اقرأ في هذا المقال
- تقنية XDR مقابل تقنية EDR
- الفرق بين تقنية XDR وتقنية MDR
- كيف تعمل تقنية XDR مع SIEM؟
- لماذا تحتاج الشركات إلى أمان XDR
يعد الاكتشاف والاستجابة الموسعة (XDR) امتدادًا طبيعيًا لمفهوم اكتشاف نقطة النهاية والاستجابة لها (EDR)، حيث يتم فحص السلوكيات التي تحدث بعد إجراء ضوابط منع التهديدات بحثًا عن نشاط قد يكون ضارًا أو مشبوهًا أو محفوفًا بالمخاطر يستدعي التخفيف، الاختلاف هو ببساطة الموقع نقطة النهاية أو ما بعده حيث تحدث السلوكيات.
تقنية XDR مقابل تقنية EDR
تم إنشاء (EDR) لتوفير حماية على مستوى المحيط لنظام ما، كان هذا تقدمًا في الأساليب الحالية حيث وفرت تغطية لمكون أساسي في الهجوم، وكانت النتيجة أمان نقطة النهاية الاستباقي الذي غطى العديد من الثغرات الأمنية والبقع العمياء، ومع ذلك، لا يزال الاستخدام الفعال لـ (EDR) يتطلب التعاون مع الأدوات والعمليات الأخرى، لا يمكنه حماية النظام بمفرده، كما أنه لا يمكنه توفير رؤية كاملة للنظام، بدلاً من ذلك، يمكن أن يوفر رؤية محدودة للإجراءات التي يتخذها المهاجمون على نقاط النهاية الخاصة بالمستخدم، إذا كان المستخدم يريد معرفة ما حدث خلال الهجوم، فأنت بحاجة إلى إحضار أدوات أخرى للمراقبة والكشف.
تم تصميم (XDR) لمليء فجوة المعلومات هذه، على عكس (EDR)، يمكن أن يوفر رؤية في كل مرحلة من مراحل الهجوم، من نقطة النهاية إلى الحمولة، حيث انه من خلال دمج (XDR) في نظام الأمان الأساسي الخاص بالمستخدم، كما يمكن تجميع المعلومات من جميع الأنظمة، يساعد هذا في تحديد صورة أكثر دقة للهجمات السابقة بالإضافة إلى الهجمات الجارية، هذا مهم بشكل خاص حيث تصبح الشبكات أكثر توزيعًا ويتم دمج المزيد من الخدمات الخارجية وتوفير الوصول إلى النظام.
- “XDR” هي اختصار لـ “extended detection and response”.
- “EDR” اختصار ل “Endpoint Detection And Response”.
الفرق بين تقنية XDR وتقنية MDR
يعد الاكتشاف والاستجابة المُدار (MDR) حلاً يوفر بديلاً عن مركز عمليات الكشف الداخلي، يوفر أدوات أمنية وخبراء أمنيين خارجيين يمكنهم حماية المؤسسة من التهديدات، يقدم موفرو (MDR) عادةً:
- مراقبة الشبكة والكشف عن الحوادث الأمنية من قبل محللي الأمن البشري.
- تتم إدارة التحقيق في الحوادث والاستجابة لها من قبل (SOC) التابع لمزود (MDR).
- تقنية الأمان مثل الأنظمة الأساسية (EDR،XDR،SIEM)، المنتشرة داخل بيئة المؤسسة ويديرها موفر (SOC).
حيث أن العنصر الأخير هو الفرق الرئيسي بين (MDR) وموفر خدمة الأمان المُدار التقليدي، من خلال نشر حلول الأمان المتقدمة في بيئة المؤسسة، يكتسب خبراء أمان (MDR) رؤية عميقة وتحكمًا دقيقًا في أصول تكنولوجيا المعلومات، مما يمكنهم من اكتشاف التهديدات والاستجابة لها بشكل فعال، كما يساعد كل من (MDR،XDR) فرق الأمن في التعامل مع الموارد المحدودة والتهديدات المتزايدة، من خلال القيام بذلك بطرق مختلفة:
- تكمل (MDR) فريق الأمن الداخلي: فهي تقدم (SOC) كخدمة تؤدي معظم المهام اللازمة لحماية الأصول الحيوية للمؤسسة، حيث انه في كثير من الحالات، سيوفر مزود (MDR) حل (XDR) كجزء من عروضه، ولكن سيتم تشغيل الحل من قبل موظفي (MDR) بدلاً من فرق الأمن الداخلية، كما يمكن أن يوفر ذلك وفورات كبيرة في التكلفة مقارنة بالحفاظ على تقنية (SOC،XDR) كاملة داخل الشركة.
- تعمل (XDR) على أتمتة مهام الأمان وتحسين إنتاجية المحللين: إذا احتفظت مؤسسة بمركز عمليات أمن داخلي، فيمكنها تحسين فعاليتها لاكتشاف التهديدات والاستجابة لها، كما توفر (XDR) الوقت لفرق الأمان، مما يسمح لهم بالتحقيق في التهديدات الحقيقية للأعمال التجارية والاستجابة لها.
يمكن أن يساعد كل من (MDR و XDR) المنظمة في تحديد التهديدات والاستجابة لها بشكل أكثر فعالية، ويبقى السؤال الرئيسي هو ما إذا كانت المنظمة قادرة على الحفاظ على مركز عمليات الأمن الداخلي وتنفيذ التقنيات الأمنية اللازمة، بالنسبة للمؤسسات التي بدأت للتو في بناء البنية التحتية الأمنية الخاصة بها، ستوفر (MDR) عادةً حلاً أكثر فعالية من حيث التكلفة وزيادة أسرع بشكل ملحوظ.
- “MDR” اختصار ل “Managed Detection and Response”.
كيف تعمل تقنية XDR مع SIEM؟
تُستخدم معلومات الأمان وإدارة الأحداث (SIEM) في معظم مراكز عمليات الأمان كمستودع مركزي لبيانات الأحداث الأمنية وطريقة لإنشاء تنبيهات من أحداث الأمان، حيث يمكن لـ (XDR) تمديد (SIEM) من خلال الاستفادة من بيانات (SIEM)، ودمجها مع البيانات من حلول النقطة التي تتكامل مع نظام (XDR) الأساسي.
يمكن أن تأخذ (XDR) (SIEM) خطوة أخرى إلى الأمام، على سبيل المثال، عندما تصدر منصة (SIEM) تنبيهًا، بدلاً من أن يقوم محللو الأمان بالانتقال يدويًا إلى أنظمة أمان نقطة النهاية أو أنظمة السحابة لمزيد من التحقيق، حيث يمكن لـ (XDR) القيام بذلك تلقائيًا، كما يمكنه دمج البيانات من (SIEM) مع بيانات الطب الشرعي من نقاط النهاية والموارد السحابية وإنشاء خطوة هجوم كاملة ويمكن للمحللين فهم النطاق الكامل للتهديد على الفور والرد عليه.
يتيح (XDR) أيضًا مزيدًا من التحليلات المتقدمة، كان (SIEM) يعتمد تقليديًا على قواعد الارتباط الإحصائي، بينما يقدم (XDR) التحليل المدفوع بالذكاء الاصطناعي الذي يحدد خطوط الأساس السلوكية، ويحدد الانحرافات بناءً على هذه الخطوط الأساسية، كما يمكن أن يضيف طبقة أخرى من التحليل لبيانات (SIEM)، مما يوفر المزيد من الوقت لمحللي الأمان وتحسين وقت الاكتشاف والاستجابة.
لماذا تحتاج الشركات إلى أمان XDR
تحتاج (SOCs) إلى نظام أساسي يجمع بذكاء جميع البيانات الأمنية ذات الصلة ويكشف عن خصوم متقدمين، نظرًا لأن الخصوم يستخدمون تكتيكات وتقنيات وإجراءات أكثر تعقيدًا للتحايل على ضوابط الأمان التقليدية واستغلالها بنجاح، فإن المؤسسات تسعى جاهدة لتأمين أعداد متزايدة من الأصول الرقمية الضعيفة داخل وخارج محيط الشبكة التقليدي، لقد تم إرهاق فرق الأمن تاريخيًا لسنوات، ومع متطلبات العمل من المنزل الأخيرة، تم تضخيم الضغط على الموارد يُطلب من المتخصصين في مجال الأمن مرة أخرى القيام بالمزيد بنفس الموارد أو أقل، ومع قيود صارمة على الميزانية، تحتاج الشركات إلى تدابير أمنية موحدة واستباقية للدفاع عن المشهد الكامل لأصول التكنولوجيا، والتي تشمل نقاط النهاية القديمة، والأجهزة المحمولة.
مع وجود جهات فاعلة سيئة بما في ذلك المهاجمون ومجموعات القرصنة والدول القومية، وحتى المطلعين الخبيثين الذين يحتمل أن يدوروا باستمرار، يُترك مديرو أمن الشركات والمخاطر للتغلب على العديد من أدوات الأمان غير المتصلة ومجموعات البيانات من العديد من البائعين، حيث يكافح موظفو الأمن مع بحر من البيانات ينتج عنه عبء تنبيه زائد، مع الكثير من الإيجابيات الخاطئة وقليل من تكامل البيانات مع أدوات التحليل أو الاستجابة للحوادث، وكل ذلك في ظل مستويات تاريخية من الإجهاد التشغيلي، كما يجب أن يأخذ قادة أمن المؤسسات وإدارة المخاطر في الاعتبار مزايا الأمان وقيمة الإنتاجية لحل (XDR).
