يمثل الكشف عن نقطة النهاية والاستجابة لها (EDR) توسعاً في قدرات الحماية المستخدمة في نقاط النهاية. للذهاب إلى ما هو أبعد من مكافحة البرامج الضارة تستخدم حلول EDR إمكانات إضافية. من هذه الإمكانات وضع قائمة التطبيقات المسموح بها ، كشف التسلل ، وتصفية محتوى الويب ، وجدار الحماية ، ومنع فقدان البيانات ، وغيرها ، عبر حلول متكاملة. يوفر EDR حماية أكثر شمولاً من الحماية التقليدية . بينما تُعتبر حلول الكشف و الاستجابة الموسعة نظام EDR بقدرات إضافية أو بكونه قائماً على SaaS.
تجمع حلول الكشف والاستجابة الموسعة البيانات وتربطها تلقائياً عبر طبقات أمان متعددة. تجمع مثلاً بيانات البريد الإلكتروني ونقطة النهاية و المخدم و السحابة الحاسوبية والشبكة. يسمح ذلك باكتشاف أسرع للتهديدات وتقليل أوقات التحقيق والاستجابة من خلال تحليل أكثر فعالية للمعلومات الأمنية . و تتنوع حلول الكشف والاستجابة الموسعة (XDR) بتنوع سطح الهجوم الحديث. يخلق ذلك حالة من عدم اليقين في أذهان مختصي الأمن السيبراني في الـ SOC المسؤولين عن حماية المؤسسة من التهديدات الإلكترونية.
حلول الكشف و الاستجابة الموسعة XDR
قد يكون التعريف الأكثر شيوعاً لـ XDR هو أنه امتداد طبيعي لاكتشاف نقطة النهاية والاستجابة (EDR). تتطلع فرق الأمن SOC إلى استفادة أكبر من حلول EDR إن كان بنموذجه التقليدي أو نموذج الخدمة المدارة (MDR). من هنا تبدأ رحلة XDR لمعظم المؤسسات. باختصار، إنه السعي لإيجاد حل فعال للحماية مع وجود سطح هجوم يتسع باستمرار خارج نطاق نقطة النهاية Endpoint.
باستخدام XDR نبحث مابعد محدودية نقطة النهاية. تتسع إمكانات الكشف والاستجابة لتشمل تقنياتمثل Office 365 و Google Workspace. و كذلك الهوية ، والبيئات السحابية ، وحتى أجهزة IoT / OT عبر شبكة الأعمال. يوفر ذلك رؤية أفضل للحالة الأمنية للمؤسسة ككل. تختلف المكونات المحددة لاستراتيجية XDR اعتماداً على احتياجات المنظمة. لكن هناك عدد من المتطلبات الأساسية الواجب تليتها حتى تكون استراتيجية XDR فعالة. لذلك ، إذا كنت ضمن فريق الـ SOC وتتساءل من أين تبدأ رحلة XDR الخاصة بك ، فإن هذا المقال الذي يشاركه روبودين معكم يقدم نظرة على متطلبات استراتيجية XDR الناجحة.
المتطلب 1: الرؤية الشاملة
لاكتشاف الحوادث والاستجابة لها بشكل فعال ، يجب أن تمتلك XDR الرؤية لجميع الأنظمة والشبكات ذات الصلة. يتضمن ذلك كلاً من الأنظمة المحلية و تلك السحابية، بالإضافة إلى نقاط النهاية Endpoint و المخدمات وحركة المرور على الشبكة. يجب أن يكون نظام XDR الأساسي قادراً على توفير تجربة استجابة موحدة. يشمل ذلك أجهزة العاملين عن بعد، والأجهزة المحمولة ، والأنظمة الأساسية السحابية ، والتطبيقات و ذلك للتنبؤ بالعمليات الضارة ومنعها وإنهائها. تعني الرؤية الشاملة الرؤية عبر نقاط النهاية Endpoint و مختلف نماذج العمل (عن بعد، هجين، و ضمن المكاتب) وأنظمة الهوية والسحابة والشبكة.
المتطلب 2: المعلومات الاستخبارية بشأن التهديدات
يتطلب XDR القدرة على استيعاب وأتمتة مجموعة واسعة من معلومات التهديدات. في كثير من الأحيان ، تتم مطابقة معلومات التهديد فقط مع البيانات التي تم إدخالها حديثاً. يؤدي ذلك إلى وجود فجوات في التغطية الأمنية والتهديدات التي لم يتم تطبيق تحديثاتها. يجب أن يكون الـ XDR قادراً على مساعدتك في تحديد أحدث التهديدات الناشئة ذات الصلة بمؤسستك عبر دفاع متعدد الطبقات. يتم ما سبق باستخدام المعلومات الاستخبارية بشأن التهديدات في البحث الاستباقي ودعم عمليات الاكتشاف.
المتطلب 3: أتمتة حلول الكشف و الاستجابة الموسعة
يجب أن يوفر حل XDR مراقبة شاملة عبر سطح الهجوم بالكامل. الغاية هي تحديد الأنماط واكتشاف التهديدات المحتملة على نطاق أوسع. و يتحقق ذلك عبر ربط الأحداث التي قد تبدو غير ضارة للتعرف على السلوكيات الضارة واتخاذ الإجراءات لمنع التهديدات أو إيقافها.
يجب أن تكون الحلول فعالة للغاية ضد التهديدات المعاصرة – خاصة التهديدات عالية التأثير مثل برامج الفدية – وقادرة على تقليل مخاطر النشاط الضار على الفور دون انتظار وقت معالجة إضافي أو تدخل بشري من المحللين الأمنيين. تضيف الحلول المتقدمة تحليلات تنبؤية لتمكين المدافعين من توقع الخطوات التالية للمهاجم وتقليل المخاطر بشكل استباقي.
المتطلب 4: أولوية التنبيه والحادث
يجب أن يُظهر حل XDR القدرة على نقل عمليات الأمان الخاصة بك من نموذج الأمان المرتكز على التنبيه إلى نموذج يركز على العمليات في مؤسستك. وكذلك الاستفادة من التنبيهات عالية الدقة لصد أي عملية خبيثة . كما أن تلك الحلول تكون قادرة على تجميع المكونات المنفصلة للهجوم معاً ، بما في ذلك جميع المستخدمين والأجهزة والهويات واتصالات الشبكة ، لبناء قصة هجوم شاملة و واقعية.
المتطلب 5: الاستجابة التلقائية
يجب أن يوفر حل XDR الفعال إطار عمل لاستجابة متعددة الطبقات ، بدءاً من المنع التلقائي للتهديدات مثل برامج الفدية إلى الاستجابة الموجهة بشأن ما يجب القيام به لكل جزء من أجزاء النشاط الضار المكتشف. يتضمن ذلك اتخاذ إجراءات استجابة مباشرة عبر نقاط النهاية و هويات المستخدمين identities والشبكات. يجب أن يكون المحللون قادرين على اتخاذ إجراءات المعالجة عن بُعد ، بما في ذلك عزل الجهاز المصاب، و كتابة الأوامر غن بعد ، كل ذلك من داخل واجهة بسيطة تسمح بإيقاف المهاجمين.
المتطلب 6:حلول الكشف و الاستجابة الموسعة – التكامل
عند تقييم حل XDR ، يجب أن يأخذ مختصو الأمن بعين الاعتبار التكامل مع نقطة النهاية ، ومساحة العمل workspace ، و معرفات المستخدمين identities ، والسحابة الحاسوبية ، والشبكة بشكل يتسق مع رؤية الشركة لأعمالها اليوم أو خططها المستقبلية.
المتطلب 7: الاستعداد للمستقبل
يجب أن يضع حل XDR في حسبانه أي أنشطة ضارة تضمنتها مؤشرات التسوية (IOCs) ومؤشرات السلوك (IOBs) وذلك لاكتشاف التهديدات في أقرب وقت ممكن. يسمح هذا للمؤسسات باكتشاف الهجمات التي لم يسبق أن واجهتها المؤسسة. يمكن لمنصة XDR التي تستفيد من حظر التهديدات المستندة إلى الذكاء الاصطناعي وتقنيات التعلم الآلي منع وكشف التهديدات المعروفة وغير المعروفة. هذا يعني أن لديك حماية جاهزة للمستقبل بغض النظر عن كيفية تطور هذه الهجمات.
كما نعلم فإن هناك دائماً ما يشبه لعبة القط و الفأر بين المدافعين السيبرانيين و بين منفذي الهجمات الذين يحاولون التخفي و التهرب من الكشف. يوفر XDR فرصة أفضل للمدافعين باستخدام نهج شامل للكشف والاستجابة. تجمع XDR البيانات وتربطها عبر طبقات أمان متعددة مما يوفر الجهد و الوقت عليهم و يوفر حماية أفضل للمؤسسة.