكردی جديد به روش قديمی تشخيص حادثه و پاسخ به آن و جايگزينی برای آن است كه روند‌های تشخيص و پاسخ را در چندين محيط يكپارچه می سازد.

نحوه کارکرد XDR

تشخیص تهدیدهایی كه به‌خوبی طراحی شده‌اند، دشوار است، زیرا آن‌ها بین سیلوهای امنیتی فعاليت دارند. سيلوهای امنيتی شامل چندين رويكرد امنيتی است كه به طور موازی و نه لزوما با هم كار می كنند. اين تهديدها از آن جا كه می توانند مابين سيلوهای امنيتی كمين كنند، با گذشت زمان قادرند گسترش يا تكثير يابند. در نتیجه، ممکن است از توجه مرکز عملیات امنیتی SOC فرار كرده و در نهایت خسارت بیشتری وارد کنند.

XDR این تهدیدها را جداسازی نموده و از بین می‌برد، سپس هر تشخیص را با توجه به لایه‌های امنیتی جداگانه جمع‌آوری نموده و به یکدیگر مرتبط می‌سازد. هر لایه یک سطح حمله متفاوت از جمله Endpointها، ایمیل، شبکه، سرورها و Cloud Workloadها را نشان می‌دهد: روش‌های خاصی که راهکار XDR با آن‌ها از هر سطح حمله محافظت می‌کند در توضیحات ارائه‌دهنده XDR کاربر ذکر شده است.

Endpoint: مدیریت فعالیت Endpoint برای درک این که تهدیدی چگونه به داخل راه یافته و از یک Endpoint به Endpoint دیگر گسترش یافته ضروری است. با استفاده ازXDR، می‌توان با استفاده از جابجایی Endpoint شاخص‌های سازگاری یا IOC را جستجو کرده و سپس آن‌ها را با استفاده از اطلاعات جمع‌آوری شده از شاخص‌های حمله یا IOA شکار نمود.

یک سیستم XDR می‌تواند به شما بگوید که در یک Endpoint چه اتفاقی افتاده است و همچنین تهدید از کجا به وجود آمده و چگونه توانسته است در چندین Endpoint پخش شود. پس از آن XDR می‌تواند تهدید را جدا کرده، فرآیندهای لازم را متوقف کرده وفایل‌ها را حذف یا بازیابی کند.

ایمیل: ایمیل یکی از بزرگترین و پرکاربردترین سطوح حمله است، این امر آن را به یک هدف نرم تبدیل می‌کند و ممکن است راه‌حل‌های  XDR به شما در کاهش خطرات ناشی از یک سیستم ایمیل کمک کند. حتی اگر امنیت ایمیل با سیستم شناسایی و پاسخ مدیریت‌شده یا MDR نیز قابل کنترل باشد، XDR  به طور خاص وضعيت امنیت ایمیل را مشخص می‌کند.

XDR به عنوان بخشی از فرآیند Triage، می‌تواند تهدیدهای ایمیل را تشخیص داده و حساب‌های در معرض خطر را شناسایی کند. همچنین می‌تواند کاربرانی را که به طور مکرر مورد حمله قرار می‌گیرند و همچنین الگوهای حمله را شناسایی کند. XDR می‌ تواند تحقیق کند که چه کسی مسئول تهدید ناشی از پروتکل‌های امنیتی است و چه کسی می‌تواند ایمیل مورد نظر را دریافت کند.

برای پاسخ به حمله، XDR می تواند ایمیل را نگه دارد، حساب‌ها را بازنشانی کند و همچنین فرستندگان مسئول را Block  کند.

شبکه: تجزیه‌وتحلیل شبکه برای حملات و فرصت‌های حمله گام مهمی در برخورد تهاجمی با مسائل امنیتی است. با تجزیه و تحلیل شبکه، می توان رویدادها را فیلتر کرد، که به شناسایی نقاط آسیب‌پذیری مانند دستگاه‌های کنترل‌نشده و IoT کمک می‌کند. تهدیدات چه ناشی از جستجوهای Google، چه ایمیل و چه حملات منظم باشند، تجزیه و تحلیل شبکه می‌تواند آسیب پذیری اصلی را مشخص کند.

XDR می‌تواند رفتار مشکل‌ساز را در شبکه شناسایی کرده و سپس جزئیات مربوط به تهدید را از جمله نحوه برقراری ارتباط و نحوه حرکت در سراسر شرکت بررسی کند. این کار را می‌توان بدون در نظر گرفتن موقعیت تهدید در شبکه، از Edge Services Gateway یا  ESG گرفته تا یک سرور مرکزی انجام داد. سپس XDR می‌تواند اطلاعات مربوط به دامنه حمله را به مدیران گزارش دهد، بنابراین آنها قادر خواهند بود به سرعت راه حلی پیدا کنند.

سرورها و Workload Cloudها

محافظت از سرورها و زیرساخت‌های Cloud شامل مراحلی است که در سطح بالا، مشابه مراحل استفاده‌شده برای ایمن سازی Endpointهاست. تهدید باید مورد بررسی قرار گیرد تا مشخص شود که چگونه به شبکه وارد شده و چطور توانسته است گسترش پیدا کند.

XDR  به شما امکان جداسازی تهدیداتی را می دهد که به صورت سفارشی طراحی شده‌اند تا روی سرورها، کانتینرها و Cloud Workload تمرکز کنند. XDR بررسی می کند که چگونه تهدید بر حجم کار تأثیر می‌گذارد و نحوه انتشار آن در سیستم را بررسی می‌کند. سپس سرور را جدا کرده و فرایندهای لازم برای مهار تهدید را متوقف می کند. انزوای تهدید یکی از مولفه‌های اصلی کاهش زمان Recovery پس از حملات است.

به عنوان مثال، اگر تهدیدی از طریق Endpoint اینترنت اشیا به شبکه Cloud کاربر دسترسی پیدا کند، XDR می تواند محل ورود آن را شناسایی کند، سپس می توانید دلایل نقض امنیتی را برطرف کرده و از این اطلاعات برای تهیه یک طرح حمله استفاده کنید.

‌XDR همچنین می‌تواند به عنوان یک مجموعه موثر از محصولات امنیتی، به کاربر کمک کند تا دریابد که تهدید چه تاثیری بر Workload سرور دارد. اگرتهدید سرعت پردازش یا خراب شدن داده‌ها را کم کرده باشد، XDR  می تواند به کاربر بگوید که این اتفاق تا چه اندازه رخ داده است. این راهکار سپس می‌تواند هر فرآیندی را که گسترش تهدید را تسهیل می‌کند، متوقف کند. در یک محیط Cloud که مجموعه وسیعی از نقاط اتصال را پشتیبانی می کند، فرآیندهای متوقف کردن ممکن است از اتلاف اطلاعات زیاد یا تعلیق کامل بخش های مهم عملیات کاربر جلوگیری کنند.

سرورها و Cloud Workloadها

سیستم XDR می‌تواند اطلاعات را در یک Data Lake  مخزن متمرکز داده‌های خام وارد کند و جلوی تکثیر آن‌ها را بگیرد. ابتدا جابجایی لایه‌ای را برای شناسایی تهدیدها آغاز می‌کند، سپس آن‌ها را Hunt می کند، بررسی می‌کند و از بین می‌برد.

XDR و تشخیص تهدید به روش قدیمی

XDR با تشخیص تهدید به روش قدیمی از این نظر متفاوت است که هدف آن بطور خاص حل مشکلات ایجاد شده توسط رویکرد سیلویی است. یکی از روشهای XDR برای دسیلو کردن حمله، با تقسیم بندی سطوح حمله به دسته‌های اصلی آنها صورت می‌گیرد. با این روش، یک راهکار نسبتاً جامع برای ایمیل، شبکه ها، سرورها و بارهای Cloud دریافت می‌شود.

روش XDR نه تنها در تشخیص و شناسایی تهددیدها، بلکه در پاسخگویی به آنها نیز متفاوت است. برخی از سیستم‌های تشخیص تهدید صرفا آن را تشخیص می‌دهند و برای از بین بردن آن اقدام نمی‌کنند. بسته به نیاز کاربر، این جنبه از XDR ممکن است مفید نباشد، به ویژه اگر کاربر بخواهید در نحوه پاسخگویی به تهدیدات قدرت بیشتری داشته باشد.

 XDR می‌تواند ابزاری مفید برای مدیریت هشدارها نیز باشد. یک سیستم امنیتی ممکن است با طیف وسیعی از هشدارها همراه باشد و مدیریت آنها گاهی اوقات می‌تواند به اندازه پرداختن به تهدیدات کار ببرد. سیستم XDR می تواند هشدارهایی را تلفیق کند که اگرچه مطلوب است، اما ممکن است حاوی اطلاعات عملی نباشد. این به مدیران کمک می کند تا بر روی هشدارهای لازم برای مراحل نهایی تمرکز کنند.

از آنجا که XDR نه تنها تهدیدها را تشخیص می‌دهد بلکه به آنها  پاسخ  نیز می‌دهد،  تیم امنیتی می‌تواند با استفاده از XDR در وقت و منابع خود صرفه جویی کند. به عنوان مثال، اگر تیم IT می داند که چگونه می خواهد به هر تهدید پاسخ دهد، و راه حل XDR  این توانایی را دارد ، آنها می توانند چندین پایگاه را با استفاده از XDR برای شناسایی و جداسازی تهدیدها و همچنین متوقف کردن فرایندهای مشکل سازهمزمان پوشش دهند.

 XDR و تشخیص و پاسخ Endpoint یا  EDR

EDR با XDR از این جهت تفاوت دارد که E به طور خاص به Endpoint اشاره دارد، در حالی که X در XDR نشان می‌دهد که این راهکار رسیدگی به شبکه و Cloud را نیز در بر می‌گیرد. اگر کاربر در حال حاضر یک راه حل امنیتی برای شبکه و زیرساخت های Cloud خود داشته باشد، ممکن است بهتر باشد از یک راهکار EDR مانند FortiEDR استفاده کند. ممکن است سیستم XDR با راه حل امنیتی فعلی شبکه کاربر سخت ارتباط برقرار کند و اضافات ممکن است موانع بیشتری نسبت به فرصت ها داشته باشد.

 XDR و تجزیه و تحلیل ترافیک شبکه یا NTA

 XDR و NTA می توانند تهدیدها را تشخیص دهند، NTA بر روی شناسایی الگو تمرکز دارد و بنابراین می تواند پاسخی فوری به Packetهای داده‌ای بدهد که الگوی مورد انتظار را نقض می‌کنند. به عنوان مثال، اگر یک سرور به طور معمول از ایالات متحده، کانادا و برزیل ترافیک دریافت کند اما ناگهان شروع به دریافت ترافیک از روسیه نماید، می‌توان از یک سیستم NTA برای از بین بردن تهدید احتمالی استفاده کرد. اگر تهدیدهای سازمان کاربر با استفاده از این نوع تشخیص الگو جدا شود، NTA ممکن است راه حل بهتری نسبت به XDR باشد.

تفاوت XDR و SIEM در شناسایی تهدیدات

تفاوت XDR و SIEM این است که XDR از راه حل‌های پاسخگوی برخوردار است، اگرچه SIEM می تواند با راهکار پاسخ کار کند، اما بر شناسایی تهدیدها  متمرکز است و نه پاسخ دادن به آن‌ها. اگر کاربر بخواهید نحوه پاسخگویی در برابر تهدیدها را به صورت سفارشی طراحی کند، ممکن است راه حل SIEM مانند FortiSIEM گزینه بهتری نسبت به XDR باشد.

در بعضی موارد، XDR ممکن است تهدیدی را به طور خودکار شناسایی کرده و به آن پاسخ دهد حتی اگر آن تهدید خطری جدی ایجاد نکند. پاسخی زودرس از این قبیل می‌تواند به سازمان کاربر آسیب برساند. با SIEM، کاربر در تصمیم گیری در مورد نحوه پاسخگویی به هر تهدید آزاد است، که می‌تواند مانع از توقف یا مکث بی مورد عملیات شود.

 XDR و SOAR و پاسخگویی به تهدیدات 

در حالیکه XDR تمرکز خوبی بر شناسایی و پاسخگویی به تهدیدات در اکوسیستم خود دارد، SOAR می تواند کارهای زیادی را انجام دهد اما همچنین برای کمک به تنظیم پالیسی های امنیتی و گزارش گیری مورد استفاده قرار می گیرد. اگر پاسخ فوری کاربر به تهدیدها موثر باشد اما به سیستمی نیاز داشته باشد که به اجرای کلی سیاست‌های امنیتی کمک کند، راه حلی مانند FortiSOAR می تواند انتخاب بهتری نسبت به XDR باشد. پیاده سازی یک راه حل XDR در یک سیستم پاسخگوی تهدید موجود، ممکن است نیاز به زمان بیشتری نسبت به زمان در اختیار داشته باشد و تضمین نکند که نسبت به راه حل فعلی، نتایج بهتری به دست دهد.