edr vs mdr vs xdr

تفاوت EDR و XDR و MDR

در این مقاله قصد داریم به بررسی سه مفهوم مهم در حوزه امنیت سایبری پرداخته و از ابعاد مختلف به ضرورت توجه و به کارگیری هر یک از این موارد بپردازیم. اصلی ترین پارامتری که ضرورت بکارگیری ابزارهای پیشرفته منطبق بر تکنولوژی روز حوزه سایبری را تقویت مینماید این است که امروز همگام با رشد تکنولوژی حملات و مخاطرات نیز پیچیده تر و اثرگذاری آن بر روی قربانی به مراتب پرهزینه تر و با آسیب بیشتری رخ خواهد داد. در نتیجه علاوه بر اینکه ابزارهای سنتی پاسخگوی نیاز دفاع سایبری سازمان نیستند، جذب نیروی مختصص و هزینه نگهداری آن جهت راهبری محصولات پیشرفته نیز از دیگر معضلات این حوزه میباشد.

لذا بررسی و تشخیص دقیق نیاز سازمان و شناخت راهکارهای متناسب با آن میتواند ما را در رسیدن به بهترین و اثرگذارترین راه حل یاری نماید. یکی از حوزه هایی که میتواند منشع نفوذ و حمله واقع شود، نقاط پایانی(سرور، کلاینت، موبایل و …) با هر نقشی است.

در ادامه به بررسی ابزار و خدمات اثر گذار حوزه امنیت سایبری میپردازیم:

Endpoint Detection and Response (EDR)
Extended Detection and Response (XDR)
Managed Detection and Response (MDR)

سامانه کشف و پاسخ به تهدیدات پنهان EDR

امنیت سایبری به سمت تهدیداتی پیش میرود که پنهان‌تر، مخربتر، پیچیده‌تر و پایدارتر هستند. بسیاری از تهدیدات و حملات سایبری ماه‌ها مخفی مانده و تنها زمانی کشف می‌شوند که کار از کار گذشته است. از طرفی به دلایل زیر ابزارهای امنیتی سنتی کارائی لازم را شناسایی و پاسخ به این رخداد های امنیتی ندارند:

* ضد بدافزارها عموما بدافزارهای عمومی را شناسائی می کنند.(مبتنی بر امضاء)
* حملات بدون فایل و حملات مبتنی بر مرورگرهای وب، بدون وجود هیچ فایل مخربی شروع به اقدامات خود کرده و منجر به حملات پیچیده و چندمرحله ای میگردد.
* عدم شناسایی اقدامات پیش از حمله توسط مهاجمان و عدم قدرت تشخیص فرآیندهای منتهی به حمله.

در این راستا ابزار پیشرفته EDR در قالب فرآینده پایش، تحلیل و در نهایت پاسخ به تهدیدات، نقاط پایانی را برای مقابله با تعدیدات پیشرفته مجهز مینماید.

 

EDR
سامانه کشف و پاسخ به تهدیدات پنهان توسعه یافته XDR

در فرآیند پیاده سازی و راهبری EDR با محدودیتی مواجه هستیم که متخصصین امنیت را ترقیب به توسعه این محصول نمود. در EDR مراحل پایش، تحلیل و واکنش به رخداد صرفا در شبکه تحت مدیریت کنسول سامانه EDR انجام میگرفت، در نتیجه اگر تهدید از منبع دیگری در سطح شبکه به وقوع می پیوست، امکان شناسایی و مقابله با آن از طریق این سامانه فراهم نمیشد. پلتفرم XDR امکان جمع آوری لاگ های امنیتی را در سراسر شبکه و زیر ساخت آن فراهم مینماید.

یک پلتفرم XDR داده‌ها را از سراسر زیرساخت جمع‌آوری و مرتبط می‌کند تا بتواند دید کاملی را نسبت به رصد تهدیدات را در سراسر سازمان ایجاد نموده و عملیات امنیتی را تسریع کند و خطر را کاهش دهد. XDR این داده‌ها را تجزیه و تحلیل، اولویت‌بندی و نرمال سازی کرده، بنابراین می‌توان آن‌ها را در قالبی آماده از طریق یک کنسول واحد و یکپارچه به تیم‌های امنیتی جهت بررسی و تریاژ تحویل دهد.

سطوح حمله
XDR
سرویس امنیتی کشف و پاسخ به تهدیدات مدیریت شده MDR

سرویسی امنیتی شبانه روزی (24*7) کشف و پاسخ به تهدیدات MDR با بکارگیری تکنولوژی‌های پیشرفته و خودکار فرآیند مانیتورینگ، شناسایی و پاسخ به تهدید را مدیریت مینماید. هدف از سرویس MDR کمک به سازمان ها در راستای مقابله با تهدیدات سایبری و پاسخ به رخداد (Incident Response) صورت میپذیرد. سرویس MDR ترکیبی از هوش تهدید و تجزیه و تحلیل‌های پیشرفته با بررسی انسانی رخدادها و متخصصان پاسخ به رخداد می‌باشد.

در نتیجه به صورت کلی MDR یک راهکار امن متمرکز، بر پایه اطلاعات دقیق و عمیق جمع‌آوری شده توسط سنسورها از سیستم‌های شبکه طراحی شده است به گونه ای که با تگ‌گذاری، تجمیع، تولید هشدار و داده‌نمایی آنها مطابق تجربیات و دانش کسب شده از حملات قبلی سایبری نفوذ را کشف نموده و از ادامه فعالیت نفوذگر در شبکه جلوگیری می‌ نماید.

MDR

در انتها برای جمع بندی موارد فوق به قیاس EDR  با XDR و سرویس امنیتی MDR در جدول میپردازیم:

Endpoint Detection and Response (EDR)
Extended Detection and Response (XDR)
Managed Detection and Response (MDR)
قابلیتها

* شناسایی و پاسخ به تعدیدات در حوزه نقاط پایانی
* قابل ادغام با راهکارهای دیگر امنیتی

* شناسایی و پاسخ به تعدیدات در تمام سطوح
* بهره گیری از ابزارهای پیشرفته در هر لایه برای بهبود عملکرد

* شناسایی و پاسخ به تعدیدات مبتنی بر سرویس به صورت 7*24
* تنوع ارائه سرویس در سطوح مختلف

محدوده فعالیت
* نقاط پایانی

* نقاط پایانی، تجهیزات شبکه، ابر

* متناسب با ارائه دهنده سرویس متغیر میباشد.
(در سطح نقاط پایانی یا بیشتر)

مزایا

* محافظت در مقابل بدافزارها و حملات APT
* دید کامل بر روی نقاط پایانی
* موثر در شناسایی تهدیدات ناشناخته

* محافظت در مقابل بدافزارها و حملات APT
* دید کامل در تمام سطوح
* جمع آوری، شناسایی و پاسخ به تهدیدات به صورت متمرکز
* کاهش هزینه در قیاس با راهکارهای غیر متمرکز

* محافظت در مقابل بدافزارها و حملات APT
* مقیاس پذیری بالا
* صرفه جویی در هزینه و زمان راهبری و نگهداری
* عدم وابستگی به برند
* در اختیار داشتن تخصص بدون نیاز به استخدام نیروی متخصص

معایب

* عدم توانایی در شناسایی تهدیدات خارج از دامنه کنسول EDR

* جمع آوری لاگ و انجام تحلیل حجیم
* پیاده سازی پیچیده
* نیاز به نیروی متخصص
* هزینه بالا

* سرویس های امنیتی MDR یکسان نیستند.
* متناسب با عملکرد و دامنه سرویس متغیرند.