بررسی PAM و دلایل نیاز به آن
1403/09/26
Extended Detection and Response که به اختصار XDR نامیده میشود، یک پلتفرم یکپارچه مدیریت رویدادهای امنیتی است که از هوش مصنوعی و خودکارسازی استفاده میکند. این فناوری به سازمانها روشی جامع و کارآمد ارائه میدهد تا در برابر حملات پیشرفته سایبری از خود محافظت کرده و به آنها پاسخ دهند. امروزه شرکتها به طور فزایندهای در محیطهای Multicloudو Hybrid فعالیت میکنند، جایی که با چشماندازی متغیر از تهدیدات سایبری و چالشهای امنیتی پیچیده مواجه هستند. پلتفرمهای XDR پوشش گستردهای ارائه میدهند تا از انواع پیشرفتهتری از حملات سایبری محافظت کنند. این پلتفرمها قابلیتهای تشخیص، تحقیق و پاسخدهی را در حوزههای گستردهتری از جمله نقاط پایانی سازمان، هویتهای ترکیبی، برنامهها و بارهای کاری ابری، ایمیلها و ذخایر داده یکپارچه میکنند. همچنین، با ارائه دیدگاه پیشرفته نسبت به زنجیره حملات سایبری، خودکارسازی و تحلیل مبتنی بر هوش مصنوعی و اطلاعات جامع تهدید، کارایی عملیات امنیتی (SecOps) را افزایش میدهند. به کمک XDR، سازمانها میتوانند دیدی گسترده و متمرکز نسبت به تمامی نقاط آسیبپذیر سیستمهای خود داشته باشند و با بهرهگیری از قابلیتهای هوشمند، به تهدیدات سایبری به صورت سریع و دقیق پاسخ دهند. این راهکار نه تنها زمان شناسایی و پاسخدهی به حملات را کاهش میدهد، بلکه ریسک حملات موفقیتآمیز را نیز به طور قابل توجهی کم میکند.
XDR چگونه کار میکند؟
تهدیدهای پیچیده و پیشرفته اغلب به سختی قابل شناسایی هستند، زیرا در فضای بین ابزارها و سیستمهای امنیتی مجزا فعالیت میکنند. این ابزارها که به آنها سیلوهای امنیتی (Security Silos) گفته میشود، به صورت موازی کار میکنند اما لزوماً با یکدیگر هماهنگ نیستند. تهدیدها با بهرهگیری از این عدم هماهنگی، در این فضاهای خالی پنهان میشوند و به مرور زمان گسترش پیدا میکنند یا خود را تکثیر میکنند. این نوع تهدیدها معمولاً از دید تیمهای مرکز عملیات امنیتی (SOC) پنهان میمانند و بدون جلب توجه، میتوانند خسارات بیشتری به زیرساختهای سازمان وارد کنند . XDR با شناسایی و ایزوله کردن این تهدیدها، آنها را به دقت تجزیه وتحلیل میکند. این فناوری ابتدا تمامی دادههای شناسایی شده را جمعآوری کرده و سپس آنها را بر اساس لایههای مختلف امنیتی همبسته و مرتبط میسازد. هر یک از این لایهها نمایانگر یک سطح متفاوت از حمله هستند که شامل موارد زیر میشوند:
- نقاط پایانی
مدیریت فعالیتهای نقطه پایانی برای درک نحوه دسترسی تهدید به سیستم و گسترش آن از یک نقطه پایانی به دیگری ضروری است. با XDR، میتوانید از جستجوی نقاط پایانی برای شناسایی شاخصهای نقض (IOC) استفاده کنید و سپس آنها را با اطلاعات جمعآوری شده از شاخصهای حمله (IOA) شناسایی کنید. یک سیستم XDR میتواند به شما بگوید در یک نقطه پایانی چه اتفاقی افتاده است، تهدید از کجا آمده و چگونه توانسته از یک نقطه پایانی به نقطه پایانی دیگر گسترش یابد. سپس XDR میتواند تهدید را ایزوله کرده، فرایندهای لازم را متوقف کند و فایلها را حذف یا بازگردانی کند.
- ایمیل
ایمیل یکی از بزرگترین و پرکاربردترین سطوح حمله است. این ویژگی آن را به هدفی آسان برای حمله تبدیل میکند و راه حلهای XDR میتوانند به محدود کردن خطرات ناشی از سیستم ایمیل کمک کنند. حتی اگر امنیت ایمیل با سیستمهای مدیریت تشخیص و پاسخ نیز قابل مدیریت باشد، XDR به طور خاص بر امنیت ایمیل متمرکز است. XDR میتواند تهدیدات ایمیلی را شناسایی کرده و حسابهای در معرض خطر را شناسایی کند. همچنین میتواند کاربرانی که به طور مکرر مورد حمله قرار گرفتهاند و الگوهای حمله را شناسایی کند. XDR میتواند بررسی کند که چه کسی مسئول عبور تهدید از پروتکلهای امنیتی بوده و چه کسانی ممکن است ایمیل مورد نظر را دریافت کرده باشند.
- شبکه
تحلیل شبکه برای شناسایی حملات و فرصتهای حمله گام مهمی در مقابله با مسائل امنیتی است. با تجزیه و تحلیل شبکه، رویدادها قابل فیلتر شدن هستند که به شناسایی نقاط آسیبپذیری، مانند دستگاههای مدیریت نشده و اینترنت اشیاء (IoT)، کمک میکند. چه تهدیدها از جستجوهای گوگل، ایمیل یا حملات هماهنگ شده نشأت گرفته باشند، تجزیه و تحلیل شبکه میتواند آسیبپذیری زیرین را شناسایی کند. XDR میتواند رفتارهای مشکلساز را در داخل شبکه شناسایی کرده و سپس جزئیات تهدید، از جمله نحوه ارتباط آن و نحوه حرکت آن در سراسر شرکت، را بررسی کند. این کار میتواند بدون توجه به موقعیت تهدید در شبکه، از یک ESG تا یک سرور مرکزی انجام شود. سپس XDR میتواند به مدیران گزارش دهد که حمله تا چه حد گسترده بوده است تا آنها بتوانند سریعاً راه حلی پیدا کنند.
- سرورها و بارهای کاری ابری
حفاظت از سرورها و زیرساخت ابری شامل مراحلی مشابه با آنچه برای ایمنسازی نقاط پایانی استفاده میشود، هستند. تهدید باید مورد بررسی قرار گیرد تا مشخص شود چگونه وارد شبکه شده و چگونه قادر به گسترش بوده است.XDR به شما این امکان را میدهد که تهدیدهایی که به طور خاص برای تمرکز بر روی سرورها، کانتینرها و بارهای کاری ابری طراحی شدهاند، ایزوله کنید. سپس XDR بررسی میکند که تهدید چگونه بر بار کاری تأثیر میگذارد و چگونه در سراسر سیستم گسترش مییابد. سپس سرور ایزوله شده و فرایندهای لازم برای محدود کردن تهدید متوقف میشوند. ایزوله کردن تهدید یکی از اجزای کلیدی برای کاهش زمان میانگین بازیابی پس از حملات است. برای مثال، اگر تهدیدی از طریق یک نقطه پایانی IoT به شبکه ابری شما دسترسی پیدا کند، XDR میتواند تشخیص دهد که تهدید از کجا آمده است. سپس میتوانید دلایل بروز نقض امنیت را بررسی کرده و از این اطلاعات برای طراحی یک برنامه مقابله استفاده کنید.
مزایای استفاده از XDR:
امروزه سازمانها با تهدیدات پیشرفتهای مواجه میشوند. این تهدیدات از تدابیر پیشگیری در نقاط پایانی عبور کرده و برای هفتهها یا ماهها در شبکه پنهان میمانند. سازمانها خود را با تعداد زیادی ابزار و فناوری امنیت سایبری تجهیز کردهاند تا با این تهدیدات مقابله کنند و بردارهای حمله یا روشهایی که مجرمان سایبری برای راهاندازی این حملات استفاده میکنند، مسدود کنند. برخی از این ابزارها بر لایههای خاص زیرساخت تمرکز دارند؛ برخی دیگر دادههای لاگ و تله متری را از لایههای مختلف جمعآوری میکنند. در بیشتر موارد، این ابزارها جدا از هم عمل میکنند و با یکدیگر ارتباط ندارند. این امر باعث میشود تا تیمهای امنیتی مجبور شوند هشدارها را به صورت دستی مرتبط کرده و حوادث واقعی را از هشدارهای اشتباه جدا کنند و حوادث را بر اساس شدت اولویتبندی کرده و به طور دستی هماهنگ کنند تا تهدیدات را کاهش دهند و آنها را رفع کنند. با از میان برداشتن مرزها و محدودیتهای موجود میان راهحلهای نقطهای که هر یک تنها بر لایههای خاصی تمرکز دارند، XDR به تیمهای امنیتی و مراکز عملیات امنیتی (SOC) امکان میدهد تا دیدی جامع و یکپارچه به تهدیدات داشته باشند. این دیدگاه یکپارچه به آنها کمک میکند تا تهدیدات را سریعتر شناسایی کنند، با سرعت بیشتری به آنها پاسخ دهند و روند رفع آنها را به مراتب سریعتر کنند، در نتیجه میزان آسیبهای ناشی از این تهدیدات به حداقل میرسد.
XDR با یکپارچه سازی ابزارهای امنیتی متعدد در یک پلتفرم هماهنگ و یکپارچه برای شناسایی و پاسخ به حوادث امنیتی، ارزش افزوده ایجاد میکند. از جمله مزایای اصلی XDR میتوان به موارد زیر اشاره کرد:
- یکپارچه سازی حجم زیادی از هشدارها به تعداد محدودتری از حوادث که امکان اولویتبندی آنها وجود دارد و میتوان آنها را برای بررسی دقیقتر و همچنین به صورت دستی بررسی کرد.
- ارائه گزینههای یکپارچه پاسخ به حوادث که امکان حل و رفع سریع هشدارها را فراهم میکند.
- ارائه گزینههای پاسخ دهی که فراتر از نقاط کنترل زیرساختی بوده و شامل شبکه، ابری و نقاط پایانی میشود تا حفاظت جامعتری ارائه دهد.
- خودکارسازی وظایف تکراری برای بهبود بهرهوری.
- فراهم کردن تجربهای مشترک برای مدیریت و جریان کاری در سراسر اجزای امنیتی، که باعث افزایش کارایی میشود.
به طور کلی، مزایای اصلی XDR شامل بهبود قابل توجه در حفاظت، شناسایی و تواناییهای پاسخدهی به تهدیدات امنیتی، افزایش بهرهوری و کارایی تیمهای امنیتی عملیاتی و همچنین کاهش هزینههای کلی مالکیت در فرآیند تشخیص و پاسخ به تهدیدات امنیتی به طور مؤثر است. این مزایا به سازمانها کمک میکند تا با سرعت بیشتری به تهدیدات واکنش نشان دهند و آسیبهای ناشی از حملات سایبری را به حداقل برسانند، در حالی که منابع امنیتی را به شیوهای بهینه تر مدیریت میکنند.
چرا کسبوکارها به XDR نیاز دارند؟
XDR با هماهنگ سازی ابزارهای امنیتی پراکنده، فرآیندهای تجزیه و تحلیل، تحقیق، و پاسخدهی به تهدیدات را یکپارچه و ساده میکند. این رویکرد مزایای قابلتوجهی برای سازمانها به همراه دارد، از جمله:
- Consolidated threat visibility
امنیت XDR دادههای ناشناس را در یک نقطه پایانی همراه با ارتباطات شبکه و برنامهها فراهم میکند. این اطلاعات شامل مجوزهای دسترسی، فایلهای دسترسیشده و برنامههای در حال استفاده است. دید کامل از سیستم شما به شما این امکان را میدهد که حملات را سریعتر شناسایی و مسدود کنید.
- Improved prevention capabilities
هوش تهدید و یادگیری ماشینی تطبیقی امکان پیکربندی و تقویت متمرکز را فراهم کرده و راهنماییهایی برای جلوگیری از حملات احتمالی ارائه میدهد.
- Effective response
جمعآوری و تحلیل گسترده دادهها به تیمهای امنیتی این امکان را میدهد که مسیر حمله را ردیابی کرده و اقدامات مهاجم را بازسازی کنند. (که احتمال شناسایی مهاجمان را افزایش میدهد). این دادهها همچنین اطلاعات ارزشمندی ارائه میدهند که میتوانید از آنها برای تقویت دفاعیات خود استفاده کنید.
- Greater control
توانایی مسدود کردن و لیست کردن ترافیک و فرایندها اطمینان میدهد که تنها اقدامات و کاربران تأیید شده میتوانند وارد سیستم شما شوند.
- Enhanced productivity
متمرکز کردن هشدارها حجم آنها را کاهش داده و دقت آنها را افزایش میدهد، که به این معناست که هشدارهای false positive کمتری برای بررسی وجود خواهد داشت.
- Restore hosts after a compromise
XDR با ارائه قابلیت حذف فایلها و کلیدهای رجیستری مخرب و همچنین بازگردانی فایلها و کلیدهای رجیستری آسیبدیده بر اساس پیشنهادات اصلاحی، به تیمهای امنیتی این امکان را میدهد تا به سرعت اثرات حمله را برطرف کرده و سیستمها را به حالت امن بازگردانند.
ویژگیهای کلیدی XDR
پلتفرمهای XDR فرآیند شناسایی و مقابله با تهدیدات سایبری را در سراسر داراییهای دیجیتال یک سازمان هماهنگ میکنند. این پلتفرمها با یکپارچه سازی ابزارهای امنیتی مختلف در قالب یک سیستم یکپارچه، به طور مؤثر و بدون وقفه حملات سایبری را شناسایی و متوقف میکنند. همچنین با حذف موانع ناشی از سیلوهای امنیتی سنتی(Security Silos)، سطح حفاظت در برابر تهدیدات سایبری را به طور قابل توجهی ارتقا میدهند. در ادامه به پنج ویژگی کلیدی XDR اشاره شده است:
- Incident-based investigation
- Automatic disruption of advanced cyberattacks
- Cyberattack chain visibility
- Auto-healing of affected assets
- AI and machine learning
اجزای XDR:
XDR چندین محصول امنیتی را در یک پلتفرم ابری واحد ترکیب میکند که به طور پیشگیرانه از تهدیدات سایبری محافظت میکند. یک پلتفرم XDR معمولاً شامل اجزای کلیدی زیر است:
Endpoint detection and response tools
ابزارهای EDR فعالیتهای مختلف در نقاط پایانی مانند تلفنهای همراه، لپتاپها و دستگاههای اینترنت اشیاء (IoT) را نظارت میکنند . EDR به سازمانها کمک میکند تا فعالیتهای مشکوک را که از دست نرمافزارهای آنتیویروس فرار کردهاند، شناسایی، تجزیه و تحلیل، تحقیق و پاسخ دهند.
AI and machine learning
پلتفرمهای XDR از جدیدترین قابلیتهای هوش مصنوعی و یادگیری ماشین برای شناسایی خودکار ناهنجاریها، اولویتبندی تهدیدات فعال و ارسال هشدارها استفاده میکنند. آنها همچنین تحلیل رفتار کاربران و نهادها را برای فیلتر کردن هشدارهای کاذب ارائه میدهند.
Other threat detection and response tools
قابلیتهای امنیت ایمیل و حفاظت از هویت، از حسابهای کاربری و ارتباطات در برابر دسترسی غیرمجاز، از دست دادن یا به خطر افتادن محافظت میکنند. ابزارهای امنیت ابری و امنیت دادهها به محافظت از سیستمها و دادههای مبتنی بر ابر در برابر آسیبپذیریهای داخلی و خارجی، مانند حوادث نقض دادهها، کمک میکنند.
A security analytics engine
یک موتور تحلیلی پیشرفته که از هوش مصنوعی و خودکارسازی بهره میبرد، برای پردازش و جستجو در حجم زیادی از هشدارهای امنیتی مختلف استفاده میشود. این موتور قادر است هشدارهای سطح پایین و پراکنده را به حوادث امنیتی مرتبط کرده و آنها را به یک تصویر جامع و مرتبط تبدیل کند. این فرآیند به تحلیلگران امنیتی کمک میکند تا تهدیدات را سریعتر شناسایی و واکنشهای مناسب را آغاز کنند. علاوه بر این، این موتور تشخیصها را با اطلاعات تهدید سایبری غنی میکند؛ اطلاعات دقیق، متنی و زمینهای که مربوط به حملات در حال انجام و تهدیدات دیگر است. این دادهها نه تنها شامل جزئیات حملات و اقدامات مخرب فعلی میشوند، بلکه به تحلیل تهدیدات و ریشههای آنها نیز کمک میکنند. هوش تهدید استفاده شده در این سیستمها هم به طور داخلی در پلتفرمهای XDR گنجانده شده و هم از منابع جهانی خارجی جمعآوری میشود. این روش ترکیب اطلاعات داخلی و خارجی باعث میشود که XDR توانایی شناسایی و مقابله با تهدیدات پیچیده و جدید را به طور مؤثر داشته باشد، چرا که میتواند از دادههای به روز و جامع برای تجزیه و تحلیل دقیقتر تهدیدات بهره ببرد.
Data collection and storage
یک زیرساخت داده امن و مقیاسپذیر به سازمانها این امکان را میدهد که حجم زیادی از دادههای خام را به طور مؤثر جمعآوری، ذخیره و پردازش کنند. این زیرساخت باید قابلیت اتصال به منابع داده مختلف را داشته باشد، از جمله برنامهها و ابزارهای شخص ثالث در محیطهای ابری، محلی و هیبریدی. علاوه بر این، باید از انواع مختلف دادهها و فرمتهای متنوع پشتیبانی کند تا امکان مدیریت و استفاده بهینه از دادهها فراهم شود. این ویژگیها به سازمانها کمک میکند تا از اطلاعات به دست آمده بهرهبرداری مناسبی داشته باشند و تحلیلهای دقیقی انجام دهند.
Automated response playbooks
playbookها مجموعهای از اقدامات اصلاحی هستند که تیمهای امنیتی میتوانند از آنها برای خودکارسازی و هماهنگ سازی پاسخهای خود به تهدیدات استفاده کنند. playbookها میتوانند به صورت دستی در پاسخ به انواع خاصی از حوادث یا هشدارها اجرا شوند یا به طور خودکار زمانی که توسط یک قاعده خودکارسازی فعال شوند، اجرا گردند.
