حالة Open XDR - X تعني كل شيء

صامويل جونز
النموذج الحالي لـ الأمن السيبراني مكسور. وهو يتألف من الحصول على الكثير من الأدوات المستقلة ونشرها ، ولكل منها وحدة تحكم خاصة بها ، لتحليل السجلات أو حركة المرور واكتشاف الحالات الشاذة التي يمكن أن تشكل تهديدات. في هذا النموذج ، يعود الأمر لكل محلل أمني للتواصل مع المحللين الآخرين لتحديد ما إذا كان الكشف الفردي لكل أداة (كل منها ، في حد ذاته ، قد يبدو حميدًا) ، يمكن أن يرتبط بعمليات اكتشاف أخرى من أدوات أخرى للكشف عن هجوم معقد.

يجبر هذا النموذج المؤسسات على إنشاء حزم أمنية معقدة تتكون من SIEM, سور, EDR, NDR وأكثر من ذلك ، لغرض تجهيز المؤسسة ، وتحديد التهديدات ، والاستجابة للتهديدات ، وإدارة المخاطر. يعد الحصول على كل هذه الأدوات وإدارة تراخيصها أمرًا معقدًا ومكلفًا ، كما أن الارتباط اليدوي المطلوب لمقارنة اكتشافات كل أداة يترك الكثير من الثغرات في البنية التحتية الأمنية الشاملة. 

غالبًا ما يتعرض المحللون للقصف بالإيجابيات الكاذبة من هذه الأنظمة أيضًا ، مما يتسبب في "إجهاد التنبيه" وعدم الرضا الوظيفي. حتى الشركات التي تعلن عن رضاها عن وجودها SIEM وغيرها من الأدوات التي ستقر بأن مقدار الوقت والطاقة الذي تم ضخه في الوقوف على بنية تحتية أمنية متعددة الأدوات لا يحقق النتائج المطلوبة.

حالة XDR

XDR أو الكشف والاستجابة الموسعة، أصبح تعريفًا شاملاً لأي تقنية تقوم بالكشف والاستجابة ، لأنه في الاختصار ، يعتبر X متغيرًا حقًا. بينما يمكن أن تمثل X "نقطة النهاية +" أو "الشبكة +" ، فإن ذلك يتجاهل الألم الحالي لمشروع الأدوات المنعزلة والبيانات غير المرتبطة وإرهاق التنبيه. الهدف الكامل لـ XDR هو معالجة هذا الألم ، وبالتالي يجب أن تعني X "كل شيء". كل شيء ، إذن ، يشير إلى نهج النظام الأساسي لتغطية سطح الهجوم بالكامل من خلال الاكتشاف والاستجابة.

يمكن لنهج النظام الأساسي هذا إصلاح النموذج المعطل اليوم عن طريق تحويل الأدوات المنعزلة إلى مجموعة أدوات موحدة ، وتحويل البيانات غير المرتبطة إلى تمثيل حي مترابط لسطح الهجوم ، وتحويل إجهاد التنبيه إلى راحة البال. كيف تدرك التكنولوجيا هذا الهدف هو السؤال المعماري الرئيسي. يوجد نوعان من XDR اليوم: مفتوح وأصلي.

فتح مقابل Native XDR

  • افتح XDR يتم تسليمها عبر بنية مفتوحة قادرة على الاستفادة من أدوات القياس عن بعد وقدرات الاستجابة عبر سطح الهجوم
  • XDR الأصلي يتم تسليمها من مجموعة أدوات الأمان الخاصة بمورد واحد والتي توفر القياس عن بُعد والاستجابة عبر سطح الهجوم

بغض النظر عن النهج المعماري لمنصة XDR ، يجب أن تفي بالمتطلبات الفنية التالية حتى يتم اعتبارها XDR:

  • القابلية للنشر - بنية الخدمات المصغرة السحابية الأصلية لقابلية التوسع والتوافر ومرونة النشر
  • دمج البيانات - بيانات مُطابقة ومُخصَّصة عبر سطح الهجوم بالكامل بما في ذلك الشبكة والسحابة ونقاط النهاية والتطبيقات والهوية
  • ارتباط - اكتشافات مرتبطة عالية الدقة عبر أدوات أمان متعددة
  • استجابة ذكية - بنقرة واحدة أو استجابة تلقائية من نفس النظام الأساسي


مفهوم خاطئ شائع حول فتح مقابل. XDR الأصلي هي أنها أنواع متنافية من XDR. هم ليسوا. يمكن أن تكون منصة XDR مفتوحة بالكامل وأصلية جزئيًا. على سبيل المثال ، ملف منصة XDR يمكن أن يكون لديها عدد قليل من الأدوات المضمنة من بائعها أثناء التكامل بشكل مفتوح مع الأدوات الحالية من البائعين الآخرين. يتيح ذلك استراتيجية أمان قابلة للتكوين ، والقدرة على الاستفادة من الأدوات الحالية مع السماح للعميل بإنهاء بعض منها متى وأينما يراها مناسبة.

أبعاد XDR
يعد تكوين Open مقابل Native XDR الذي تتبعه المنصة وسيلة لتحقيق غاية: على وجه التحديد ، كيفية قيام النظام الأساسي بالكشف والاستجابة عبر سطح الهجوم بأكمله. يحتاج مشترو XDR إلى رؤية النهج المعماري كوسيلة لتحقيق غاية واتخاذ أفضل قرار لمؤسستهم.

إن Ideal XDR مفتوح

ستكون هناك بعض المؤسسات التي ليس لديها مشكلة في نقل مكدس الأمان بالكامل إلى مورد واحد ، واعتماد نظام مغلق ، منصة XDR الأصلية. سيكون هناك أيضًا بعض المؤسسات التي لا تهتم كثيرًا بتغطية سطح الهجوم بالكامل ، وتريد فقط الاكتشاف والاستجابة لنقاط النهاية الخاصة بها ، على سبيل المثال. في هذه الحالة يجب عليهم متابعة منصة Native XDR القائمة على EDR.

ومع ذلك ، بالنسبة لمعظم الشركات ، فإن افتح منصة XDR يجب أن ينظر إليها كأولوية قصوى. لماذا ا؟ نظرًا لأنه لن يتمكن أي مورد واحد على الإطلاق من إنشاء أو الحصول على أفضل أدوات السحابة ونقطة النهاية والشبكة والهوية وما إلى ذلك ، لذلك لن تكون منصة XDR الأصلية فقط هي الأفضل من نوعها. بالإضافة إلى ذلك ، من المحتمل جدًا أن يكون لدى المؤسسة سابقا استثمرت رأس مال وجهدًا كبيرًا في نشر أدوات الأمان الحالية - لن ترغب في التخلي عن هذه الاستثمارات ، لذا XDR الأصلي لن يتفاعل الحل مع تلك الأدوات ولن يلتقط سطح الهجوم بالكامل في تلك المؤسسة. إذا كان افتح منصة XDR لديه بعض السمات الأصلية لتغطية مناطق معينة من سطح الهجوم للمؤسسات المتنامية ، كبيرة. لكن يجب أن يكون مفتوحًا أولاً.

في النهاية ، إذا أرادت إحدى المؤسسات تحديد وتنفيذ إستراتيجية أمان قابلة للتكوين والحصول على جميع متطلبات XDR التقنية التي يتم تسليمها من خلال نظام أساسي ، افتح منصة XDR هي الطريقة الواقعية الوحيدة للقيام بذلك.