אוסף של ראשי תיבות נפוצים בעולם הסייבר: EDR, XDR, MDR. נעשה בהם סדר:
EDR – Endpoint Detection & Response – אבולוציה של פתרונות המסורתיים שנהגנו לקרוא להם בעבר Anti Virus. פתרונות אלו היו מבוססים מאגרי חתימות קבצים ואלו הפכו לא יעילים כשחדרו הרוגלות לעולמנו ובהם רוב המתקפות החדשות – מקורן אינו מגיע מקובץ. רוגלות משנות את חתימתיהן ואף מייצרות קבצים חדשים עם חתימות לא מזוהות על כן התעשייה נפרדת מתפיסת "הוירוסים" ועברה לזיהוי מבוסס AI שיתחכה אחר התנהגות בתחנת הקצה אשר אופייני להתנהגות שמתבצעת בזמן חדירה או תקיפת סייבר.
XDR – Extended Detection & Response – זהו בעצם הרחבה ל-EDR. הרחבה זו באה לידי ביטוי בעצם העובדה שבנוסף לשימוש ב-AI ןלמידת מכונה כדי לזהות דפוס עוין בתחנות ובשרתים של הארגון, רכיב ה-XDR בעצם מתחבר למקורות חיצוניים המזינים את הפלטפורמה במידע שיכול לסייע בזיהוי ובמניעה. המידע הזה מגיע ממקורות דיווח חיצוניים, ענני מודיעין, יצרנים המדווחים על פגיעויות בדרגה גבוהה במוצר שלהם וכו'.
MDR – Managed Detection & Response – זהו שירות אנושי אשר מקפיץ התראת אמת לגורם חיצוני המנהל מוקד בקרה לסייבר (SOC). המוקד עובד 24/7, מנתח את הארוע המדווח מהמערכת בזמן אמת ומבצע פעולות הגנה, חסימה בזמן אמת, מיידע את הארגון על הארוע וניתן גם לבצע חקירת ארוע מעמיקה יותר במידה ונדרש (Incident Response).
ריבוי ראשי התיבות לשירותים השונים מרמז גם על הצורך בשדרוג הטכנולוגיות הנדרשות כתוצאה מאמת כואבת: שחקני איומי הסייבר ממשיכים להתפתח בקצב מהיר ומגני הסייבר צריכים תמיד להשאר צעד אחד קדימה או אפילו יותר.
לצד נוף האיומים המשתנה והגדל, נמצאים גם חידושים בפעילות העסקית עצמה ופיתוחים טכנולוגיים הקשורים לעידן הדיגטלי. עברנו מעולם מקומי המוגבל בהיקף רשת, לניהול תשתית מבוזרת ומופעלת בענן, עם עבודה מרחוק, שימוש בקונטיינרים, שימוש בפלטפורמות ענן PaaS ויישומי ענן SaaS. כל אלו מוסיפים למורכבות של הבטחת האבטחה ברמה העסקית והתפעולית כאחד.
נוסף על כל זה, כפי שיגיד לך כל CISO, מספר התקפות הסייבר, תוקפי הסייבר ומערכות הכלים הפוגעניות גדל. טכנולוגיות האבטחה של פעם לא נבנו כדי להתמודד עם נוף האיומים המורכב והמהיר של ימינו.
הראיות לכך משכנעות: התקפות כופר מתגברות יחד עם הפרות נתונים וגניבת IP, צוותי SOC מאומצים המתמודדים עם מחסור בכוח אדם וריבוי התקפות שמצליחות למרות נוכחותם של כלי אבטחה מסורתיים.
ברור לכל, כי אנו זקוקים לגישה חדשה והוליסטית יותר לגילוי ותגובה, כזו שלא רק מקיפה נקודות קצה מסורתיות אלא כוללות גם את משטח ההתקפה המוגבר כמו הרשת והענן. למרבה המזל, אלה רק חלק מהבעיות ש- XDR תוכנן לפתור ואת הערך המוסף שמתקבל בשילוב צוות אנושי אשר מנהל את הארועים – שירות ה- MDR.
ננתח עוד את היתרונות שיש בכל אחד מהשירותים שהזכרנו
ל-EDR יש מספר יתרונות שהופכים אותו לכלי אבטחה הכרחי. הוא מציע נראות לפעילות בנקודות הקצה של הארגון. מכיוון ש-70% מכל הפרצות מתחילות בנקודות קצה, גישה זו היא בעלת ערך רב עבור אנשי האבטחה.
EDR מתמקד בסקירת קבוצה רחבה של מידע. ככאלה, ניתן לזהות איומים שהיו מתחמקים מפלטפורמות מסורתיות (AV/EPP) מדור קודם, כגון התקפות תוכנות זדוניות ללא קבצים. כמו כלים אחרים, EDR יכול להשתלב עם שירות נראות רחב איותר כמו פלטפורמת ניהול אירועי אבטחת מידע (SIEM).
אולם ההתמקדות המצומצמת בטלמטריית נקודות קצה בלבד מגבילה את כמות הנתונים הזמינים לניתוח. במבט בודד, פעילות חריגה של נקודות קצה מציירת תמונה לא שלמה. ללא הקשר ממה שקורה ברשת או בענן, למשל, קשה יותר לקבוע מהו איום אמיתי ומהו פשוט חיובי שגוי.
יתרה מכך, בשימוש כחלק מ-SIEM, פתרונות EDR יכולים גם לתרום לנפח התראה משמעותי. פעילות בנקודות קצה תייצר קבוצה אחת של התראות, בעוד שפעילות בענן (פוטנציאלית מאותו איום) יוצרת קבוצה אחרת. אתגר המתאם אומר שההתמודדות עם ההתראות עלולה להשאיר את הצוותים מותשים, להחמיר את עייפות ההתראות ולגביר את תחלופת העובדים.
פתרונות XDR מכירים בכך שזיהוי נקודות קצה לבדו אינו מספיק כדי להגן על תשתית IT מודרנית. אינדיקטורים של חדירה לארגון אינם מוצגים רק בנקודות הקצה; תעבורה חריגה ודפוסי תעבורה דרך הרשת, ופעילות ענן חריגה יכולה להעיד באותה מידה על חדירת תוקף.
מעבר לכך, XDR מספק מגוון יתרונות לארגונים:
זיהוי ותגובה משופרים – בשל ההתמקדות שלו בכל משטח האיומים, XDR יכול לעזור לארגונים לזהות ולטפל באיומים המכוונים לכל היבטי תשתית ה-IT.
ממשק משתמש מרכזי – אחת מהנקודות החזקות של פתרונות XDR היא העובדה שהם מרכזים את כל נתוני האיומים בלוח מחוונים אחד, מה שמקל על צוותים לתעדף את התגובה שלהם.
עלות כוללת נמוכה יותר של בעלות – פתרונות XDR יכולים לפשט ערכות כלי אבטחה, ולעתים קרובות עוזרים לארגונים למצוא יעילות ולמקסם את המשאבים שלהם.
ניתוח אוטומטי – פתרון שיזהה, יבחן ויתעדף איומים בשמך תוך ניתוח של חבילות נתונים הוא יתרון עצום עבור צוותי אבטחה בכל מקום.
XDR נוקטת בגישה הרחבה שלה לניטור איומי סייבר על ידי חיבור של מספר חלקים של טכנולוגיה כדי לספק תובנה רבה יותר לגבי סביבת IT – אבל אפילו לגישה זו יש חסרונות.
פתרונות XDR לרוב בנויים בצורה שונה – כלומר, כל רכיב לא פותח בצורה מגובשת מהיסוד כדי להבטיח יכולת פעולה הדדית חלקה. כתוצאה מכך, ייתכן שכל חלק של הפלטפורמה מספק רק תמונת מצב של התמונה הרחבה יותר. בנוסף, טביעת הרגל והשימוש ב-CPU עקב חלקי הטכנולוגיה השונים יכולים להיות משמעותיים.
זה מוביל גם לרעש ניכר. כל כלי בפתרון XDR עשוי לספק התראות מרובות עבור אותה בעיה. כפי שהוזכר לעיל, פעילות חשודה בשירות ענן ופעילות חשודה בנקודת קצה עשויה להיות קשורה, אך פתרונות XDR לא תמיד מספקים את ההקשר הזה – מה שעשוי להיות ההבדל בין מניעת התקפה או נפילת קורבן לאחד.
XDR מחליף אבטחה מושתקת ומסייע לארגונים להתמודד עם אתגרי אבטחת סייבר מנקודת מבט אחידה. בהתבסס על מאגר יחיד של נתונים גולמיים הכוללים מידע מכל המערכת האקולוגית, XDR מאפשר איתור ותגובה לאיומים באופן מהיר, עמוק ויעיל יותר מאשר EDR, כולל איתור ואיסוף נתונים ממגוון רחב יותר של מקורות.
XDR מספק הרבה יותר נראות ברשת בהקשר לאיומי סייבר. אירועים שלא היו מטופלים בעבר באמצעות מערכות EPP לדוגמא, יעלו לרמת מודעות גבוהה יותר באמצעות בינה מלאכותית ויאפשרו לצוותי האבטחה לתקן ולצמצם כל השפעה נוספת ולמזער את היקף ההתקפה.
מתקפת "כופר" טיפוסית חוצה את הרשת, נוחתת בתיבת דואר אלקטרוני ואז תוקפת את נקודת הקצה. XDR משלב אבטחה כדי לאפשר חסימה, הסרת גישה ועוד – כל אלה מתרחשים באמצעות חוקה מותאמת אישית שמוגדרת על ידי מנהל המערכת, בשילוב לוגיקה המובנית במנוע האיתור של פתרון ה XDR.
היתרון הגדול ביותר של MDR הוא השקט הנפשי שהוא מציע לארגונים. כשירות מנוהל, MDR מפנה זמן לצוותי IT ואבטחה להתמקד ביוזמות אסטרטגיות התומכות במטרות הארגון.
יתרה מכך, שירות מנוהל עשוי להיות חסכוני יותר ונגיש יותר מאשר בניית צוות אבטחה פנימי. על ידי נטילת יכולות EDR ואספקתן כשירות מנוהל, ספקי MDR יכולים להציע יתרונות נוספים ללקוחותיהם:
ניתוח אירועים – טיפול בעבודה הקשה של ניתוח פוטנציאל של מיליארדי אירועי אבטחה, סיוע לנכות תוצאות כוזבות מאיומים אמיתיים, לעתים קרובות על ידי הגברת למידת מכונה עם ניתוח ותמיכה אנושית.
ניסוי התראות – בדיקת התראות המאפשרת לעסקים לתעדף טוב יותר את פעילויות אבטחת הסייבר שלהם ולהתמקד קודם כל בנושאים הקריטיים ביותר.
ניהול פגיעות – טיפול יזום בפרצות כדי למזער את פני האיומים של הארגון
תיקון – מוצע כשירות נוסף או כלול בהסכם השירות, ספקי MDR יכולים לסייע בתיקון, שחזור ותיקון לאחר אירוע אבטחת סייבר, תוך מזעור נזקים וזמן התאוששות.
ציד איומים – ספקי MDR יכולים לפקח על רשת הארגון ולחפש תקריות אקטיביות, לעזור לעסקים לזהות איומים מוקדם ולמזער נזקים פוטנציאליים.
עד כמה שמוצרים ושירותי MDR שימושיים יכולים להיות, לא כל ספק מציע את ההגנה מקצה לקצה שעסק מודרני דורש. חלק מפתרונות MDR לא מצליחים לתת מענה לאיומים מבוססי רשת או ענן, ומציעים רק נראות לתוך קבוצה אחת של נתונים.
פתרון ה- XDR המתקדם של SentinelOne הוא למעשה פתרון חדשני מהדור הבא, המשמש כמעטפת אבטחת מידע אשר מבצעת זיהוי התנהגות חשודה ומניעת התקפת Zero Day באופן מיידי.
חברת SentinelOne היא למעשה שפיתחה ראשונה בעולם את פתרונות ה EDR, זוהי חברת סייבר ישראלית/אמריקאית שנוסדה כבר ב-2013 ופועלת כיום כחברה גלובלית בעלת שווי שוק של מיליארדי דולרים כיוון והיא מביאה פלטפורמה רחבה לטיפול באיומי סייבר.
פלטפורמת SentinelOne היא ייחודית ובעלת טכנולוגיה חדשנית להגנה על תחנות קצה, הכוללת מספר מנועי תוכנה הפועלים בו זמנית ומבצעים מספר רב של פעולות באופן רציף לצורך ניטור, זיהוי פעילות חשודה, חסימה ומניעה. בנוסף, ל- SentinelOne יש מנוע מתקדם לאיסוף נתונים, תחקור וניתוח מעמיק של אירוע סייבר.
הפלטפורמה מספקת למעשה מספר שכבות הגנה; מרמת מניעת איומים ידועים על ידי התממשקות עם Cloud Intelligence, דרך עצירת Exploits ועד זיהוי ומניעה של התקפות מתקדמות בין אם בקבצי exe או כל תוכן אחר (Doc, PDF, JS, Powershell), או אפילו התקפות הרצות בזיכרון בלבד, ללא כל קובץ מקומי במחשב המותקף.
MITRE ATT&CK Evaluation הגדירה לאחרונה את SentinelOne כמובילה בתחום:
*פניות רלוונטיות יענו. פתרונות החברה מיועדים לארגונים עם 100 משתמשים ומעלה.
