حدث الأمن و منصات إدارة المعلومات (SIEMs) تجمع هذه الأنظمة البيانات من سجلات الأمان، ومن المفترض أن تساعد في تحديد الثغرات الأمنية، والحد من التشويش وإرهاق التنبيهات، وتبسيط عملية الكشف عن الهجمات الإلكترونية المعقدة والاستجابة لها. ومع ذلك، SIEMلم يفِ [الموظفون] بهذه الوعود. والآن، الفكرة الجديدة هي XDR - ما هي مزاياها وهل يجب أن تتعايش أو تحل محل ملف SIEM؟ تستكشف هذه الورقة المشهد الحالي للأمن السيبراني ، وكيف SIEM يتناسب مع ذلك المشهد، وكيف XDR يمكن للمنصات أن تُحسّن بشكل كبير من رؤية الحوادث الأمنية وتحليلها والاستجابة لها.
المشهد الأمني
أوضح شيء في المشهد الأمني اليوم هو أن التهديدات آخذة في الازدياد:
- وفقًا لـ Accenture ، شعر 68 بالمائة من قادة الأعمال مخاطر الأمن السيبراني كانت تتزايد في عام 2020.
- أفادت منظمة Risk Based أن خروقات البيانات كشفت عن 36 مليار سجل خلال النصف الأول من عام 2020.
- وجدت Proofpoint أن 88 بالمائة من المنظمات في جميع أنحاء العالم تعرضت لهجمات التصيد بالرمح خلال عام 2019.
بالإضافة إلى ذلك ، أصبحت الهجمات أكثر تعقيدًا. استهدف المتسللون ذات مرة متجهًا واحدًا ، مثل منفذ جدار الحماية ، لكنهم اليوم يستهدفون نواقل متعددة. على سبيل المثال ، قد يقوم المهاجم بتسجيل الدخول إلى الشبكة من موقع غير معروف ، والوصول إلى نظام Active Directory وتغيير امتيازات المستخدم ، ثم البدء في تنزيل البيانات من الخادم. في حد ذاتها ، قد يُنظر إلى كل من هذه المؤشرات على أنها إيجابية خاطئة من قبل الأنظمة التي تتعقبها ، لكنها في الواقع ، كلها جزء من هجوم واحد.
في هذه البيئة ، تكافح الشركات لتحديد الهجمات ومعالجتها. النهج التقليدي لجمع مجموعة من الأدوات المنعزلة (مثل EDR ، NTA, SIEM و UEBA) لتحليل حركة المرور في الشبكات والخوادم ونقاط النهاية والسحابة وشرائح أخرى من البنية التحتية الأمنية ببساطة لا تعمل. في استطلاع عام 2020 ، مجموعة إستراتيجية المؤسسة (ESG) وجدت أن 75 بالمائة من الشركات تجد صعوبة في تجميع النتائج من أدوات الأمان المختلفة لتحديد الهجمات. علاوة على ذلك ، أظهر الاستطلاع أن 75 في المائة من الشركات قد نشرت واحدة أو أكثر من أدوات الأمان التي فشلت في الوفاء بوعودها.
أخيرًا ، هناك فجوة في مهارات الأشخاص. أظهر استطلاع ESG أن 75 في المائة من الشركات لديها فجوة في مهارات الأفراد - لا يمكنها توظيف ما يكفي من المحللين ذوي الخبرة لدعم عمليات التحليلات الأمنية والعمليات.
كيف تعالج الأدوات التحديات
SIEMs جمع البيانات من العديد من المصادر المختلفة ، بما في ذلك جدران الحماية ، كشف الشبكة والاستجابة لها (NDR) الأنظمة وأنظمة الكشف عن نقطة النهاية والاستجابة (EDR) ووسطاء أمان التطبيقات السحابية (كاسبس). الفكرة جيدة: تقوم أداة واحدة بجمع البيانات من جميع أنحاء سطح الهجوم وتجميعها للتحليل والاكتشاف والاستجابة. ولكن هناك مشاكل مع SIEM أدوات:
- تنتج كل أداة منفصلة البيانات بتنسيقها الخاص.
- لا يزال هناك الكثير من المهام اليدوية المطلوبة ، مثل تحويل البيانات (بما في ذلك دمج البيانات) لإنشاء سياق للبيانات ، أي الإثراء بذكاء التهديد ، والموقع ، والأصول و / أو معلومات المستخدم.
- هناك الكثير من البيانات التي يواجهها المحللون صعوبة كبيرة في اكتشاف الهجمات المعقدة.
- لا يستطيع المحللون رؤية الهجمات المعقدة بسبب حجم البيانات والجهد اللازم لربط عمليات الكشف المنفصلة يدويًا. لا يمكن للدماغ البشري أن يربط بين أكثر من ثلاثة مصادر للمعلومات في وقت واحد ، لذا فإن الخوض في سيل المعلومات أمر صعب أو مستحيل.
لا عجب أنه حتى مع SIEMs في العمل ، تستغرق العديد من الشركات أسابيع أو شهورًا لتحديد الهجمات المعقدة: متوسط الوقت لتحديد الاختراق المعقد هو أكثر من 200 يوم. محللو الأمن غارقون في الإيجابيات الكاذبة ، لذلك لا يمكنهم رؤية التمساح في المستنقع لأنهم يصلون إلى أعناقهم في الماء ويحاولون التنفس فقط.
XDR – رؤية الغابة وكل الأشجار
إذا كانت الفكرة وراء SIEMs كان الشخص المناسب من حيث جمع البيانات من جميع أنحاء البنية التحتية ، XDR (الكشف والاستجابة الشاملة) هو تطور تلك الفكرة. الفكرة هي ضمان إمكانية مراقبة سطح الهجوم بالكامل من وحدة تحكم واحدة.
XDR هي عبارة عن منصة عمليات أمنية متماسكة مع تكامل وثيق للعديد من تطبيقات الأمان ضمن لوحة معلومات واحدة لربط الأحداث بحوادث ذات مغزى عبر سطح الهجوم بأكمله. ان XDR المنصة يستوعب البيانات من SIEM, NDR, EDR, CASB، تحليل سلوك كيان المستخدم (UEBA) وأدوات أخرى ، وعلى عكس أ SIEM، تطبيع مجموعات البيانات المتباينة هذه في تنسيق مشترك. يمكن البحث في مجموعة البيانات المشتركة بسهولة حتى يتمكن المحللون من البحث في التنبيهات لاكتشاف الأسباب الجذرية للهجمات. وعلاوة على ذلك، XDR يستخدم أيضًا الذكاء الاصطناعي والتعلم الآلي لربط الاكتشافات تلقائيًا وإصدار تنبيهات عالية الدقة ، مما يقلل بشكل كبير من الإيجابيات الخاطئة.
على عكس البشر ، يمكن لأجهزة الكمبيوتر ربط عدد غير محدود من نقاط البيانات ، وذلك باستخدام البيانات العادية و أدوات منظمة العفو الدولية, XDR يمكن للنظام تحديد الهجمات المعقدة تلقائيًا في كثير من الحالات، غالبًا في غضون دقائق أو ساعات بدلًا من أسابيع أو شهور. علاوة على ذلك، يتيح التكامل الوثيق مع أدوات الأمان المنعزلة XDR لتفعيل الاستجابات التلقائية للتنبيهات، مثل حظر منفذ جدار الحماية.
Open XDR - تحضير XDR أكثر بأسعار معقولة
معظم XDR منصات في السوق حلول البائع الواحد التي تعتمد على EDR القاعدة والجدران النارية. الشركات التي تختار البائع الواحد XDR لذا يتعين عليهم التخلي عن استثماراتهم الحالية في الأدوات من أجل تبني XDRلقد أنفقت معظم الشركات ملايين الدولارات في اقتناء أدواتها الحالية وتعلم كيفية استخدامها، لذلك فهي مترددة في القيام بذلك.
Open XDR هو XDR أي نوع من أنواع أدوات الأمان الحالية يعمل معها EDR وأي جدار حماية. وبالتالي ، فهو يسمح للمستخدمين بالاحتفاظ باستثماراتهم في الأمن السيبراني مع تعزيزها من خلال تجميع جميع بياناتهم ، واكتشاف الهجمات ، وتقديم تنبيهات عالية الدقة من جميع أنحاء البنية التحتية تحت واجهة واحدة ، والاستجابة تلقائيًا في كثير من الحالات لتقديم تحسين فوري في الإجمالي. الموقف الأمني.
بالإضافة إلى ذلك، Open XDR منصات دمج مجموعاتهم الخاصة من SIEM, NTA, UEBA وأدوات أخرى. يتيح ذلك للمستخدمين إنهاء بعض أدواتهم الحالية بمرور الوقت ، مما يقلل بشكل تدريجي من تكاليف الترخيص والتعقيد التشغيلي.
خاتمة
SIEM كانت أساس العمليات الأمنية لعدة سنوات ، ولكنها غالبًا ما تخلق المزيد من العمل بنتائج أقل. المحللون مثقلون بكميات كبيرة من التنبيهات ، ومن الصعب تطبيع البيانات ، ومن المستحيل توظيف عدد كافٍ من المحللين لتلبية الحاجة.
من خلال تقديم اكتشافات سريعة وواضحة من الأنظمة الحالية مع الاستجابات الآلية ، Open XDR نظم تحديد الهجمات السريعة ومعالجتها مع تقليل العبء على فرق المحللين ، مما يؤدي إلى تحسين الأمان العام والموظفين الأكثر سعادة وتقليل التعطيل وتقليل التكاليف.
Open XDR يشكل هذا أساس مركز عمليات الأمن من الجيل التالي.
