ما هو XDR؟ تحويل كشف التهديدات والاستجابة

XDR هي مجموعة من التقنيات التي يمكن أن تساعد فرق الأمان في إجراء كشف أكثر فعالية عن التهديدات، بالإضافة إلى التحقيق السريع والاستجابة.

على عكس حلول الأمان من الجيل السابق، لا تقتصر XDR على مجال أمني واحد - بل تجمع البيانات من الشبكات، ونقاط النهاية، والبريد الإلكتروني، وأجهزة إنترنت الأشياء، والخوادم، وأحمال العمل السحابية، وأنظمة الهوية. تجمع البيانات من جميع طبقات بيئة تكنولوجيا المعلومات، وتغنيها بمعلومات التهديدات، للكشف عن التهديدات المعقدة والمراوغة.

تتمثل القيمة الأساسية لنظام XDR في أنه يوفر الكشف الآلي عن التهديدات والتحقيق فيها والاستجابة لها (TDIR) لمجموعة متنوعة من التهديدات. تُقدم حلول XDR عبر السحابة، وهي مناسبة للبيئات التكنولوجية الموزعة والمتنوعة. إنها حلول جاهزة للاستخدام تقدم قيمة فورية وتحسن من إنتاجية فرق الأمان.

الحاجة إلى أمان XDR

تحتاج مراكز العمليات الأمنية (SOCs) إلى منصة يمكنها توحيد جميع البيانات الأمنية ذات الصلة بذكاء لكشف المهاجمين المتقدمين. مع استخدام المهاجمين لتكتيكات وتقنيات وإجراءات أكثر تطورًا لاستغلال الثغرات وتجاوز الضوابط الأمنية التقليدية، تحتاج المؤسسات إلى حماية الأصول سواء داخل أو خارج محيط الشبكة.

نقص المهارات في الأمن السيبراني

نظرًا لنقص المهارات العالمية في مجال الأمن السيبراني، فإن فرق الأمان تعاني من نقص في عدد الموظفين وتعمل بجهد زائد. في الوقت نفسه، أصبحت البيئة الأمنية أكثر تعقيدًا، حيث أدت السحابة إلى ظهور مخاوف أمنية جديدة، وخلق الانتقال إلى العمل عن بُعد مجموعة جديدة من التحديات.

مجموعة أمان غير متناسقة

تحتاج المنظمات الأمنية إلى تدابير أمنية متكاملة واستباقية لحماية الأصول التكنولوجية عبر نقاط النهاية التقليدية، والأجهزة المحمولة، وأعباء العمل السحابية. إن إضافة المزيد من الحلول المنفصلة ليست حلاً قابلاً للتطبيق، لأن الفرق ستحتاج إلى تعلم والتصديق على كل أداة، مما سيؤدي إلى إنشاء المزيد من التنبيهات التي يجب مراجعتها والتحقيق فيها.

تعقيد التحقيقات الأمنية

نقطة ألم أخرى هي التعقيد المتزايد للتحقيقات الأمنية. يقوم العديد من مديري الأمن والمخاطر بتطبيق تقنيات البحث عن التهديدات، حيث يبحثون بنشاط عن الأفراد الخبيثين مثل المتسللين الداخليين، والمهاجمين المنفردين، ومنظمات القراصنة، والمهاجمين المدعومين من الدولة.

إن العمل مع أدوات الأمان المقدمة من البائعين والمعزولة يجعل من الصعب استكشاف البيانات واكتشاف التهديدات. كما أن هذه الأدوات تولد العديد من الإيجابيات الكاذبة ولا تتكامل بشكل جيد مع أدوات التحليل والاستجابة للحوادث.

أدت هذه التحديات إلى تطوير XDR. XDR هو حل لجميع هذه المخاوف، حيث يوفر حلاً واحداً متكاملاً يجمع البيانات من جميع أنحاء البيئة، مما يجعلها سهلة الوصول لمحللي الأمن من خلال واجهة مركزية واحدة.

ما هي القدرات الرئيسية لحلول XDR؟

يهدف XDR إلى تبسيط رؤية الأمان عبر النظام البيئي لتكنولوجيا المعلومات. ويحقق ذلك من خلال تقديم:

الرؤية الموحدة– يوفر XDR رؤية شاملة عبر نقاط النهاية والشبكات والبنية التحتية السحابية والأجهزة المحمولة، مما يمنح محللي الأمن بيانات حول الحوادث الأمنية المحتملة دون الحاجة لتعلم واستخدام أدوات أمان متعددة.

التكوين المركزي– يمكن تكوين إعدادات الأمان على منصة إدارة واحدة لكامل بيئة تكنولوجيا المعلومات، مما يسمح لفرق الأمان بتطبيق سياسات أمان متسقة عبر بنى تحتية مختلفة.

التحليلات المتقدمة المدمجة– من الضروري أن تحتوي أي حل XDR على التحليلات السلوكية. من الضروري لسهولة استخدام XDR القدرة على تحديد الأنشطة الطبيعية للمستخدمين والمجموعات والكيانات وإبراز أي انحراف.

الوقت لتحقيق القيمة– التركيز الرئيسي لحلول XDR هو تقديم القيمة على الفور وتخفيف الضغط عن فرق SOC. توفر XDR آليات كشف متكاملة وجاهزة للاستخدام ومجهزة مسبقًا لمجموعة من التهديدات. وهذا يسمح للمنظمات باستخراج القيمة بسرعة من استثماراتها في الأمن السيبراني.

زيادة إنتاجية المحللين– XDR يلغي الحاجة للمحللين الأمنيين للتنقل بين لوحات المعلومات المتعددة لجمع البيانات الأمنية يدويًا. وهذا يسمح لهم بالكشف عن التهديدات الأمنية والاستجابة لها بشكل أكثر فعالية. التحليلات السلوكية، بدلاً من الاعتماد فقط على القواعد والتوقيعات، ضرورية لتبسيط دقة الاستجابة مع تقليل التعب الناتج عن التنبيهات.

تكلفة الملكية الإجمالية (TCO) أقل– يوفر XDR منصة أمان شبكة متكاملة، والتي يمكن أن تقلل التكاليف المرتبطة بالتكوين الداخلي، والإدارة، ودمج الحلول الفردية.

تمكين المحللين– يوفر XDR تجربة إدارة موحدة وسير عمل عبر بنية الأمان في المؤسسة. هذا يقلل من متطلبات التدريب ويمكّن المحللين من المستوى الأول من التحقيق في الحوادث المعقدة دون تصعيدها إلى المحللين من المستويات الأعلى.

XDR تحمي النظام البيئي الأمني بالكامل.

دعونا نرى كيف تحمي XDR مختلف طبقات النظام البيئي لتكنولوجيا المعلومات:

حماية الشبكات

يمكن لنظام XDR اكتشاف السلوك غير الطبيعي في أي مكان في الشبكة وكشف معلومات تفصيلية حول كيفية تواصل التهديدات. يقوم النظام تلقائيًا بتصفية الحوادث لمساعدة الفرق الأمنية في تحديد الهجمات الحقيقية. تتلقى الفرق الأمنية معلومات استخباراتية حول مصدر الهجمات ونطاقها حتى تتمكن من الاستجابة بشكل أسرع.

حماية بنية البريد الإلكتروني

يكتشف نظام XDR التهديدات عبر البريد الإلكتروني ويحدد الحسابات المصابة. كما يمكنه اكتشاف أنماط الهجوم مثل المستخدمين الذين يتعرضون للهجوم بشكل متكرر، والمستخدمين الذين يمنحون المهاجمين الوصول عن طريق الخطأ، والمستخدمين الذين يتلقون رسائل بريد إلكتروني تصيدية. يمكن لنظام XDR عزل الرسائل الإلكترونية تلقائيًا، وإعادة تعيين الحسابات، وحظر المرسلين. ومن المهم أنه يربط بين الأنشطة البريدية الخبيثة والأحداث الأمنية التي تم اكتشافها في أنظمة أخرى.

حماية الأحمال العمل السحابية

يكتشف نظام XDR التهديدات المستهدفة ضد الخوادم السحابية، والحاويات، أو الأحمال الأخرى، ويحدد نقاط الوصول للتهديدات، ويحقق في تأثير التهديدات على الأحمال، ويفهم كيفية انتشارها عبر الشبكة.

يمكن لـ XDR اتخاذ إجراءات تلقائية لوقف التهديدات، على سبيل المثال من خلال تنفيذ تقسيم دقيق لعزل الأصول المصابة. في البيئات السحابية المعقدة أو العامة، مع العديد من نقاط الاتصال بين الموارد، يمكن أن يساعد ذلك في اكتشاف التهديدات مبكرًا ومنع خروقات البيانات الكارثية.

نظام رصد وكشف واستجابة مفتوح ومتكامل مقابل نظام XDR أصلي

XDR هو فئة جديدة من الحلول، وهناك نوعان رئيسيان من الهياكل المعمارية الناشئة، يُعرفان باسم XDR الأصلي وXDR المفتوح.

ما هو نظام XDR أصلي؟

نظام XDR أصلي هو حل يوفر نظام أمان مغلق، مع حلول أمامية تولد البيانات، وقدرات خلفية لتحليل البيانات وتدفقات العمل. لتوفير حل XDR أصلي، يجب أن يمتلك البائع جميع المستشعرات اللازمة لحالات الاستخدام الشائعة لاكتشاف التهديدات - بما في ذلك النقاط النهائية، والشبكة، والسحابة، والهوية، والبريد الإلكتروني. بالإضافة إلى ذلك، يجب على البائع توفير خلفية يمكنها دمج البيانات تلقائيًا وتمكين التحقيق السريع.

بائعو نظام XDR أصلي هم بائعو منصات يمتلكون مجموعة واسعة من أدوات الأمان، ويقومون بتوسيع محفظتهم لتقديم حل نظام XDR أصلي. يمكن أن يكونوا أيضًا بائعين لنظام EDR يقومون بتوسيع مجموعة حلولهم لتشمل مجالات أخرى في بيئة تكنولوجيا المعلومات، وإضافة ميزات خلفية مثل التحليلات ودمج البيانات.

ما هو نظام رصد وكشف واستجابة مفتوح ومتكامل؟

تركز حلول نظام رصد وكشف واستجابة مفتوح ومتكامل بشكل أساسي على التحليلات الخلفية ومحركات سير العمل. بدلاً من توفير أدوات واجهة أمامية خاصة بها، تتكامل مع البنية التحتية الأمنية وتكنولوجيا المعلومات الموجودة في مؤسستك، وتقوم بربط وتحليل جميع البيانات ذات الصلة. تركز قدراتها الخلفية على اكتشاف التهديدات والتحقيق والاستجابة (TDIR)، مما يتيح أتمتة وتحسين سير عمل TDIR لتمكين الاستجابة السريعة للحوادث.

يتعامل بائعو نظام رصد وكشف واستجابة مفتوح ومتكامل مع حالات التهديد الشائعة، حيث يقدمون محتوى أمني جاهز يغطي جميع مراحل دورة حياة TDIR - بدءًا من تحديد مؤشرات الاختراق (IoC)، مرورًا بتحديد أولويات التنبيهات، والتقييم والتحقيق المتعمق، والاستجابة المستهدفة.

مع تزايد تعقيد أنظمة الأمان داخل المؤسسات، يعمل XDR المفتوح كطبقة تحكم واحدة للعديد من المنتجات والموردين. وهذا يوفر رؤية ويتيح التنسيق والأتمتة للعمليات، مثل الجيل السابق من تكنولوجيا التنسيق والأتمتة الأمنية (SOAR). وهذا يستفيد من الاستثمارات الأمنية الحالية، بينما يحسن الإنتاجية لفرق مركز العمليات الأمنية (SOC)، ويقضي على سير العمل اليدوي الممل.

نظرة أقرب على كشف التهديدات، والتحقيق، والاستجابة (TDIR)

تقوم المنظمات باستثمار مبالغ كبيرة في أدوات الأمان الخاصة بها للبقاء خطوة واحدة أمام الخصوم المتطورين. توفر أدوات الأمان قدرات متقدمة، ولكن هذه القدرات عادةً لا تتماشى مع العمليات التي يستخدمها مركز العمليات الأمنية (SOC) للكشف عن التهديدات والاستجابة لها.

تتضمن هذه العملية، التي نسميها عملية الكشف عن التهديدات والتحقيق والاستجابة (TDIR)، عادةً الخطوات التالية:

1. التحضير وجمع البيانات 
2. الكشف عندما يحدث حدث
3. التصنيف والتعيين، عندما يتم تصعيد تنبيه
4. استجابة أولية
5. تشخيص متعمق و تحقيق
6. الرد النهائي وإغلاق الحادث
7. تحليل ما بعد الوفاة وتحليل الأسباب الجذرية (الاستفادة من الدروس المستفادة من الحوادث السابقة)

في العديد من مراكز العمليات الأمنية، تكون العملية المذكورة أعلاه غير محددة بشكل جيد أو غير متسقة. من المهم أيضًا أن ندرك أن هذه الخطوات قد تختلف بشكل كبير حسب فئات التهديدات المختلفة. نتيجة لذلك، يقوم محللون مختلفون بتطوير أساليب مختلفة للتحقيق والاستجابة لنفس التهديدات، مما يخلق فجوات، ويهدر الجهود، وغالبًا ما يؤدي إلى ضعف في الوضع الأمني.

أين تتناسب أدوات الأمان مثل SIEM؟

تُستخدم أدوات الأمان من قبل مراكز العمليات الأمنية (SOCs)، مثل أنظمة إدارة المعلومات والأحداث الأمنية (SIEM) التقليدية، لدعم وتحسين عملية TDIR. ومع ذلك، فإن هذه الأدوات مصممة لوظائف معقدة وتخصيصات، بدلاً من تحقيق نتائج لفئات تهديد محددة.

هذا يعني أن فرق الأمان يجب أن تبذل جهودًا كبيرة في التنفيذ والتخصيص لمواجهة التهديدات المحددة التي تواجه مؤسستهم. وغالبًا ما تعاني المشاريع الأمنية من تأخيرات طويلة في تحقيق القيمة، دون زيادة قابلة للقياس في التغطية ضد التهديدات الحرجة.

باعتبارها فئة ناضجة، تأثرت نظم إدارة معلومات الأمان (SIEM) حتمًا بـ "توسع النطاق". إن العروض الحالية لنظم SIEM تختلف بشكل كبير عن قدراتها الأولية. لقد زادت مجالات مثل تقارير الامتثال وSOAR من فائدة نظم SIEM ولكنها أيضًا زادت من تعقيد نشرها وإدارتها.

مواءمة أدوات الأمان مع عملية TDIR

يجب أن تتماشى أدوات الأمان الحديثة، وخاصة حلول XDR، مع عملية TDIR لتكون فعالة. ستوفر المنصات المتقدمة سير عمل شامل، مما يمكّن المنظمات من أتمتة العملية بالكامل لفئة تهديد معينة. سيمكن ذلك المنظمات من زيادة الكفاءة التشغيلية، وتسريع الوقت لتحقيق القيمة، وتحسين وضعها الأمني مع مرور الوقت.

حالات استخدام التهديدات: المفتاح للاستفادة من XDR

تقليديًا، قدمت المنظمات أدوات أمان يمكنها أتمتة مراحل مختلفة من عملية TDIR. على سبيل المثال، ساعدت بعض الأدوات في إعداد البيانات، وحسنت اكتشاف التهديدات، أو مكنت من أتمتة الاستجابة.

ومع ذلك، حاولت هذه الأدوات استهداف جميع أنواع التهديدات في وقت واحد. ليست جميع التهديدات متساوية - فقد يتضمن كل تهديد كيانات مختلفة، وأولويات مختلفة، وأنواع بيانات مختلفة، وأساليب كشف مختلفة، فضلاً عن أشخاص وعمليات وأدوات مختلفة مطلوبة للاستجابة الفعالة.

لهذا السبب، وجدت مراكز العمليات الأمنية (SOCs) التي حاولت تحسين العملية باستخدام نهج من اليسار إلى اليمين أن ذلك كان مرهقاً، ويتطلب أدوات متخصصة وتخصيصاً ضخماً، وغالباً ما كان غير فعال. حتى بعد الجهود المبذولة، لم تتمكن الأدوات الآلية من التعامل مع جميع أنواع التهديدات.

نهج جديد: التركيز على حالات استخدام التهديدات

نهج أكثر فعالية هو تحديد أنواع التهديدات وتطبيق التحسين والأتمتة لكل فئة تهديد، عبر دورة استجابة الحوادث. يمكن لمراكز العمليات الأمنية أن تبدأ بحالات استخدام بسيطة ولكن شائعة، ثم تنتقل إلى تهديدات أكثر تعقيدًا. ستبدو عملية التحسين على النحو التالي:

1. تحسين لمواجهة هجمات التصيد → الرجوع إلى الخطوات 1-7 أعلاه
2. تحسين لمواجهة هجمات البرمجيات الخبيثة → معالجة الخطوات 1-7 أعلاه
3. تحسين الحماية ضد هجمات الحقن → الرجوع إلى الخطوات 1-7 أعلاه
4. تحسين لزيادة الامتيازات → معالجة الخطوات 1-7 أعلاه
5. (وما إلى ذلك)

كيف يدعم البائعون تحسين قائم على حالات الاستخدام

لتسهيل أتمتة عمليات TDIR، يقدم بعض البائعين إرشادات محددة وتدفقات عمل للكشف عن التهديدات المحددة والاستجابة لها. يتطلب ذلك من البائع تعديل منتجه لتقديم نتائج لكل فئة من فئات التهديد.

يجب ألا يُجبر مستخدمو أداة الأمان على بناء عمليات الكشف والتصنيف والتحقيق والاستجابة الخاصة بهم باستخدام "قطع ليغو" التي يوفرها البائع. بدلاً من ذلك، يجب على البائعين تقديم محتوى مسبق التجهيز لكل حالة استخدام، يتناول عملية TDIR بالكامل، ويكون محددًا لفئة التهديد. يجب أن يتضمن هذا المحتوى المسبق التجهيز كل ما يحتاجه فريق الأمان للتعامل مع أنواع معينة من التهديدات وتحقيق تخفيف التهديدات بشكل متكرر وناجح.

حالات الاستخدام في حلول XDR

يجب أن يدعم XDR هذا النوع من تحسين الاستخدام، موفراً حلاً مغلقاً يشمل كامل سير عمل عمليات الأمن السيبراني. بغض النظر عن مستوى خبرة محللي SOC، يجب أن يكون XDR حلاً جاهزاً يتطلب الحد الأدنى أو عدم وجود إعدادات، مما يوفر وقتاً سريعاً لتحقيق القيمة.

يجب أن يكون محللو مركز العمليات الأمنية (SOC) قادرين على استخدام XDR من البداية إلى النهاية، دون الحاجة إلى ضبط دقيق لدعم سيناريوهات معينة. يجب أن يتناول XDR كل حالة تهديد ذات صلة بمحتوى جاهز يغطي عملية TDIR بالكامل. بدون هذه القدرة، لا يمكن لـ XDR تنفيذ قيمة عرضه بالكامل.

كيفية اختيار منصة XDR

تتمتع منصات XDR التجارية عمومًا بهياكل متشابهة وتستخدم عمليات مشابهة، لكنها قد تحتوي أيضًا على بعض الاختلافات المهمة التي يجب أن تأخذها في الاعتبار عند اختيار الحل. تقدم منتجات XDR المختلفة مستويات متفاوتة من جمع البيانات - على سبيل المثال، قد تركز بعض المنصات على بيانات النقاط النهائية بينما قد تعطي أخرى الأولوية لبيانات الشبكة.

لاختيار منصة XDR المناسبة لمنظمتك، يجب أن تأخذ في اعتبارك الأسئلة التالية:

• ما هو التوزيع الجغرافي للمستخدمين؟
• أين توجد خوادمك وبياناتك وتطبيقاتك؟ هل تعتمد أكثر على السحابة أم على مركز بيانات محلي؟
• هل لديك بيانات حساسة يجب أن تمر عبر شبكة غير موثوقة مثل الإنترنت العام؟
• من المسؤول عن التعامل مع صيد التهديدات واستخبارات التهديدات؟ هل يتبنى مزود XDR نهجًا استباقيًا؟
• ما هي قدرات الذكاء الاصطناعي التي تقدمها المنصة؟
• ما هو مستوى خبرة مزود الحلول الذي يقدم جمع بيانات قابل للتوسع، وتحليل سلوكي، وأتمتة، وإصلاح؟
• هل يتوافق نهج نظام رصد وكشف واستجابة مغلق أو نظام رصد وكشف واستجابة مفتوح ومتكامل مع بيئتك الحالية و/أو استراتيجيات الشراء لديك؟

عادةً ما تمتلك منصات XDR على مستوى المؤسسات فرقًا خاصة بها للكشف عن التهديدات يمكنها تحديد التهديدات الناشئة. تقوم هذه الفرق بجمع المعلومات الاستخباراتية المتعلقة بالتهديدات التي يمكن أن تساعد في إبلاغ السياسات الأمنية الآلية، والتي يتم دمجها في أدوات الأمان. يجب أن تكون قادرة على اكتشاف التهديدات بسرعة وإنشاء سياسات مناسبة للتخفيف منها - على سبيل المثال، لتحديد والاستجابة لاستغلالات يوم الصفر.

قد تركز القدرات المتكاملة للذكاء الاصطناعي على اكتشاف التهديدات، وتقليل الإيجابيات الكاذبة، وتحليل الأسباب الجذرية للتهديدات، واكتساب رؤى للتصحيح. اعتمادًا على أولوياتك، يمكن أن تساعدك هذه القدرات في توفير الوقت عند التحقيق في التهديدات والاستجابة لها.

الرصد والكشف والاستجابة الموسعة

Fusion XDR، وهو حل موفر عبر السحابة، يتبنى نهجًا قائمًا على النتائج ويقدم سير عمل موصوف مسبقًا ومحتوى محدد للتهديدات لتقديم الكشف عن التهديدات والتحقيق والاستجابة (TDIR) بكفاءة. تتكامل الحلول مسبقة البناء مع مئات من أدوات الأمان التابعة لجهات خارجية، وتجمع تحليلات سلوكية رائدة في السوق بين الإشارات الضعيفة من منتجات متعددة وفهم السلوك الطبيعي للتشغيل للعثور على التهديدات المعقدة التي تفوتها الأدوات الأخرى. تمكّن سير العمل الموصوف مسبقًا والمحتوى المعبأ مسبقًا الذي يركز على أنواع التهديدات المحددة مراكز العمليات الأمنية (SOCs) من تحقيق نتائج TDIR أكثر نجاحًا. تعمل أتمتة أنشطة الفرز والتحقيق والاستجابة من خلال لوحة تحكم مركزية واحدة على تعزيز إنتاجية المحللين وتقليل أوقات الاستجابة.