בעולם הסייבר ראשי תיבות יש בשפע, מ- AV (שהם AntI-Virus), דרך EPP (הוא End Point Protection), עבור ל- EDR ( שמשמעותו Endpoint Detection & Response) וכעת ראשי התיבות החמים XDR שהם Extended Detection & Response.
מה באמת משקפות ראשי התיבות האלו ומה עומד מאחוריהן בפועל?
ריבוי ראשי התיבות בעולם הסייבר מבטא למעשה טכנולוגיות משתנות שמשקפות אמת קיימת: שחקני איומי הסייב ממשיכים להתפתח בקצב מהיר ומגני הסייבר צריכים תמיד להשא צעד אחד קדימה או אפילו יותר.
לצד נוף האיומים המשתנה והגדל, נמצאים גם חידושים בפעילות העסקית עצמה ופיתוחים טכנולוגיים הקשורים לעידן הדיגטלי. עברנו מעולם מקומי המוגבל בהיקף רשת, לניהול תשתית מבוזרת ומופעלת בענן, עם עבודה מרחוק ו-5 מיליארד ועידות טלפוניות חודשיות המוסיפות למורכבות של הבטחת האבטחה ברמה העסקית והתפעולית כאחד.
נוסף על כל זה, כפי שיגיד לך כל CISO, מספר התקפות הסייבר, תוקפי הסייבר ומערכות הכלים הפוגעניות גדל. טכנולוגיות האבטחה של פעם לא נבנו כדי להתמודד עם נוף האיומים המורכב והמהיר של ימינו.
הראיות לכך משכנעות: התקפות כופר מתגברות יחד עם הפרות נתונים וגניבת IP, צוותי SOC מאומצים המתמודדים עם מחסור בכוח אדם וריבוי התקפות שמצליחות למרות נוכחותם של כלי אבטחה מסורתיים.
ברור לכל, כי אנו זקוקים לגישה חדשה והוליסטית יותר לגילוי ותגובה, כזו שלא רק מקיפה נקודות קצה מסורתיות אלא כוללות גם את משטח ההתקפה המוגבר כמו הרשת והענן. למרבה המזל, אלה רק חלק מהבעיות ש- XDR תוכנן לפתור. במאמר זה נסביר מה זה XDR וכיצד הוא משנה את כללי המשחק כדי להעצים צוותי אבטחה ארגוניים ומנטרל את שחקני האיומים.
XDR(Extended Detection & Response – זיהוי ותגובה מורחבת), הוא הדור הבא של פתרונות ה- EDR (Endpoint Detection & Response – איתור נקודות קצה ותגובה).
פתרונות EDR, במיוחד אלו האקטיביים שמסוגלים לקבל החלטות באופן אוטונומי בזמן אמת, הביאו בשורה לעולם הגנת הסייבר בדמות נראות ותגובה אוטומטית לנקודות קצה כמו מחשבים ניידים ותחנות עבודה. אך בפועל, ברשת של ימינו יש כל כך הרבה צמתי גישה ומקורות מידע נוספים העשויים לעבור על ידי תוקפים בדרך לפריצה מוצלחת, החל מטלפונים ניידים ומכשירי IoT, ועד קונטיינרים ויישומי ענן (SaaS).
התפיסה הזו מכונה לעיתים זיהוי ותגובה שהוא "Cross-Layered" או "Any Source Data".
XDR חורג מעבר לנקודות הקצה כדי לקבל החלטות על סמך נתונים ממוצרים נוספים ויכול לנקוט בפעולה בכל שכבה בתשתית הארגונית, בין אם זו פעולה שקרתה בדוא"ל, ברשת, בגניבת זהות או מעבר לכך.
XDR מחליף אבטחה מושתקת ומסייע לארגונים להתמודד עם אתגרי אבטחת סייבר מנקודת מבט אחידה. בהתבסס על מאגר יחיד של נתונים גולמיים הכוללים מידע מכל המערכת האקולוגית, XDR מאפשר איתור ותגובה לאיומים באופן מהיר, עמוק ויעיל יותר מאשר EDR, כולל איתור ואיסוף נתונים ממגוון רחב יותר של מקורות.
XDR מספק הרבה יותר נראות ברשת בהקשר לאיומי סייבר. אירועים שלא היו מטופלים בעבר באמצעות מערכות EPP לדוגמא, יעלו לרמת מודעות גבוהה יותר באמצעות בינה מלאכותית ויאפשרו לצוותי האבטחה לתקן ולצמצם כל השפעה נוספת ולמזער את היקף ההתקפה.
מתקפת "כופר" טיפוסית חוצה את הרשת, נוחתת בתיבת דואר אלקטרוני ואז תוקפת את נקודת הקצה. XDR משלב אבטחה כדי לאפשר חסימה, הסרת גישה ועוד – כל אלה מתרחשים באמצעות חוקה מותאמת אישית שמוגדרת על ידי מנהל המערכת, בשילוב לוגיקה המובנית במנוע האיתור של פתרון ה XDR.
כאמור, מערכת ה XDR אוספת נתונים גולמיים ומידע מכלל המערכת האקולוגית הארגונית וממגוון רחב הרבה יותר של מקורות, דבר שמאפשר איתור איומים מהיר הרבה יותר כמו גם תגובה מתאימה יותר, עמוקה ויעילה יותר מאשר הטכנולוגיות שהיו קיימות עד כה להגנה על נקודות קצה.
נראות מקיפה זו מביאה מספר יתרונות הכוללות:
יתר על כן, בזכות AI ואוטומציה, XDR מסייע בהפחתת העומס בעבודה ידנית של אנליסטים בתחום הסייבר. פתרון XDR יכול לאתר באופן יזום ומהיר איומים מתוחכמים, להגדיל את התפוקה של צוות האבטחה או ה-SOC ולספק לארגון החזר השקעה (ROI) משמעותי.
פתרון ה- XDR המתקדם של SentinelOne הוא למעשה פתרון חדשני מהדור הבא, המשמש כמעטפת אבטחת מידע אשר מבצעת זיהוי התנהגות חשודה ומניעת התקפת Zero Day באופן מיידי.
חברת SentinelOne היא למעשה שפיתחה ראשונה בעולם את פתרונות ה EDR, זוהי חברת סייבר ישראלית/אמריקאית שנוסדה כבר ב-2013 ופועלת כיום כחברה גלובלית בעלת שווי שוק של מעל 10 מיליארד דולר.
פלטפורמתSentinelOne היא ייחודית ובעלת טכנולוגיה חדשנית להגנה על תחנות קצה, הכוללת מספר מנועי תוכנה הפועלים בו זמנית ומבצעים מספר רב של פעולות באופן רציף לצורך ניטור, זיהוי פעילות חשודה, חסימה ומניעה. בנוסף, ל- SentinelOne יש מנוע מתקדם לאיסוף נתונים, תחקור וניתוח מעמיק של אירוע סייבר.
הפלטפורמה מספקת למעשה מספר שכבות הגנה; מרמת מניעת איומים ידועים על ידי התממשקות עם Cloud Intelligence, דרך עצירת Exploits ועד זיהוי ומניעה של התקפות מתקדמות בין אם בקבצי exe או כל תוכן אחר (Doc, PDF, JS, Powershell), או אפילו התקפות הרצות בזיכרון בלבד, ללא כל קובץ מקומי במחשב המותקף.
בנוסף לאלו, SentinelOneמהווה גם תחליף מלא עם אישור AV-Test לאנטי וירוס.
MITRE ATT&CK Evaluation הגדירה לאחרונה את SentinelOne כמובילה בתחום:
