XDR(Cross-layered Detection and Response) nədir?

Müəllif : Zaur Qasımov

XDR çarpaz qatlı aşkarlama və cavab deməkdir. XDR son nöqtələr, e-poçt, serverlər, bulud iş yükləri və ümumi şəbəkə daxil olmaqla müxtəlif təhlükəsizlik səviyyələri üzrə məlumatları toplayır və sonra əlaqələndirir. XDR müxtəlif mühitlərdə aşkarlama və cavab prosedurlarını birləşdirən ənənəvi aşkarlama və insident reaksiyasına yeni, alternativ yanaşmadır.

XDR necə işləyir

Yaxşı hazırlanmış təhdidləri aşkar etmək çətin ola bilər, çünki onlar paralel işləyən, lakin mütləq birlikdə olmayan çoxsaylı təhlükəsizlik yanaşmaları olan təhlükəsizlik siloları arasında işləyirlər. Təhlükəsizlik silosları arasında gizlənmək qabiliyyətinə görə, zaman keçdikcə yayıla və ya çoxalda bilərlər. Nəticədə, onlar təhlükəsizlik əməliyyatları mərkəzinin (SOC) diqqətindən yayına və nəticədə daha çox ziyana səbəb ola bilərlər. XDR bu təhlükələri təcrid edir və təcrid edir. O, toplayır, sonra hər bir aşkarlamanı fərdi təhlükəsizlik səviyyələrinə uyğun əlaqələndirir. Hər bir “qat” fərqli bir hücum səthini təmsil edir : son nöqtələr, e-poçt, şəbəkə, serverlər və bulud iş yükləri. XDR həllinin hər bir hücum səthini qoruduğu xüsusi üsullar XDR provayderinizin “white paper”-ində təsvir ediləcəkdir.

Son nöqtə

Son nöqtənin fəaliyyətini idarə etmək təhlükənin necə dayaq qazandığını və bir son nöqtədən digərinə necə yayıldığını anlamaq üçün vacibdir. XDR ilə siz indicators of compromise (IOCs) axtarmaq üçün endpoint sweeping-dən istifadə edə və sonra indicators of attack-dan(IOAs) toplanmış məlumatlardan istifadə edərək onları ovlaya bilərsiniz. XDR sistemi sizə son nöqtədə nə baş verdiyini, eləcə də təhlükənin haradan gəldiyini və onun bir neçə son nöqtəyə necə yayıldığını söyləyə bilər. XDR daha sonra təhlükəni təcrid edə, lazımi prosesləri dayandıra və faylları silə və ya bərpa edə bilər.

E-poçt

E-poçt ən böyük və ən çox istifadə edilən hücum səthlərindən biridir. Bu, onu yumşaq hədəf halına gətirir və XDR həlləri e-poçt sistemi ilə gələn riskləri məhdudlaşdırmağa kömək edə bilər. [E-poçt təhlükəsizliyi idarə olunan aşkarlama və cavab sistemi ilə də idarə oluna bilsə də , XDR e-poçt təhlükəsizliyini xüsusi olaraq təyin edir. Triaj prosesinin bir hissəsi kimi XDR e-poçt təhdidlərini aşkarlaya və təhlükəyə məruz qalmış hesabları müəyyən edə bilər. O, həmçinin tez-tez hücuma məruz qalan istifadəçiləri, eləcə də hücum nümunələrini aşkarlaya bilir. XDR təhlükəsizlik protokolları tərəfindən əldə edilən təhlükəyə görə kimin məsuliyyət daşıdığını və sözügedən e-poçtu başqa kimin ala biləcəyini araşdıra bilər. Hücuma cavab vermək üçün XDR e-poçtu karantinə qoya, hesabları sıfırlaya və həmçinin məsul göndərənləri bloklaya bilər.

Şəbəkə

Şəbəkənin hücumlar və hücum imkanları üçün təhlili təhlükəsizlik məsələlərinin aqressiv həllində mühüm addımdır. Şəbəkə analitikası ilə hadisələr süzülə bilər ki, bu da idarə olunmayan və əşyaların İnterneti (IoT) cihazları kimi zəiflik nöqtələrini müəyyən etməyə kömək edir. Təhdidlərin Google axtarışları, e-poçt və ya yaxşı təşkil edilmiş hücumlardan qaynaqlanmasından asılı olmayaraq, şəbəkə analitikası əsas zəifliyi dəqiq müəyyənləşdirə bilər. XDR şəbəkə daxilində problemli davranışı aşkarlaya bilər və sonra təhdidlə bağlı təfərrüatları, o cümlədən onun necə əlaqə saxladığını və şirkət daxilində necə səyahət etdiyini araşdıra bilər. Bu, təhlükənin şəbəkədəki mövqeyindən asılı olmayaraq,bu edge services gateway-dən(ESG) mərkəzi serverə qədər edilə bilər. XDR daha sonra administratorlara hücumun əhatə dairəsi haqqında məlumat verə bilər ki, onlar tez bir həll yolu tapa bilsinlər.

Serverlər və Cloud Workloads

Serverlərin və bulud infrastrukturunun qorunması yüksək səviyyədə son nöqtələrin təhlükəsizliyini təmin etmək üçün istifadə olunanlara bənzər addımları əhatə edir. Təhlükənin şəbəkəyə necə daxil olduğunu, eləcə də necə yayıla bildiyini anlamaq üçün tədqiq edilməlidir. XDR sizə serverlərə, konteynerlərə və bulud iş yüklərinə diqqət yetirmək üçün xüsusi hazırlanmış təhdidləri təcrid etmək imkanı verir. XDR daha sonra təhlükənin iş yükünə necə təsir etdiyini araşdırır və onun sistem üzrə necə yayıldığını araşdırır. Daha sonra o, serveri təcrid edir və təhlükəni ehtiva etmək üçün lazımi prosesləri dayandırır. Təhlükənin təcrid edilməsi hücumlardan sağalmaq üçün orta vaxtın azaldılmasının əsas komponentidir. Məsələn, təhdid IoT son nöqtəsi vasitəsilə bulud şəbəkənizə giriş əldə edibsə, XDR onun haradan gəldiyini müəyyən edə bilər. Daha sonra təhlükəsizlik pozuntusunun səbəblərini araşdıra və hücum planı hazırlamaq üçün bu məlumatdan istifadə edə bilərsiniz. XDR həmçinin təhlükəsizlik məhsulları dəstinə effektiv əlavə ola bilər, çünki o, təhlükənin serverin iş yükünə necə təsir etdiyini anlamağa kömək edir. Əgər o, emal prosesini ləngidirsə və ya məlumatı pozarsa, XDR bunun nə dərəcədə baş verdiyini sizə xəbər verə bilər. Sonra XDR təhlükənin yayılmasını asanlaşdıra biləcək istənilən prosesləri dayandıra bilər. Geniş bir sıra əlaqə nöqtələrini dəstəkləyən bulud mühitində proseslərin dayandırılması böyük məlumat itkilərinin və ya əməliyyatlarınızın mühüm seqmentlərinin tam dayandırılmasının qarşısını ala bilər.

XDR vs. Traditional Threat Detection

XDR ənənəvi təhlükənin aşkarlanmasından fərqlənir ki, o, xüsusi olaraq silos yanaşması ilə yaranan problemlərin həllinə yönəlib. XDR sisteminin “de-silos”unun bir yolu hücum səthlərini əsas kateqoriyalara bölməkdir. Bu yolla siz e-poçt, şəbəkələr, serverlər və bulud iş yükləri üçün nisbətən əhatəli həll əldə edirsiniz. XDR, təkcə təhdidləri aşkar etmək və müəyyən etmək deyil, həm də onlara cavab vermək istəməsi ilə fərqlənir. Bəzi təhdid aşkarlama sistemləri yalnız təhlükəni aradan qaldırmaq üçün qətiyyətli tədbirlər görmədən onu aşkar edir. Ehtiyaclarınızdan asılı olaraq, XDR-in bu aspekti faydalı olmaya bilər, xüsusən də təhdidlərə necə cavab verməklə bağlı daha çox imkan əldə etmək istəyirsinizsə. XDR xəbərdarlıqları idarə etmək üçün də faydalı vasitə ola bilər. Təhlükəsizlik sistemi bir sıra xəbərdarlıqlarla dolu ola bilər və onları idarə etmək bəzən təhdidlərin özlərini həll etmək qədər çox iş tələb edə bilər. XDR sistemi, arzuolunan olsa da, icra edilə bilən məlumatları ehtiva etməyən xəbərdarlıqları birləşdirə bilər. Bu, inzibatçılara qəti addımları tələb edən xəbərdarlıqlara diqqət yetirməyə kömək edir. XDR nəinki təhdidləri aşkarlayır, həm də onlara cavab verir, təhlükəsizlik qrupu XDR tətbiqi ilə vaxt və resurslara qənaət edə bilər. Məsələn, əgər İT komandası hər bir təhlükəyə necə cavab vermək istədiklərini bilirsə və XDR həlli bu qabiliyyətə malikdirsə, onlar təhlükələri müəyyən etmək və təcrid etmək üçün XDR-dən istifadə edərək, eyni zamanda bir neçə bazanı əhatə edə, həmçinin əlaqədar problemli prosesləri dayandıra bilərlər.

XDR vs. Endpoint Detection and Response (EDR)

EDR XDR-dən fərqlidir ki, “E” xüsusi olaraq son nöqtələrə aiddir, XDR-dəki “X” isə şəbəkə və bulud məlumatlarını da idarə etdiyini göstərir. XDR sistemi ilə mövcud şəbəkə təhlükəsizliyi həlli ilə əlaqə qurmaq çətin ola bilər və artıqlıq imkanlardan daha çox maneələrlə nəticələnə bilər.

XDR və Network Traffic Analysis (NTA)

Həm XDR, həm də NTA təhlükələri aşkarlaya bilir. NTA nümunənin tanınmasına diqqət yetirir və buna görə də gözlənilən nümunəni pozan məlumat paketlərinə ani cavab verə bilər. Məsələn, əgər server adətən ABŞ, Kanada və Braziliyadan trafik alır, lakin birdən Rusiyadan trafik almağa başlayırsa, potensial təhlükəni aradan qaldırmaq üçün NTA sistemindən istifadə edilə bilər. Buna görə də, təşkilatınızın üzləşdiyi təhlükələr bu cür nümunə aşkarlanmasından istifadə etməklə təcrid oluna bilsə, NTA XDR-dən daha yaxşı həll yolu ola bilər.

XDR vs. Security Information and Event Management (SIEM)

XDR SIEM-dən ona görə fərqlənir ki, o, cavab həlləri ilə gəlir. SIEM cavab həlli ilə işləyə bilsə də, təhdidlərə cavab verməyə deyil, onları aşkar etməyə diqqət yetirir. Bəzi hallarda, XDR real təhlükə yaratmasa belə, təhlükəni avtomatik aşkarlaya və ona cavab verə bilər. Bu kimi vaxtından əvvəl cavab təşkilatınıza zərər verə bilər. SIEM ilə siz hər bir təhlükəyə necə cavab verəcəyinizə qərar verməkdə sərbəstsiniz, bu da əməliyyatları lazımsız yerə dayandırmağınıza və ya dayandırmağınıza mane ola bilər.

XDR vs. Security Orchestration, Automation, and Response (SOAR)

XDR öz ekosistemi daxilində təhdidləri aşkar etmək və onlara cavab vermək üçün yaxşı bir iş görsə də, SOAR eyni şeyi edə bilər, həm də təhlükəsizlik siyasətini və hesabatını təşkil etmək üçün istifadə edilə bilər. Mövcud, effektiv təhlükə cavab sistemi üzərində XDR həllini tətbiq etmək, mövcud həllinizdən daha yaxşı nəticələrə zəmanət vermədən, mövcud olduğundan daha çox vaxt tələb edə bilər.

Last updated