النموذج الحالي لـ الأمن السيبراني مكسور. وهو يتألف من الحصول على الكثير من الأدوات المستقلة ونشرها ، ولكل منها وحدة تحكم خاصة بها ، لتحليل السجلات أو حركة المرور واكتشاف الحالات الشاذة التي يمكن أن تشكل تهديدات. في هذا النموذج ، يعود الأمر لكل محلل أمني للتواصل مع المحللين الآخرين لتحديد ما إذا كان الكشف الفردي لكل أداة (كل منها ، في حد ذاته ، قد يبدو حميدًا) ، يمكن أن يرتبط بعمليات اكتشاف أخرى من أدوات أخرى للكشف عن هجوم معقد.
يجبر هذا النموذج المؤسسات على إنشاء حزم أمنية معقدة تتكون من SIEM, سور, EDR, NDR وأكثر من ذلك ، لغرض تجهيز المؤسسة ، وتحديد التهديدات ، والاستجابة للتهديدات ، وإدارة المخاطر. يعد الحصول على كل هذه الأدوات وإدارة تراخيصها أمرًا معقدًا ومكلفًا ، كما أن الارتباط اليدوي المطلوب لمقارنة اكتشافات كل أداة يترك الكثير من الثغرات في البنية التحتية الأمنية الشاملة.
غالبًا ما يتعرض المحللون للقصف بالإيجابيات الكاذبة من هذه الأنظمة أيضًا ، مما يتسبب في "إجهاد التنبيه" وعدم الرضا الوظيفي. حتى الشركات التي تعلن عن رضاها عن وجودها SIEM وغيرها من الأدوات التي ستقر بأن مقدار الوقت والطاقة الذي تم ضخه في الوقوف على بنية تحتية أمنية متعددة الأدوات لا يحقق النتائج المطلوبة.
القضية لاجل XDR
XDR أو الكشف والاستجابة الموسعةأصبح مصطلح "الكشف والاستجابة" تعريفًا شاملًا لأي تقنية تقوم بالكشف والاستجابة، لأن X في هذا الاختصار هو في الواقع متغير. فبينما يمكن أن يرمز X إلى "نقطة نهاية+" أو "شبكة+"، فإن ذلك يتجاهل المعاناة الحالية التي تواجهها المؤسسات من الأدوات المعزولة، والبيانات غير المترابطة، والإرهاق الناتج عن كثرة التنبيهات. الهدف الأساسي من XDR إن الهدف هو معالجة هذا الألم، وبالتالي فإن X يجب أن تعني "كل شيء". كل شيء، إذن، يعني اتباع نهج منصة لتغطية سطح الهجوم بالكامل من خلال الكشف والاستجابة.
يمكن لهذا النهج القائم على المنصات إصلاح النموذج الحالي المعيب من خلال تحويل الأدوات المنعزلة إلى مجموعة أدوات موحدة، وتحويل البيانات غير المترابطة إلى تمثيل حيوي مترابط لسطح الهجوم، وتحويل الإرهاق الناتج عن كثرة التنبيهات إلى راحة بال. كيفية تحقيق التكنولوجيا لهذا الهدف هو السؤال المعماري الرئيسي. هناك نوعان من XDR اليوم: مفتوح وأصلي.
مفتوح المصدر مقابل أصلي XDR
- Open XDR يتم تسليمها عبر بنية مفتوحة قادرة على الاستفادة من أدوات القياس عن بعد وقدرات الاستجابة عبر سطح الهجوم
- محلي XDR يتم تسليمها من مجموعة أدوات الأمان الخاصة بمورد واحد والتي توفر القياس عن بُعد والاستجابة عبر سطح الهجوم
بغض النظر عن النهج المعماري لـ XDR يجب أن تستوفي المنصة المتطلبات التقنية التالية لكي يتم النظر فيها XDR:
- القابلية للنشر - بنية الخدمات المصغرة السحابية الأصلية لقابلية التوسع والتوافر ومرونة النشر
- دمج البيانات - بيانات مُطابقة ومُخصَّصة عبر سطح الهجوم بالكامل بما في ذلك الشبكة والسحابة ونقاط النهاية والتطبيقات والهوية
- ارتباط - اكتشافات مرتبطة عالية الدقة عبر أدوات أمان متعددة
- استجابة ذكية - بنقرة واحدة أو استجابة تلقائية من نفس النظام الأساسي
مفهوم خاطئ شائع حول مفتوح المصدر مقابل أصلي XDR إنها أنواع حصرية متبادلة XDRليسوا كذلك. XDR يمكن أن تكون المنصة مفتوحة المصدر بالكامل، وجزئياً أصلية. على سبيل المثال، XDR المنصة يمكن أن يكون لديها عدد قليل من الأدوات المضمنة من بائعها أثناء التكامل بشكل مفتوح مع الأدوات الحالية من البائعين الآخرين. يتيح ذلك استراتيجية أمان قابلة للتكوين ، والقدرة على الاستفادة من الأدوات الحالية مع السماح للعميل بإنهاء بعض منها متى وأينما يراها مناسبة.
تكوين Open مقابل Native XDR إن النهج الذي تتبعه المنصة هو وسيلة لتحقيق غاية: تحديداً، كيفية قيام المنصة بالكشف عن الهجمات والاستجابة لها عبر كامل نطاق الهجوم. XDR يجب النظر إلى النهج المعماري كوسيلة لتحقيق غاية واتخاذ القرار الأفضل لمؤسستهم.
المثالي XDR مفتوح
ستكون هناك بعض المؤسسات التي ليس لديها مشكلة في نقل مكدس الأمان بالكامل إلى مورد واحد ، واعتماد نظام مغلق ، محلي XDR المنصة. سيكون هناك أيضًا بعض المؤسسات التي لا تهتم كثيرًا بتغطية سطح الهجوم بالكامل ، وتريد فقط الاكتشاف والاستجابة لنقاط النهاية الخاصة بها ، على سبيل المثال. في هذه الحالة يجب عليهم متابعة نظام أصلي قائم على EDR XDR المنصة.
ومع ذلك ، بالنسبة لمعظم الشركات ، فإن Open XDR المنصة يجب اعتبارها أولوية قصوى. لماذا؟ لأنه لن يتمكن أي مورد بمفرده من إنشاء أو الحصول على أفضل أدوات السحابة، ونقاط النهاية، والشبكات، والهوية، وما إلى ذلك، لذلك فإن الاعتماد على الحلول الأصلية فقط XDR لن تكون المنصة الأفضل في فئتها. بالإضافة إلى ذلك، من المرجح للغاية أن تكون المؤسسة قد سابقا استثمرت رأس مال وجهدًا كبيرًا في نشر أدوات الأمان الحالية - لن ترغب في التخلي عن هذه الاستثمارات ، لذا محلي XDR لن يتفاعل الحل مع تلك الأدوات ولن يلتقط سطح الهجوم بالكامل في تلك المؤسسة. إذا كان Open XDR المنصة لديه بعض السمات الأصلية لتغطية مناطق معينة من سطح الهجوم للمؤسسات المتنامية ، كبيرة. لكن يجب أن يكون مفتوحًا أولاً.
في النهاية، إذا أرادت مؤسسة ما تحديد وتنفيذ استراتيجية أمنية قابلة للتكوين والحصول على كل ما يلزم XDRيتم تلبية المتطلبات التقنية من خلال منصة متكاملة. Open XDR المنصة هي الطريقة الواقعية الوحيدة للقيام بذلك.
