الكشف والاستجابة الموسَّعة، أو XDR، هي بنية أمن إلكتروني مفتوحة تعمل على دمج أدوات الأمان وتوحيد عمليات الأمن عبر جميع الطبقات الأمنية - المستخدمين، ونقاط النهاية، والبريد الإلكتروني، والتطبيقات، والشبكات، وأعباء العمل السحابية والبيانات.
مع حلول XDR، يمكن لأدوات الأمن التي لم يتم تصميمها بالضرورة للعمل معًا أن تتفاعل بسلاسة في مجالات منع التهديدات والكشف عنها والتحقيق فيها والاستجابة لها.
تقضي XDR على فجوات الرؤية بين الأدوات والطبقات الأمنية، ما يمكِّن فرق الأمن المثقلة بالمهام من اكتشاف التهديدات وحلها بشكل أسرع وأكثر كفاءة، والحصول على بيانات سياقية أكمل لاتخاذ قرارات أمنية أفضل ومنع الهجمات الإلكترونية المستقبلية.
تم تعريف XDR لأول مرة في عام 2018، لكن الطريقة التي يتحدث بها متخصصو الأمن والمحللون الصناعيون عن XDR شهدت تطورًا سريعًا منذ ذلك الحين. على سبيل المثال، يصف العديد من خبراء الأمن XDR في البداية على أنه نظام EDR معزز، ممتد ليشمل جميع الطبقات الأمنية في المؤسسة. لكن الخبراء اليوم يرون أن إمكانات XDR تتجاوز مجرد مجموع الأدوات والوظائف التي يتضمنها، مشددين على فوائد مثل الرؤية الشاملة للتهديدات، والواجهة الموحَّدة، وتدفقات العمل المحسَّنة للكشف عن التهديدات والتحقيق فيها والاستجابة لها.
كما صنَّف المحللون والمورِّدون حلول XDR إلى نوعين: XDR أصلي (Native XDR)، الذي يدمج الأدوات الأمنية من نفس مزوِّد الحل فقط، وXDR مفتوح (Open XDR)، الذي يدمج جميع الأدوات الأمنية في بيئة المؤسسة بغض النظر عن المزوِّد. لكن أصبح واضحًا بشكل متزايد أن فرق الأمن المؤسسية ومراكز العمليات الأمنية (SOCs) تتوقع حتى من حلول XDR الأصلية أن تكون مفتوحة، ما يوفر المرونة لدمج أدوات الأمان الخارجية التي يستخدمونها حاليًا أو قد يفضلون استخدامها مستقبلًا.
النشرة الإخبارية الخاصة بالمجال
ابقَ على اطلاع دومًا بأهم—اتجاهات المجال وأكثرها إثارة للفضول—بشأن الذكاء الاصطناعي والأتمتة والبيانات وغيرها الكثير مع نشرة Think الإخبارية. راجع بيان الخصوصية لشركة IBM.
سيتم تسليم اشتراكك باللغة الإنجليزية. ستجد رابط إلغاء الاشتراك في كل رسالة إخبارية. يمكنك إدارة اشتراكاتك أو إلغاء اشتراكك هنا. راجع بيان خصوصية IBM لمزيد من المعلومات.
تتعرض المؤسسات اليوم لقصف مستمر من التهديدات المتقدمة، والتي تُعرَف أيضًا بالتهديدات المستمرة المتطورة (APT). تتجاوز هذه التهديدات إجراءات الوقاية على نقاط النهاية وتختبئ داخل الشبكة لأسابيع أو شهور - تتحرك وتكتسب صلاحيات وتسرق البيانات وتجمع المعلومات من مختلف طبقات البنية التحتية لتكنولوجيا المعلومات استعدادًا لهجوم واسع النطاق أو اختراق أمن البيانات. العديد من الهجمات الإلكترونية والاختراقات الأكثر ضررًا وتكلفة -مثل هجمات برامج الفدية واختراق البريد الإلكتروني للأعمال (BEC) والهجمات الموزعة لحجب الخدمة (DDoS) والتجسس الإلكتروني- تُعَد أمثلة على التهديدات المتقدمة.
لقد زوَّدت المؤسسات نفسها بعدد كبير من أدوات وتقنيات الأمن الإلكتروني لمواجهة هذه التهديدات وسدّ مسارات الهجوم أو الأساليب التي يستخدمها المهاجمون الإلكترونيون لإطلاقها. تركِّز بعض هذه الأدوات على طبقات محددة من البنية التحتية، بينما تعمل أدوات أخرى على جمع بيانات السجلات والقياس عن بُعد عبر عدة طبقات.
في معظم الحالات، تكون هذه الأدوات منعزلة - فهي لا تتحدث مع بعضها. يترك هذا فرق الأمن لتعمل على ربط التنبيهات يدويًا لفصل الحوادث الفعلية عن الإيجابيات الزائفة، وتصنيف الحوادث حسب شدتها، وتنسيقها يدويًا للحد من التهديدات ومعالجتها. وفقًا لدراسة IBM حول المؤسسات الإلكترونية المرنة لعام 2021، أبلغت 32% من المؤسسات عن استخدام 21 إلى 30 أداة أمنية فردية للتعامل مع كل تهديد، بينما أبلغت 13% عن استخدام 31 أداة أو أكثر.
ونتيجةً لذلك، تستغرق التهديدات المتقدمة وقتًا طويلًا لتحديدها واحتوائها. يكشف تقرير IBM حول تكلفة اختراق أمن البيانات لعام 2022 أن متوسط مدة اختراق أمن البيانات يستغرق 277 يومًا للكشف عنه وحله. بناءً على هذا المتوسط، لن يتم احتواء الخرق الذي حدث في 1 يناير حتى 4 أكتوبر.
من خلال كسر الحواجز بين الحلول الفردية المخصصة لكل طبقة، توفِّر XDR لفرق الأمن المثقلة ومراكز عمليات الأمن (SOCs) رؤية شاملة وتكاملًا كاملًا يُتيح لهم اكتشاف التهديدات بسرعة أكبر، والاستجابة لها بشكل أسرع، وحلها بكفاءة أعلى - وتقليل الأضرار التي قد تتسبب بها.
في الوقت القصير نسبيًا منذ ظهورها، بدأت XDR تُحدِث فرقًا ملموسًا. وفقًا لتقرير "تكلفة خرق البيانات لعام 2022"، تمكَّنت المؤسسات التي تستخدم XDR من تقليل دورة حياة اختراق أمن البيانات بنسبة 29% وتقليل تكاليف الاختراق بنسبة 9% في المتوسط مقارنةً بالمؤسسات التي لا تستخدم XDR.
عادةً ما يتم استخدام XDR كحل قائم على السحابة أو كخدمة برمجية (SaaS)؛ وقد عرَّفت شركة Gartner، أحد المحللين في الصناعة، نظام XDR على أنه "قائم على SaaS". وقد تكون أيضًا التكنولوجيا الأساسية التي تدعم عرض مزوِّد خدمة الكشف والاستجابة المُدارة (MDR) القائم على السحابة أو الأمن.
يمكن لحلول XDR الأمنية دمج ما يلي:
تجمع XDR بيانات السجلات والقياس عن بُعد من جميع أدوات الأمان المدمجة، ما يؤدي إلى إنشاء سجل محدَّث باستمرار لكل ما يحدث في البنية التحتية - عمليات تسجيل الدخول (الناجحة والفاشلة)، واتصالات الشبكة وتدفقات المرور، ورسائل البريد الإلكتروني والمرفقات، والملفات التي تم إنشاؤها وحفظها، وعمليات التطبيقات والأجهزة، وتغييرات الإعدادات والسجل. يجمع XDR أيضًا تنبيهات محددة تم إنشاؤها بواسطة المنتجات الأمنية المختلفة.
عادةً ما تجمع حلول XDR المفتوحة هذه البيانات باستخدام واجهة برمجة التطبيقات (API) المفتوحة. قد تتطلب حلول XDR الأصلية أداة خفيفة لجمع البيانات، أو وكيلًا، يتم تثبيتها على الأجهزة والتطبيقات. يتم توحيد جميع البيانات المجمَّعة وتخزينها في قاعدة بيانات أو بحيرة بيانات مركزية قائمة على السحابة.
تستخدم XDR التحليلات المتقدمة وخوارزميات التعلم الآلي لتحديد الأنماط التي تُشير إلى تهديدات معروفة أو أنشطة مشبوهة في الوقت الفعلي، أثناء حدوثها.
للقيام بذلك، تعمل XDR على ربط البيانات والقياس عن بُعد عبر مختلَف طبقات البنية التحتية مع بيانات خدمات استعلامات التهديدات، التي توفِّر معلومات محدَّثة باستمرار حول الأساليب والطرق والتهديدات الإلكترونية الجديدة والحديثة والمزيد.يمكن أن تكون خدمات استعلامات التهديدات مملوكة (يديرها مزوِّد XDR)، أو من طرف ثالث، أو قائمة على المجتمع. تعمل معظم حلول XDR أيضًا على ربط البيانات بقاعدة MITRE ATT&CK، وهي قاعدة معرفية عالمية مفتوحة المصدر تكشف عن أساليب وتقنيات المهاجمين الإلكترونيين.
يمكن لتحليلات XDR وخوارزميات التعلم الآلي أيضًا القيام بالتحقيق الذاتي، من خلال مقارنة البيانات في الوقت الفعلي بالبيانات التاريخية والمعايير المرجعية المعتمدة للكشف عن الأنشطة المشبوهة، والسلوكيات الشاذة للمستخدمين، وأي مؤشر قد يدل على حادث أو تهديد إلكتروني. كما يمكنها فصل "الإشارات"، أي التهديدات الحقيقية، عن "الضوضاء" الناتجة عن الإيجابيات الزائفة، بحيث يتمكّن محللو الأمن من التركيز على الحوادث المهمة. ولعل الأهم من ذلك هو أن خوارزميات التعلم الآلي تتعلم باستمرار من البيانات، لتتحسَّن في اكتشاف التهديدات بمرور الوقت.
يلخص نظام XDR البيانات المهمة والنتائج في وحدة تحكم إدارية مركزية تعمل أيضًا كواجهة مستخدم (UI). من وحدة التحكم، يمكن لأعضاء فريق الأمن الحصول على رؤية كاملة لكل مشكلة أمنية على مستوى المؤسسة، وبدء التحقيقات والاستجابات للتهديدات والمعالجة في أي مكان في البنية التحتية الموسعة.
الأتمتة هي ما تضيف عنصر الاستجابة السريعة على XDR. استنادًا إلى القواعد المحددة مسبقًا من قِبَل فريق الأمن، أو التي "تتعلمها" خوارزميات التعلم الآلي مع الوقت، تُتيح XDR استجابات مؤتمتة تساعد على تسريع اكتشاف التهديدات وحلها، مع تمكين محللي الأمن من التركيز على المهام الأكثر أهمية. ويمكن لأنظمة XDR أتمتة مهامٍّ مثل:
يمكن لأنظمة XDR أيضًا أتمتة أنشطة التحقيق في التهديدات ومعالجتها (راجِع القسم التالي). وكل عمليات الأتمتة هذه تساعد فرق الأمن على الاستجابة للحوادث بشكل أسرع ومنع الضرر الذي تسبِّبه أو تقليله.
بمجرد عزل التهديد الأمني، توفِّر منصات XDR أدوات يمكن لمحللي الأمن استخدامها لإجراء تحقيق أعمق حول التهديد. على سبيل المثال، تساعد التحليلات الجنائية وتقارير "التتبُّع" محللي الأمن على تحديد السبب الأساسي للتهديد، وتحديد الملفات المتأثرة، والكشف عن الثغرات الأمنية التي استغلها المهاجم للدخول والتحرك داخل الشبكة، والوصول إلى بيانات الاعتماد، أو القيام بأنشطة خبيثة أخرى.
مدعومين بهذه المعلومات، يمكن للمحللين تنسيق أدوات المعالجة للقضاء على التهديد. وقد تتضمن المعالجة ما يلي:
صيد التهديدات (المعروف أيضًا باسم صيد التهديدات الإلكترونية) هو تمرين أمني استباقي يقوم فيه المحلل الأمني بالبحث في الشبكة عن تهديدات لم يتم اكتشافها بعد، أو تهديدات معروفة لم تتم معالجتها بعد بواسطة أدوات الأمن الإلكتروني المؤتمتة للمؤسسة.
مرة أخرى، يمكن للتهديدات المتقدمة أن تظل كامنة لعدة أشهر قبل اكتشافها، مستعدة لشنّ هجوم واسع النطاق أو اختراق أمني. يمكن لصيد التهديدات الفعَّال وفي الوقت المناسب تقليل المدة اللازمة لاكتشاف هذه التهديدات ومعالجتها، ما يَحُدّ أو يمنع الأضرار الناتجة عن الهجوم.
يستخدم صائدو التهديدات مجموعة متنوعة من الأساليب والتقنيات التي تعتمد على مصادر البيانات والتحليلات والقدرات نفسها التي تستخدمها أنظمة XDR للكشف عن التهديدات والاستجابة لها ومعالجتها. على سبيل المثال، قد يرغب صائد التهديدات في البحث عن ملف معين، أو تغيير في التكوين، أو أي أثر آخر استنادًا إلى التحليلات الجنائية، أو بيانات MITRE ATT&CK التي تصف أساليب مهاجم معين.
لدعم هذه الجهود، توفِّر أنظمة XDR للمحللين الأمنيين قدرات التحليل والأتمتة عبر واجهة مستخدم أو طرق برمجية، ليتمكنوا من إجراء استعلامات وعمليات بحث مخصصة، وربط البيانات بمعلومات استعلامات التهديدات، وإجراء تحقيقات أخرى. وتتضمن بعض حلول XDR أدوات تم إنشاؤها خصيصًا لصيد التهديدات مثل لغات البرمجة النصية البسيطة (لأتمتة المهام الشائعة) وحتى أدوات الاستعلام باللغة الطبيعية.