XDR (Extended Detection and Response) kiber təhlükəsizlik sahəsində bir yanaşmadır, əsasən hücumları aşkar etmək, qiymətləndirmək və onlara cavab vermək üçün birləşdirilmiş bir sistem təmin edir. XDR-in əsas məqsədi müxtəlif təhlükəsizlik alətləri və sistemləri arasında məlumatların daha yaxşı inteqrasiyası və analizi ilə təşkilatların təhlükəsizlik vəziyyətini gücləndirməkdir.
Bütün zərərli və zərərsiz fəaliyyətləri son nöqtədə toplayır. Bu fəaliyyətlər ümumiyyətlə proses fəaliyyətləri, şəbəkə fəaliyyətləri, qeydiyyat (Windows-a əsaslanan) fəaliyyətləri kimi… Daha sonra bu fəaliyyətlər daxilində zərərli vəziyyətlərin aşkarlanması həm də bu hadisələrə müdaxilə etmək imkanı üçün həllər təqdim edir. O, daha sonra bu toplanmış məlumatların işlənməsi və/və ya təhlili aparmaq imkanı verir.Antivirus elementlərinə əlavə olaraq, EDR alətləri təhdidlərin görünməsini artırır və son nöqtələrdə işləyən proseslərin real vaxt rejimində aşkarlanması, xəbərdarlığı, izlənilməsi və qeydə alınması kimi xüsusiyyətlərlə məhkəmə-tibbi analizi asanlaşdırır.EDR ümumiyyətlə son nöqtə (son istifadəçi) vasitəsilə qoruma təmin edir. EDR qoruma əhatəsini təkmilləşdirməklə ortaya çıxan məhsul XDR (genişlənmiş aşkarlama və cavab) adlanır.
XDR nədir?
“İnkişaf etmiş aşkarlama və cavab” mənasını verən XDR, müxtəlif infrastruktur səviyyələrində təhdidləri proaktiv şəkildə aşkar etmək və onlara cavab vermək və mürəkkəb təhdidlərə qarşı çıxmaq üçün nəzərdə tutulmuş avtomatlaşdırılmış informasiya təhlükəsizliyi sistemləri sinfidir.
XDR, təhlükəsizlik mütəxəssislərinin son nöqtələr, şəbəkə, bulud və poçt serverlərində məlumatların monitorinqini həyata keçirmək üçün mövcud təhlükəsizlik proqramları və tətbiqləri ilə inteqrasiya edə biləcəyi geniş alətləri ehtiva edir. O, həmçinin cari və potensial təhlükələri aşkar etmək və aradan qaldırmaq üçün analitik və avtomatlaşdırma funksiyalarını əlavə edir.
XDR (Extended Detection and Response), kiber təhlükəsizlik sahəsində istifadə olunan bir yanaşmadır və təşkilatların təhlükəsizlik hadisələrini daha səmərəli idarə etmələrinə kömək edir. XDR-in necə işlədiyini başa düşmək üçün aşağıdakı əsas komponentləri nəzərdən keçirmək faydalıdır:
- Məlumat Toplama: XDR, müxtəlif təhlükəsizlik alətlərindən (məsələn, antivirus, firewall, endpoint protection) məlumatları toplayır. Bu, təşkilatın bütün təhlükəsizlik məlumatlarının bir mərkəzə toplanmasına imkan verir.
- Məlumat Analizi: Toplanan məlumatlar analitik alqoritmlərlə təhlil edilir. Bu, potensial təhlükələri, anomaliyaları və hücumları müəyyən etməyə kömək edir. XDR sistemləri genetik öyrənmə (machine learning) və digər analitik metodlardan istifadə edərək hadisələrin səbəblərini daha yaxşı başa düşməyə çalışır.
- Hadisə İdarəetməsi: XDR, aşkarlanan təhlükələrə əsasən avtomatlaşdırılmış və ya yarı-avtomatlaşdırılmış hadisə cavablarını həyata keçirir. Bu, sistem administratorlarının tədbir görməsini asanlaşdırır.
- İntegrasiya: XDR, mövcud təhlükəsizlik alətləri və sistemləri ilə inteqrasiya olunaraq daha geniş bir təhlükəsizlik ekosistemi yaradır. Bu, təhlükəsizlik sahəsindəki məlumatların daha yaxşı paylaşılmasını təmin edir.
- Təhlil və Hesabat: XDR, təhlükəsizlik vəziyyətinin daha yaxşı başa düşülməsi üçün analitik hesabatlar təqdim edir. Təşkilatlar, bu hesabatlardan istifadə edərək təhlükəsizlik strategiyalarını təkmilləşdirə bilərlər.
XDR, təşkilatlara daha proaktiv bir təhlükəsizlik yanaşması təqdim edərək, təhlükəsizlik hadisələrini daha sürətli və effektiv bir şəkildə aşkar etməyə və cavab verməyə imkan verir.
Prioritetləşdirmə prosesinin bir hissəsi kimi, XDR e-mail təhdidlərini aşkarlaya və oğurlanmış hesabları müəyyən edə bilər. O, həmçinin tez-tez hücuma məruz qalan istifadəçiləri və hücum nümunələrini aşkarlaya bilir. XDR təhlükəsizlik protokolları tərəfindən alınan təhlükəyə görə kimin cavabdeh olduğunu və sözügedən e-maili başqa kimin qəbul edə biləcəyini araşdıra bilər.
Hücuma cavab vermək üçün XDR e-poçtu karantinə qoya, hesabları sıfırlaya və məsul göndərənləri bloklaya bilər.
şəbəkə
XDR şəbəkədə problemli davranışı aşkar edə, sonra təhdid haqqında ətraflı, o cümlədən onun şirkət daxilində necə ünsiyyət qurduğunu və səyahətini araşdıra bilər. Bu, təhlükənin şəbəkədəki yerindən asılı olmayaraq, kənar xidmətlər şlüzündən (ESG) mərkəzi serverə edilə bilər. XDR daha sonra idarəçilərə hücumun əhatə dairəsi haqqında məlumat verə bilər ki, onlar tez bir həll yolu tapa bilsinlər.
Server və Cloud
XDR xüsusi olaraq serverlərə, konteynerlərə və Cloud iş yüklərinə diqqət yetirmək üçün nəzərdə tutulmuş təhdidləri təcrid etmək imkanı verir. XDR daha sonra təhlükənin iş yükünə necə təsir etdiyini araşdırır və onun bütün sistemə necə yayıldığını araşdırır. Daha sonra o, serveri təcrid edir və təhlükəni ehtiva etmək üçün lazımi prosesləri dayandırır. Təhlükənin təcrid edilməsi hücumlardan sağalmaq üçün orta vaxtın azaldılmasının əsas komponentidir.
Məsələn, təhdid IoT son nöqtəsi vasitəsilə bulud şəbəkənizə daxil olarsa, XDR onun haradan gəldiyini aşkar edə bilər. Daha sonra təhlükəsizlik pozuntusunun səbəblərini araşdıra və hücum planı yaratmaq üçün bu məlumatdan istifadə edə bilərsiniz.
XDR və EDR arasındakı bəzi mühüm oxşarlıqları aşağıdakı kimi sıralamaq olar:
Preventiv yanaşma: Ənənəvi təhlükəsizlik həlləri ümumiyyətlə davam edən təhdidləri aşkar etməyə və aradan qaldırmağa yönəlmişdir. EDR və XDR təhdidləri baş verməzdən əvvəl müəyyən etmək üçün dərin məlumat toplamaq və məlumat analitikasını və təhdid kəşfiyyatını tətbiq etməklə təhlükəsizlik insidentlərinin qarşısını almaq üçün işləyir.
Rapid Threat Response: EDR və XDR avtomatik təhlükənin aşkarlanması və cavablandırılmasını dəstəkləyir. Bu, təşkilata kiberhücumun qarşısını almağa və ya onu tez bir zamanda aradan qaldırmağa, onun vurduğu xərcləri, təsirləri və zərərləri minimuma endirməyə imkan verir.
Təhdid Ovçuluğuna Dəstək: Təhdid ovçuluğu, analitiklərə potensial təhlükəsizlik problemlərini təcavüzkar tərəfindən istismar edilməzdən əvvəl müəyyən etməyə və həll etməyə imkan verməklə proaktiv təhlükəsizliyi təmin edir. EDR və XDR, dərin görünmə və məlumatlara asan giriş təmin etməklə təhdid ovuna kömək edir.
EDR və XDR alətləri kibertəhlükəsizlik işçilərinin (məsələn, SOC kimi) iş yükünü azaldır və potensial gözdən qaçan qeydləri daha görünən etməklə təhdidlərin qarşısını almağı asanlaşdırır.
XDR, ümumi mənada, daha əhatəli təhdid aşkarlanmasını təmin etmək üçün EDR aləti kimi işlənib hazırlanmışdır. Aralarındakı oxşarlıqlara baxmayaraq, onların bəzi əsas fərqlərini aşağıdakı kimi sadalamaq olar:
Fokus: EDR xüsusi bir cihaz üçün dərin görünürlük və təhlükənin qarşısını almaqla son nöqtəni qorumağa diqqət yetirir. XDR son nöqtələr, bulud hesablamaları, e-poçt və digər həllər arasında təhlükəsizliyi inteqrasiya etməklə daha geniş bir görünüş alır.
Həllin inteqrasiyası: EDR həlləri son nöqtələr üçün “ən yaxşı cins” mühafizəni təmin edə bilər və təşkilat onları bir sıra nöqtə həlləri ilə əl ilə birləşdirə bilər. XDR, təşkilatın təhlükəsizlik arxitekturasını əhəmiyyətli dərəcədə sadələşdirərək, vahid həll daxilində inteqrasiya olunmuş, görünmə və təhlükə idarəçiliyini təmin etmək üçün nəzərdə tutulmuşdur.