در دنیای امروز، شبکه‌های سازمانی پیچیده‌تر می‌شوند و ایمن‌سازی آنها دشوارتر است. تهدیدات امنیت سایبری هر روز در حال افزایش است وحملات APT (Advanced Persistent Threats) بصورت مستمر بر روی سازمان های دولتی و شرکت های انترپرایس تجاری انجام می پذیرد در حالیکه روش های امنیتی سنتی برای محافظت از شبکه های سازمانی کافی نیست.امروزه با توجه به استفاده از ChatGTP توسط کد نویسان بد افزار،میزان استفاده از بد افزارهای روز صفر به طرز قابل توجهی در حملات سازمانی افزایش یافته است. یکی از راه حل های برطرف کردن این مشکلات استفاده از سیستم  های یکپارچه که مبتنی بر هوش مصنوعی با قابلیت شناسایی انواع رفتار مشکوک در پروتکل ها ،کاربران و برنامه های کاربردی می باشد.

Extended detection and response (XDR) یا سامانه گسترده شناسایی و پاسخ، یک تکنولوژی امنیتی است که با نظارت پیشرفته، تجزیه و تحلیل سریع تهدید و پاسخ سریع‌تر از زیرساخت‌های فناوری اطلاعات محافظت می‌کند. این فناوری، نسخه پیشرفته‌ای از تشخیص و پاسخ نقطه پایانی (EDR) است که از تجزیه و تحلیل عمیق و اتوماسیون برای شناسایی، تجزیه و تحلیل و اصلاح تهدیدات امنیتی بالقوه استفاده می‌کند. از XDR در امنیت سایبری استفاده می‌شود تا جلوی هر گونه تهدید و حمله پیچیده گرفته شود زیرا ممکن است رویکردهای قبلی دیگر جوابگو نباشند.

ضرورت استفاده از راهکارهای XDR

تهدیدات پیوسته پیشرفته (APT) حملات شبکه ای ترکیبی می باشند که در آنها از مراحل متعدد و تکنیک های مختلف حمله استفاده می شود. APT ها حملاتی نیستند که در لحظه تصور یا اجرا شوند. بلکه ، مهاجمان به عمد استراتژی های حمله خود را علیه اهداف خاص برنامه ریزی می کنند و حمله را در یک دوره زمانی طولانی انجام می دهند. APTها حملات ترکیبی شامل مراحل متعدد و انواع تکنیک های حمله هستند که براساس Mitre attack قابل پیگیری هستند. بسیاری از  APT با اکسپلویت های روز صفر و بدافزار  قادر به تخریب دیتا و زیر ساخت مورد هدف می باشند. برای شناسایی و مقابله با این نوع حملات استفاده از راهکارهای مبتنی بر یادگیری ماشین در جمع آوری لاگ های امنیتی کلاینت ها و سرورها و نیز بررسی Meta Data هم بر روی ترافیک شبکه وMeta Data روی  اپلیکشن ها لازم و ضروری می باشد تا با پیدا کردن abnormally ها و نیز شبیه سازی DNA فایل های مخرب، شناسایی  و پاسخ گویی به حملات APT صورت پذیرد.

کاربرد های اصلی

تله ‌متری و تجزیه و تحلیل داد‌ه‌ها: XDR نظارت و جمع‌آوری داده‌ها را در چندین لایه امنیتی، از جمله نقاط پایانی، شبکه، سرور و فضای ابری انجام می‌دهد. این فناوری از تجزیه و تحلیل داده‌ها برای مرتبط کردن هزاران هشدار از آن لایه‌ها استفاده می‌کند تا در نهایت تعداد کمتری از هشدارهایی که اولویت بالایی دارند، نمایش داده شوند.

تشخیص: ویژگی دید جامع XDR کمکش می‌کند تا هشدارها را به دقت بررسی ‌کند و در مورد آن چیزهایی که نیاز به پاسخ دارند، گزارش دهد. همین دید به XDR‌ اجازه می‌دهد بتواند تهدیدهایی که از نرم‌افزار، پورت‌ها و پروتکل‌ها استفاده می‌کنند را شناسایی و و منشا تهدید را برای جلوگیری از تاثیرگذاری بر سایر بخش‌های سیستم، بررسی کند.

پاسخ: XDR هم درست مثل سیستم امنیتی EDR، توانایی مهار و حذف تهدیداتی که شناسایی می‌کند و همینطور به روز رسانی سیاست‌های امنیتی برای جلوگیری از رخ دادن نفوذ مشابه را، دارد. اما بر خلاف EDR که این عملکرد را فقط در نقاط پایانی انجام می‌دهد، XDR با پاسخ به تهدیدات در تمام نقاط امنیتی که با آنها سر و کار دارد، از امنیت کانتینر گرفته تا شبکه و سرورها، فراتر از حفاظت از نقطه پایانی عمل می‌کند.

بهترین ابزارهای شناخته شده

Trend Macro

Kaspersky Kata

Microsoft

Sangfor

ویژگی های کلیدی راهکارهای  XDR

شکار تهدید: با اینکه این احتمال وجود دارد که تهدیدها از قبل در هر شبکه‌ای باشند، اما بسیاری از تیم‌های امنیتی برای پیشگیری از تهدید تلاش می‌کنند. قابلیت‌های تله‌ متری و اتوماسیون XDR باعث می‌شوند تا بسیاری از این کارها به طور خودکار انجام شوند، به طور قابل توجهی بار تیم‌های امنیتی سبک‌تر شود و به آن‌ها اجازه می‌دهد تا در کنار سایر وظایفشان، اصطلاحا شکار تهدیدات را انجام داده و فقط در صورت لزوم مداخله کنند.

تریاژ: یکی از مهمترین وظایف یک تیم امنیتی اولویت‌ بندی یا تریاژ هشدارها و پاسخ سریع به مهم‌ترین آنها است. XDR با استفاده از تجزیه و تحلیل قدرتمند برای مرتبط کردن هزاران هشدار به تعداد کمی از هشدارهای در اولویت بالا، به بررسی اختلال کمک می‌کند.

تحقیق و بررسی: جمع‌آوری گسترده داده‌های XDR و قابلیت تجزیه و تحلیل خودکار آن، به تیم‌های امنیتی اجازه می‌دهد تا به سرعت و به آسانی اینکه یک تهدید از کجا نشات گرفته است، چگونه گسترش می‌یابد و کدام کاربران یا دستگاه‌های دیگری را ممکن است تحت تأثیر قرار دهد را مشخص کنند. این کاربرد هم برای از بین بردن تهدید و هم تقویت شبکه در برابر تهدیدات بعدی، بسیار مهم است.

حوزه و گستره بیشتر:  برخلاف EDR (که به نقاط پایانی محدود می‌شود) و سرویس‌های امنیتی شخص ثالث، XDR یک نمای کامل از محیط امنیتی ارائه می‌دهد. این مزیت به تحلیلگران امنیتی امکان می‌دهد تا متوجه تهدیدها در هر لایه امنیتی حتی آنهایی که از نرم‌افزار، پورت‌ها و پروتکل‌های قانونی برای ورود استفاده می‌کنند و همینطور نحوه وقوع یک حمله، نقشه اولیه، نقطه ورود، افراد دیگری که تحت تأثیر قرار می‌گیرند و محل به وجود آمدن تهدید و نحوه انتشار آن، بشوند.

اولویت‌بندی:تیم‌های فناوری اطلاعات و امنیت اغلب در تلاش هستند تا هزاران هشداری که توسط سرویس‌های امنیتیشان به وجود آمده است را دنبال کنند. تجزیه و تحلیل داده‌ها و قابلیت‌های همبستگی XDR به آن اجازه می‌دهد تا هشدارهای مرتبط را در سراسر چارچوب MITER ATT دسته‌بندی کند.

اتوماسیون:  استفاده XDR از اتوماسیون به تشخیص و پاسخ سرعت می‌دهد و مراحل دستی را از فرآیندهای امنیتی حذف می‌کند. به علاوه به تیم‌های فناوری اطلاعات امکان می‌دهد حجم زیادی از داده‌های امنیتی را مدیریت کنند و فرآیندهای پیچیده را به روشی که قابلیت تکرار داشته باشد، انجام دهند.

تشخیص و پاسخ سریع‌تر: همه مزایای قبلی که گفته شد باعث افزایش وضعیت امنیتی قوی‌تر و مؤثرتر می‌شوند. کارآیی اضافه شده XDR به آن اجازه می‌دهد تا سریعتر تهدیدات را تشخیص و به آنها پاسخ دهد.

پاسخ ‌های پیچیده‌تر: با فناوری EDR سنتی، اغلب با قرنطینه کردن نقطه پایانی آسیب‌دیده به تهدید پاسخ داده می‌شد. البته این حالت برای زمانیکه نقطه پایانی دستگاه کاربر بود، به درد می‌خورد و وقتی یک سرور حیاتی آلوده می‌شد، می‌توانست مشکل ایجاد کند. اما توانایی‌هایی که XDR دارد به آن امکان می‌دهد تا پاسخ را روی یک سیستم خاص تنظیم و از سایر نقاط کنترل برای به حداقل رساندن تأثیر استفاده کند.

بررسی محصول XDR سنگفور

برند سنگفور یک اکو سیستم هوشمند بوده از زیر ساخت تا لایه سرویس را کاملا پوشش می دهد در این مستند سعی شده فقط دو راهکار در لایه سرویس این برند معرفی و بررسی شود و راهکارهای زیرساخت اختصاصی-VDI اختصاصی-فایروال پیشرفته و … که کاملا یکپارچه و همانطور که بیان شد اکو سیستم می باشد در اینجا بررسی نمی شود.

راهکار EDR  برند سنگفور که با نام تجاری Endpoint Secure شناخته می شود که مسئول عملیات شناسایی،دفاع وپاسخگویی تهدیدات در سمت کلاینت ها و سرورها می باشد که در چندین مرحله و با ماژول های  مختلف این امر را به انجام می رساند، این راهکار با ایجاد هانی پات در کلاینت ها تا ده درصد فضا به این امر تخصیص داده و عملیات شکار تهدید را اجرایی می نماید.

ضمنا این راهکار با استفاده از Engine Zero(AI engine) و  Nerual-x عملیات رفتار شناسی کاربران و اپلیکشن ها انجام می دهد. این راهکار امکان بخش بندی جهت اجرای  Zero trust  براساس Micro Segmentation  در هر Broadcast Domain یا هر Vlan انجام داده که عملا از حملات Lateral movement  جلوگیری می نماید، نوشتن رول های Micro Segmentation امکان حرکت هکر در هر Subnet را محدود و کنترل می نماید.

ماژول دوم جلوگیری از حملات APT استفاده از مرکز فرماندهی مبتنی بر هوش مصنوعی این برند است که با نام  CyberCommand شناخته می شود، این راهکار در واقع با گرفتن کپی ترافیک و اتصال با ماژول قبلی یعنی Endpoint Secure و نیز گرفتن لاگ ها از ادوات امنیتی و یا سرورهایی که ایجنت XDR روی آنها نصب نیست عملیات شکار تهدید و انطباق ترافیک و لاگ ها و رفتار کاربران را با MITRE ATT&CK انجام داده و با توجه به امکان نوشتن انواع Playbook (SOAR)  عملیات پاسخگویی را هم بر اساس ایجنت های XDR و هم بر اساس ادوات third party نظیر فایروال های برندهای دیگر هم بصورت دستی و هم بصورت کاملا اتوماتیک به انجام می رساند.

CyberCommand با توجه یاد گیری ماشین انواع Abnormaly ها در سطح شبکه-کاربران و اپلیکشن ها را اشکار نموده و Base line فراگیری شده براحتی قابل مشاهده است.

OMNI Command

ماژول قدرتمند تحلیل که  Detailed root-cause analysis with a timeline view را در کسری از ثانیه بر پایه یادگیری ماشین و نیز AI که مبتنی بر GPT  فراهم می نماید.

Omni-Command از فناوری Flink CEP (پردازش رویداد پیچیده) برای پردازش داده ها استفاده می کند و معنای پیچیده CEP را با ترکیب الگوهای مختلف قوانین همبستگی (correlation rule) پیاده سازی می کند. این داده‌های جمع‌آوری‌شده از نقطه پایانی و شبکه را با اطلاعات تهدید مبتنی بر ابر، داده‌های دارایی و داده‌های زمانی برای شناسایی حوادث پیچیده مرتبط می‌کند.

این پلتفرم هشدارهای پرخطر از منابع مختلف تله متری را در اولویت قرار می دهد و توصیه های پاسخ دقیق و عملی را ارائه می دهد و به اپراتورهای امنیتی کمک می کند تا کارایی را بهبود بخشند و MTTD و MTTR را کاهش دهند.

برای هشدارهای پرخطر + کم خطر از منابع مختلف تله متری، پلت فرم دقت تشخیص را از طریق همبستگی چند عاملی(multi-factor correlation) بهبود می بخشد و به طور موثر نرخ های false positive  را کاهش می دهد. برای حملاتی که نمی‌توان آنها را به‌طور دقیق از یک منبع داده شناسایی کرد، مانند آپلود پوسته وب یا حملات brute-force RDP، پلتفرم تجزیه و تحلیل همبستگی E+N (نقطه پایانی + شبکه) را برای تأیید متقابل انجام می‌دهد که دقت تشخیص را تا حد زیادی افزایش می‌دهد.

برای هشدارهای کم خطر از منابع مختلف تله متری، پلتفرم Omni-Command همه آنها را به منظور افزایش پوشش تشخیص تهدید مرتبط می کند. خواه این یک حمله خودکار اسکریپت باشد یا یک حمله APT، آنها جایی برای پنهان شدن در پلتفرم Omni-Command نخواهند داشت.

این ماژول اصلی ،نقطه اتصال تمامی راهکارهای بالا و نیز third party های نظیر فایروال ها، آنتی ویروس و حتی TI های اکسترنال می باشد.

این راهکار با ارایه سامانه هوش مصنوعی خود علاوه بر رفتار شناسی امکان بررسی آنالیز داینامیک فایل ها در Sandbox خود فراهم می نماید.

در شمایی از راهکار OMNI Command  سطح گستردگی تحت پوشش راهکار نشان داده شده است:

سطح دقت شناسایی و False positive ها که بر اساس مدل های یادگیری ماشین و AI در شماتیک زیر نشان داده شده است:

ماژول OMNI Command  با بهره گیری از تکنولوژی هوش مصنوعی مدل GPT (راهکارAnalysis   Security GPT )حملات را شناسایی می نماید و در عرض 5 ثانیه واکنش نشان میدهد(MTR):

این راهکار با استفاده از تکنولوژی Secure GPT حملات پیچیده هکر را شناسایی کرده و با ایجاد زنجیره واکنش تهدیدات را به حداقل می رساند:

راهکار Omni Command در ادغام با راهکارهای برند های دیگر در شبکه سازمان ها امکان واکنش به رخداد امنیتی را در تمامی سطوح ها فراهم می نماید:

استفاده از قابلیت Security GPT علاوه بر موارد زیر، False Positive را به زیر 4.3 درصد می رساند که عددی بسیار مناسب در حوزه حملات سایبری می باشد:

راهکار OMNI Command  در حقیقت یه SIEM از نوع TACTICAL بوده و تمامی حملات سایبری را از لاگ های امنیتی تشخیص داده و پاسخ مناسب را در کسری از ثانیه فراهم می نماید:

ضمنا این راهکار با امکان نصب راهکار شنود شبکه در زون های مختلف حرکت های مخفیانه هک ها رو شناسایی کرده و گزارش می نماید.( lateral movement)در این راهکار بانظر به داشتن هوش مصنوعی عملیات فارنزیک را تا حدود زیادی انجام داده و می توان خیلی از واکنش ها را بصورت اتوماتیک در آن تعریف نمود

در انتخاب این راهکار با توجه نصب on-premises حفظ محرمانگی داده های تبادلی رعایت شده و نیز تمامی آپ دیت ها بصورت کاملا افلاین انجام می پذیرد.