شرکت فرا کامپیوتر
شرکت فرا کامپیوتر

دریافت پشتیبانی

info@faracomputer.com

  1. صفحه اصلی
  2. راهکارهای XDR

Extended Detection and Response یا XDR چیست؟

همانطور که از اسم این سرویس مشخص است، وظیفه آن تشخیص و پاسخ به تهدیدات امنیتی است و این وظیفه را با مجتمع کردن اطلاعات دریافتی از چندین محصول امنیتی و در لایه های مختلف شبکه انجام میدهد.

هدف اصلی این سرویس ساده سازی روال کاری متخصصان امنیتی است بطوریکه به جای کار با چندین محصول امنیتی و تحلیل حجم عظیمی از لاگ ها توسط نیروی انسانی، این فرآیند به صورت اتوماتیک انجام شود و به شکلی ساده تر یک نمای کامل و کلی از وضعیت امنیت یک سازمان ارائه کند و در نهایت نتیجه ای بهتر، واقعی تر و سریع تر در اختیار تیم متخصص فنی قرار دهد.

یک نمونه کوچک از XDR، همان EDR ها هستند که تنها در لایه ی Endpoint عملیات تشخیص و پاسخ به تهدیدات را میدهند.

از مزایای اصلی XDR میتوان به موارد زیر اشاره کرد:

  •    بهبود عملکرد و سرعت در سه بخشprotection ، Detection و  Response
  •    شناسایی تهدیدات پیچیده و عمیق
  •    ریشه یابی و رصد تهدیدات در تمامی لایه ها از جمله: Endpoint, Email, Network, Cloud workload
  •    بهبود بهره وری عملکرد تیم متخصص امنیتی با کاهش false positive ها و محدود کردن اخطارها به اخطارهای واقعا بحرانی

همانطور که گفته شد ویژگی ارزشمند XDR بهبود عملکرد تجهیزات امنیتی با افزایش دقت در تشخیص و پاسخ به تهدیدات به همراه کنترل تمامی لایه های امنیتی و جمع آور آنها در یک ابزار است. XDR علاوه بر تشخیص حملات پیچیده و عمیق از ایجاد اخطار های غیر ضروری جلوگیری میکند و تنها زمانی اخطار ایجاد میکند که واقعا یک تهدید امنیتی رخ داده و تیم امنیتی به سرعت باید پاسخ و با آن تهدید مقابله کند.

XDR افزونه ای به SIEM :
سامانه SIEM تا حد زیادی از وظایف XDR را انجام میدهد با این تفاوت که در آن از هوش مصنوعی، Threat intelligence استفاده نمی شود، بنابراین در اخطار های تولید شده امکان false positive وجود دارد. لذا میتوان گفت که XDR به کمک SIEM می آید و فرآیند آن را بهبود میبخشد و علاوه بر کاهش میزان خطا، امکان پاسخ به تهدیدات بر اساس استانداردهای دنیا را دارد.

چرا سازمانی های Enterprise باید از XDR استفاده کنند؟

سازمان های enterprise هدف اصلی حملات هدفمند هستند بنابراین از ابزارهای زیادی در لایه های مختلف برای رصد و تامین امنیت سازمانی استفاده میکنند و تیمی به نام SOC تشکیل میدهند که وظیفه آن بررسی لاگ های تمام ابزارهاست. میزان لاگ ها و اخطار هایی که به صورت false positive ایجاد میشوند بسیار زیاد است و کیفیت و سرعت کار تیم SOC را کاهش میدهد و این تیم به صورت موثر و به موقع نمیتواند حملات هدفمند و عمیق را که از لایه های مختلف نفوذ میکنند، تشخیص دهد.

چالش های تیم SOC:

به طور متوسط ۲ میلیون EVENT در روز برای شبکه با ۱۰۰۰ کاربر توسط SIEM تولید می شود.

محصولات مختلف امنیتی لاگ های متفاوتی ایجاد میکنند که پیدا کردن ارتباط میان آنها کار سختی است.

تیم SOC متوجه وقوع حمله شده است اما نمیداند باید به دنبال چه چیزی بگردد و روند وقوع حمله را شناسایی تا نقاط آسیب پذیر را برای جلوگیری از حمله مجدد برطرف کند.

نتیجه تمامی چالش های بالا این اس که یک تهدید مدت ها ناشناس باقی می ماند یا اینکه مدت زمان پاسخ به تهدید به اندازه ای افزایش می یابد که حمله بارها تکرار میشود.

بنابراین ابزاری که به کمک تیم SOC می آید باید ابتدا نسبت به جمع آوری لاگ ها و اخطار ها از تمامی ابزار ها در همه لایه ها اقدام کند و با ایجاد همبستگی و شناسایی تمامی الگوی های رفتاری حملات پیچیده و هدفمند با کمترین میزان False positive مسیر حمله را شناسایی و به تیم SOC اخطار دهد، همچنین اقدام اتوماتیک جهت مقابله با حمله را انجام دهد. این ابزار همان XDR است.