/Rectangle%20239.png?width=13&height=13&name=Rectangle%20239.png){kind=small}
يُعرَض الـ XDR (eXtended Detection and Response) ويُبرز كحلاً نهائيًا للأمن، يُجيب على جميع المشكلات التي لا يمكن للأدوات التقليدية مثل نظام معلومات أمن الحوسبة السحابية (SIEM)، ونظام الكشف والاستجابة (EDR)، أو نظام الاستجابة والتحليل التلقائي للأمن (SOAR) التعامل معها. وهذا يؤدي في كثير من الأحيان إلى الاستنتاج بأن هذه الأدوات التقليدية قد أصبحت قديمة ويجب التخلص منها لتبدل بالـ XDR، الذي يظهر كأساسي لمواجهة التهديدات المعلوماتية الحالية والمستقبلية. وبالتالي، يُعتبر الـ XDR تكنولوجيا حقيقية مُقَلِّبة قادرة على استبدال جميع أجهزة الكشف والاستجابة الموجودة.
ومع ذلك، يُعتبر الحجج المُقَدَّمة لتبرير هذه الثورة التكنولوجية غالبًا ما تكون قابلة للنقاش، ومن بين الحجج الأكثر شيوعًا نجد مثلاً:
- أن الـ XDR قادر على جمع وربط البيانات من مصادر مختلفة مثل الأجهزة النهائية والشبكة والسحابة - وهذه بالضبط إحدى الوظائف الرئيسية لنظام معلومات أمن الحوسبة السحابية (SIEM).- أن الـ XDR قادر على تقديم إنذارات عالية الدقة (قليل من الإيجابيات الزائفة) بفضل الذكاء الاصطناعي - وهذه الطرق للكشف متاحة أيضًا في نظم SIEM الجيل الأخير كما يقدمها Securonix وExabeam وMicrosoft Sentinel.
- أن الـ XDR يقدم إثراءً للإنذارات وقدرة على الاستجابة التلقائية - وهذا بالضبط ما يفعله نظام الاستجابة والتحليل التلقائي للأمن (SOAR).
- أن الـ XDR مصمم لتلبية متطلبات التطوير والتوفر والنشر من خلال هيكله السحابي الأصلي - وغالبًا ما تكون معظم نظم SIEM متاحة أيضًا بصورة سحابية أصلية، بنفس الطريقة التي توجد فيها الـ XDR التي يمكن نشرها في الموقع.
فهل هذا يعني أن الـ XDR ليس إلا مصطلح تسويقي للحديث عن أدوات الأمن التي تستغل ميزات الكشف والاستجابة التي كانت موجودة بالفعل؟ 😱
تقريبًا، يُنفَّذ الـ XDR في الواقع ميزات الكشف والاستجابة التي كانت موجودة بالفعل في أماكن أخرى، مثل نظام معلومات أمن الحوسبة السحابية (SIEM)، ونظام الكشف والاستجابة (EDR)، أو نظام الاستجابة والتحليل التلقائي للأمن (SOAR). ولكن "XDR" ليس على الإطلاق مجرد فارغ، بل هو في الواقع مفهوم وليس أداة فردية. إنه مفهوم حيث تتم توصيل وتشغيل جميع آليات الوقاية والكشف والاستجابة لحوادث الأمن المتواجدة على نظام المعلومات بشكل مترابط ويعملون بتناغم، مما يتيح لفرق الدفاع الحصول على أقصى قدر من الرؤية والسياق لأحداث الأمن.
على وجه التحديد، ماذا يعني هذا؟
ي نظام منتجات الأمن السيبراني، هناك تنوع كبير في أنواع الحلول المخصصة للاكتشاف والوقاية من التسلل. حيث يتنوع كل منها للتعامل مع مشكلة محددة، وبالتالي يكونون مكملين لبعضهم البعض، وتستخدم الشركات الأكثر نضجًا في مجال المعلوماتيات بالفعل العديد منها.
في نظام SOC الذي لا يستفيد من مفهوم "XDR"، ستقوم الفرق العاملة بالاستفادة من كل منتج على حدة. سيقدم كل من هذه المنتجات رؤية محدودة لنطاقه، وسيكون على المحللين القيام يدويًا بإدارة وربط الأحداث عبر جميع النظم. سيتطلب أي إضافة "ذكاء" جهدًا كبيرًا للتطوير لإنشاء سير العمل عبر حلول متعددة.
في نظام يتبع نموذج XDR، يكون جميع منتجات الأمن متصلة ببعضها البعض ويمكن استخدامها وإدارتها من منصة واحدة:
.png?width=1074&height=625&name=XDR%2c%20technologie%20de%20rupture%20ou%20%C3%A9volution%20logique%20du%20SIEM%20(ou%20de%20l%E2%80%99EDR).png)
يجب أن نلاحظ أن جميع المنتجات مستقلة ولا يجب بالضرورة أن تأتي من نفس المورد. عندما نقوم بتنفيذ استراتيجية XDR باستخدام منتجات من محررين مختلفين، نتحدث عن Open XDR، وعلى العكس من ذلك، عندما يتم توفير جميع المنتجات من قبل نفس المحرر، سنتحدث عن XDR Natif.
عمليات SOC في تنسيق XDR تتمتع بعدة مزايا ملحوظة، مثل:
تحسين إمكانيات الكشفتُبسط ترابط الأحداث بين الأدوات، مما يسمح بإجراء الكشف عن طريق ربط أحداث الشبكة عبر NDR بأحداث أخرى قادمة من الأجهزة نموذج EDR على سبيل المثال.
تقليل وقت الاستجابة لتهديد
يمكن تطبيق آليات الاستجابة عبر "playbooks" التي ستستغل إمكانات الكشف والاستجابة لجميع المنتجات. على سبيل المثال:
تم اكتشاف اتصال بالسيطرة والتحكم (C&C) على الشبكة عن طريق NDR باستخدام مؤشرات التهديد القابلة للاستخدام من قبل مصادر تهديد التهجين (CTI).
يرسل NDR هذه المعلومات إلى وحدة التحكم XDR التي تثير تنبيهًا وتشغل playbook استجابة يحتوي على الإجراءات التالية:
يقوم EDR بوضع الأجهزة النهائية في الحجر الصحي التام عند التواصل مع C&C.
يقوم جدار الحماية بحظر عناوين IP/نطاقات المتصلة بهذا C&C.
في غضون دقائق، أو حتى ثوانٍ، تم تنفيذ أولى إجراءات التصحيح. مقابل عدة ساعات (على الأقل) عندما يتم ذلك يدويًا.
تقليل تعقيد عمليات SOC
وجود وحدة تحكم واحدة لتشغيل SOC يقلل بشكل كبير من تعقيد عمليات SOC، حيث يتم تركيز إدارة وتكوين وتشغيل مختلف أدوات الكشف والاستجابة على نفس المنصة.
للتوضيح والرد على السؤال الأصلي، يعد XDR قبل كل شيء مفهومًا أكثر من كونه منتجًا، حيث يهدف بشكل رئيسي إلى توفير التواصل بين مختلف أدوات الوقاية والكشف عن التسلل، مما يساعد على زيادة أدائها الأمني. ظهر مصطلح XDR في عام 2018، ولكن العديد من المؤسسات التي كانت قد نضجت بالفعل في مجال المعلوماتيات لم تنتظر ظهور "XDR" لتوصيل حلول الأمن، وكانت هذه المؤسسات بالفعل في نموذج XDR قبل ظهور المصطلح نفسه.
لذا، فإن مفهوم XDR ليس بشيء ثوري تقنيًا ولكنه تطور منطقي لتقنيات الكشف. سيساهم مصطلح XDR في تعميم التواصل بين منتجات الأمن من خلال واجهات التطبيق (API) المتقدمة، مما يوفر رؤية واستجابة أسرع لمكافحة التهديدات المعلوماتية. سيضطر جميع مزودي حلول الأمن إلى اتخاذ هذه النقطة التكنولوجية للامتثال لنموذج XDR، الذي يظهر كالمعيار الجديد. وهذا بشكل عام أمر جيد جدًا لعالم الكشف والوقاية من حوادث الأمن.
