he
הפלטפורמה
מדוע SentinelOne
שירותים
שותפים
משאבים
אודות
he
ניסיון חינם

איך לאמץ XDR בארגון?

by SentinelOne

המונח XDR מייצר המון באז בעולם האבטחה. לפי פירמת המחקר גרטנר XDR נמצא כרגע בשיא של ה-Hype Cycle וארגונים רבים רואים בו את ההבטחה לשיפור ביעילות מערך האבטחה שלהם. אבל כמו בכל טרנד, קשה להבדיל בין ההייפ לבין המציאות, ורבים אינם יודעים בכלל מה פירוש ראשי התיבות- שהן בסך הכל Extended EDR- כלומר, התבססות על מערכות הגנת תחנות קצה מודרניות והגדלת היכולות שלהן לקבל מידע ממקורות נוספים, ועל ידי כך להוריד עלויות ולשפר יעילות של מערך האבטחה.

ה -XDR  מרחיב את הקונספט המסורתי של EDR בכמה אופנים:

  1. הוא מאפשר אינטגרציה והזנה של מקורות מידע רבים ומגוונים, שמעשירים את המידע שעליו ניתן לבצע אנליזה.
  2. הוא מאפשר לערוך חיפושים נרחבים באופן אקטיבי לגילוי איומים שמתחבאים מתחת לסף הרעש
  3. במידה ומתרחש אירוע, המערכת מאפשרת לחקור בצורה מהירה ואפקטיבית, לזהות את וקטור החדירה ואת דרך ההכלה והניקוי המהירות ביותר.
  4. מערכות XDR מאפשרות לאנליסטים לבצע ״צייד״ של איומים מתקדמים גם ללא התראה מוקדמת, ובכך לזהות מתקפות מתוחכמות ולנטרל אותן בשלבים מוקדמים של המתקפה.

אם כך, XDR איננה באזוורד שיווקי נוסף אלא אבולוציה של קונספטים מוכחים מעולם אבטחת תחנות הקצה ש״מורחבת״ ומועצמת על מנת להתמודד עם האיומים המתקדמים של היום ועם איומי המחר.

אם השתכנענו שזה קונספט מנצח, נשאלת השאלה- כיצד יש לגשת לבחינה ורכש של מערכת XDR לארגון?

להתחיל עם בחינה של מערכת שמתבססת על פתרון EDR מוכח

כמו בכל רכש טכנולוגי, מומלץ להתבסס על פתרונות שכבר עובדים בארגון. CISOים בפרט מעדיפים להסתמך על מערכות מוכחות שצוותי האבטחה כבר מכירים ולא נדרש להן תהליך הטמעה ארוך, מורכב ומייגע. הסתמכות על פתרון EDR קיים תקל על הטמעת מערכת XDR בארגון. לדוגמא- לעשות שימוש במערכת הקיימת לקבל נתוני טלמטריה מתחנות הקצה ולשלוט ולהגן על תחנות הקצה דרך מערכת ה-XDR.  מערכת EDR איכותית מספקת גם גילוי ותגובה בזמן אמת, יכולות שבעזרת מערכת XDR ניתן להרחיב לכל חלקי הארגון (ולא רק על גבי תחנות הקצה). התראות נקודתיות יקבלו כעת תשומת לב גדולה יותר וצוות האבטחה יוכל לטפל בהן לפני שיתפתחו וישפיעו על כלל הארגון, תוך שהם יקבלו תמונה מלאה יותר של המתקפה בזמן מהיר יותר.

לבחון פתרון XDR שמגביר את יעילות צוותי האבטחה (SecOPS)

פתרון ה-XDR האידיאלי תורם ליעילות ומאפשר לאותו צוות אבטחה לעשות יותר ויותר טוב – לפעול מהר יותר ולבצע פחות טעויות. לשם כך צריך פתרון שמכיל אינטגרציות למערכות שונות ורמה גבוהה של אוטומציה. צוותי האבטחה בארגון עמוסים ביותר, והצפי הוא שהעומס יילך ויגדל בשנים הבאות (יהיו יותר איומים, יותר כלי אבטחה וכנראה פחות אנשי אבטחה). פתרון שמבצע קורלציה אוטומטית בין אירועים ותציג לאנליסטים רק את ההתראות הרלוונטיות ביותר (״מקפל״ בתוך התראה בודדת את כל ה״סיפור״ של אותה מתקפה)- גם אם מדובר בעשרות אירועים שלכאורה אינם קשורים זה בזה. לדוגמה- העשרה אוטומטית של התראות על ידי אינטגרציה לשירותי מודיעין סייבר מסייעת לצוות האבטחה לחקור ולתפעל אירועי אבטחה. בדומה לכך, כלי שמכיל ספריה מקיפה של שאילתות (שמכילות IOCs ו-  TTPs) מקל על חקירת אירועים ומוריד עומס מהאנליסטים החוקרים את התקרית. התוצאה צריכה להיות פחות התראות שהצוות זקוק לפחות פעולות בכדי לתפעל. באופן כזה, פלטפורמת ה-XDR של SentinelOne הציגה לאנליסטים במבדקי MITRE האחרונים 9 התראות, שכל אחת מהן ייצגה קמפיין תקיפה, ש״קיפלו״ בתוכן יומיים אינטנסיבים של בדיקות ועשרות שלבי מתקפה שונים.

לבחור בפתרון שמנצל מערכות וידע אבטחה שכבר קיים בארגון

פתרון  XDR איכותי אמור לאפשר מקסום של הכסף והמאמצים שהושקעו ברכישתו וקליטתו. פתרון XDR שמכיל אינטגרציות למערכות האבטחה הקיימות בארגון מאפשר לנצל השקעות קודמות בתשתית וכן להמשיך לעבוד באופן דומה לאופן העבודה שאנשי הארגון כבר מכירים. החלפה והטמעה של פתרון נקודתי, טוב ככל שיהיה, מחייב את צוותי האבטחה ללמוד מחדש נהלים ואופן הפעלה, ולמעשה ״זורק לפח״ את ההשקעה בתשתית ובכוח אדם שבוצעה עד כה. Singularity Marketplace  של SentinelOne מאפשרת להוסיף אינטגרציות ממערכות חיצוניות נוספות כגון SIEM, SOAR ואחרות במספר קליקים בלבד. מערכות לאבטחת מיילֿ, זהות, אבטחת שירותי ענן ועוד יכולות להתחבר ל XDR ולספק תמונה שלמה יותר מבלי לסבך את התפעול ומבלי לכתוב שורת קוד אחת.

ניתן לומר ש XDR הוא פתרון סינרגטי- הוא מעצים את הערך של כל אחת מהמערכות שמחוברות אליו מבלי להזדקק להשקעה נוספתֿ, ומאפשר להרחיב את הכיסוי בארגון ככל שעובר הזמן ומערכות חדשות נכנסות לפעולה ומתממשקות אליו. התוצאה של הסינרגטיות הזו היא הגברת אוטומציה ואיתה הגדלת היעילות של האנליסטים.

לראות מעבר ל״באז״ השיווקי

בבחירת פתרון XDR מנהל האבטחה צריך לראות מעבר לבאז השיווקי ולהתמקד במה שחשוב באמת- בתוצאות שהמערת מסוגלת להביא. יש להגדיר KPI שדרכם ניתן למדוד את האפקטיביות של הכלים והתהליכים בהם משתמשים ואותם ניתן להציג להנהלה הבכירה. מערכת XDR אמורה לשפר את ה KPI של מערך האבטחה בארגון על ידי מתן תגובה מהירה ומושלמת יותר מאשר אוסף של כלים שפועלים במנותק אחד מהשני כגון EDR  ו- SIEM. KPI חשוב במיוחד הוא הזמן הממוצע לגילוי (MTTD- Mean time to detect). מגוון המקורות הנרחב של פלטפורמת XDR אמור להביא לגילוי מוקדם יותר והאוטומציה שלו- לטיפול והתאוששות מהירים יותר מהתקרית. ההנהלה של הארגון מתעניינת לא רק בהגדלת האפקטיביות של מערך האבטחה אלא גם בתקציב הנדרש.  XDR מוריד את עלות התפעול הכוללת (TCO-Total Cost of Ownership ) – ניתן לבצע יותר עם אותו מספר אנליסטים. בניגוד לכלי אבטחה שונים, שיכולים (או לא) להעניק יתרונות מסויימים בתרחישים מסויימים שקשים למדידה,הרי ש XDR אמור לספק שיפור משמעותי, ולא פחות חשוב מכך- מדיד, בתפקוד מערך האבטחה.

סיכום

עולם האבטחה משתנה במהירות וקשה לעקוב אחרי ההתפתחויות הטכנולוגיות ולהבין אילו מוצרים משפרים באמת את תפקוד צוותי האבטחה. XDR היא טכנולוגיה מוכחת שמגבירה את יעילות צוותי האבטחה והיא הבסיס הטכנולוגי שעליו יתבסס מערך האבטחה היום ובעתיד.