Xcitium: əksər həllər təhlükələri aşkarlayır — biz onların qarşısını alırıq

Aşkarlama üzərində qurulan müdafiə öz təbiətinə görə gecikir. Antivirus faylları məlum zərərli baza ilə tutuşdurur, EDR davranış təhlili əlavə edir — lakin hər ikisi təhlükəni dayandırmaq üçün onu əvvəlcə tanımalıdır. Əsl yeni hücuma (zero-day — müdafiə bazalarında hələ heç bir qeydi olmayan təhlükə) və ya normal fəaliyyət kimi maskalanan texnikaya qarşı pəncərə qalır — sənayedə ona dwell time deyirlər və müstəqil məlumatlara görə o, dəqiqələrlə yox, günlərlə ölçülür. Bu müddətdə şifrləyici şifrləməyə, təhlükə törədən isə möhkəmlənməyə macal tapır. Problem detektorun pis olması yox, zərər dəyməzdən əvvəl aşkarlamağın həmişə alınmaması ilədir. Biz məhz bu pəncərəni bağlayırıq: naməlum obyekt verdiktə qədər izolyasiya olunur, ona görə zərər verməyə yeri qalmır.

Bu, «lisenziyalı qutu» yox, Xcitium platformasında (Dragon) yığılmış və müşayiət olunan müdafiədir — vahid agent və bulud konsolu. Nüvə — kernel səviyyəsində konteynerləşdirmə (Windows və Windows Server; macOS və Linux üçün — EDR/antivirus agenti, eyni konteynerləşdirmə deyil). Üstdən — EDR-görünürlüyü, veb-müdafiə və firewall, qaydaların proqram parkınıza uyğun konfiqurasiyası və Xcitium MDR qüvvələri ilə idarə olunan 24/7 SOC (SOC vendorundur; biz xidməti paketləyirik və sizin vahid məsuliyyət nöqtəniz olaraq qalırıq). Ödəniş — manatla, köçürmə ilə, müqavilə və bağlayıcı sənədlərlə. Hər qatın tam tərkibi və məsuliyyət zonası — aşağıdakı cədvəldə.

Praktikada «naməlum fayl» tamamilə tanış şeylərdir: məktubdakı «üzləşmə_aktı.exe» qoşması, podratçının fləşkartı, proqrama yüklənmiş «aktivator» və ya göndərilmiş Excel-dəki makro. Antivirus bazalarda hələ nümunə yoxdursa, onları buraxar — və burada risk pəncərəsi açılır.

Xcitium konteynerləşdirməsi (ZeroDwell texnologiyası) bu pəncərəni bağlayır. Əvvəlcədən etibarlı sayılan fayl sərbəst işləyir, əvvəlcədən zərərli sayılan bloklanır, bütün naməlum isə avtomatik izolyasiya olunur — vendorun məlumatına görə bir saniyədən az müddətdə, ilk sistem çağırışından əvvəl. İstənilən naməlum obyektin yolu:

1. Aşkarlama — sistem naməlum icra olunan obyekti görür.
2. İzolyasiya — bir saniyədən az müddətdə izolyasiya, obyekt heç nə etməmişdən əvvəl (vendorun məlumatına görə).
3. Virtuallaşdırma — izolyasiya edilmiş mühitdə icra olunur; fayl sisteminə, reyestrə və sistem çağırışlarına girişi virtuallaşdırılıb, real maşına toxunmur.
4. Təhlil — bulud verdikt verir (AI + SOC ekspertləri), vendorun məlumatına görə adətən bir dəqiqədən az.
5. Verdikt — «təhlükəsiz» (buraxılır) və ya «karantin» (bütün «dəyişiklikləri» ilə silinir).

Obrazlı desək: naməlum adamı nə qovurlar, nə də dəyərlilərə buraxırlar — onu şüşə otağa salırlar, orada o, heç nəyə zərər vermədən «işləyir», kim olduğu aydınlaşana qədər. (Mexanizmin daha dərin necə qurulduğu və adi EDR-dən prinsipial fərqi — «dwell time və konteynerləşdirmə» məqaləsində.)

Vendor məlumatına görə naməlum faylların böyük əksəriyyəti üçün verdikt bir dəqiqədən az müddətdə verilir; nadir mürəkkəb hallar canlı analitikə eskalasiya olunur, axın isə gün ərzində yüz milyonlarla fayl təşkil edir. Bu rəqəmləri vendorun bəyan etdiyi kimi gətiririk — lakin verdikti gözləyən vaxt belə fayl artıq izolyasiyadadır, ona görə verdiktin sürəti müdafiəyə yox, rahatlığa təsir edir. Əsas ideya: müdafiə etmək üçün əvvəlcə faylın pis olduğunu sübut etmək lazım deyil. Onun yaxşı olduğunun sübut olunmaması kifayətdir.

İki arqument Xcitium-u istənilən klassik EDR-dən fərqləndirir — və ilk növbədə baxmağa dəyən elə bu ikisidir:

1. Fəaliyyəti boyu heç bir uğurlu nüfuz. «Verdiktə qədər izolyasiya et» məntiqi o deməkdir ki, naməlum faylın zərər verməyə yeri yoxdur — hətta bu, hələ heç kimə məlum olmayan yeni şifrləyici olsa belə. Xcitium modelə o qədər əmindir ki, onu maliyyə zəmanəti — Breach Warranty ilə təsdiqləyir: düzgün konfiqurasiyada / vendor zəmanətinə görə vendor uğurlu sındırmanın olmamasına zəmanət verir. Heç bir aşkarlama-EDR-i prinsipcə bunu verə bilməz — aşkarlama mahiyyətcə naməlum təhlükələrin 1–5%-ni buraxır, IBM Cost of a Data Breach 2025-ə görə hər belə insident orta hesabla $4,44M ziyana başa gəlir, tam hücum dövrü isə aşkarlama və saxlanmaya qədər orta hesabla 241 gün çəkir.

2. Rəqiblər arasında endpoint başına ən aşağı qiymət. Müqayisəyə gələn — naməlum təhlükələrə qarşı isə daha güclü — nəticədə bir son nöqtə üçün Xcitium müdafiəsi CrowdStrike, SentinelOne və Microsoft Defender-dən ucuz başa gəlir — hər iki çatdırılma modelində: müstəqil idarəetmə və vendorun SOC-u (Xcitium MDR) altında. «Lider brendinə görə» əlavə haqq ödəmirsiniz, reaksiya isə artıq abunəyə daxildir — CrowdStrike-dakı Falcon Complete kimi baha ayrıca üstqurğu olmadan. Dəqiq qiymət — sorğu ilə: o, son nöqtələrin sayından və modullar dəstindən asılıdır və pulsuz təhlildə dəqiqləşir.

Hər iki bəndi manatla, köçürmə ilə ödənişlə birləşdirin — və Xcitium yalnız texniki məsələni yox, satınalma məsələsini də bağlayır.

Bu, «lisenziyalı qutu» yox, yığılmış və müşayiət olunan müdafiədir. Konkret nə alırsınız və hər qata kim cavabdehdir:

Qat	Nə edir	Kim cavabdehdir
Konteynerləşdirmə (Xcitium ZeroDwell)	Naməlum faylları verdiktə qədər izolyasiya edir	Xcitium texnologiyası, konfiqurasiya — biz
EDR-görünürlüyü (Xcitium)	Hücum taymlaynı, cihazlardakı hadisələr	Xcitium platforması + bizim təhlil
24/7 SOC (Xcitium MDR / Dragon)	Monitorinq, həyəcan, reaksiya	Vendorun SOC-u; paket və müşayiət — biz
Veb-müdafiə və firewall	Trafikin filtrasiyası, şəbəkə nəzarəti	Konfiqurasiya və müşayiət — biz
Proqramınız üçün qaydalar	Nadir/öz yazısı olan proqram ləngiməsin deyə	Biz, tətbiq mərhələsində
Manatla satınalma	Müqavilə, köçürmə, bağlayıcı sənədlər	Xcitium-un eksklüziv distribyutoru kimi biz

Konteynerləşdirmənin adi EDR-dən yanaşma baxımından prinsipial fərqi isə — dwell time haqqında məqalədə «əvvəlcə-izolyasiya, əvvəlcə-aşkarlamaya qarşı» təhlili və cədvəlidir; konkret vendorla birbaşa müqayisə isə — CrowdStrike alternativi səhifəsində.

Yanaşmanın iki kor nöqtəsi var, onları dərhal adlandırmaq daha dürüstdür. Konteynerləşdirmə naməlum icra olunan faylları tutur — lakin artıq etibarlı proqramların əli ilə işləyən hücumları (ştat PowerShell, skriptlər) və diskdə yeni fayl olmayan operativ yaddaşdakı işi yox. Üstəlik verdikti olmayan nadir və ya öz yazısı olan proqram ilk vaxt izolyasiyada işləyir — onu etibarlılara salana qədər. Buradan tək nəticə çıxır: konteynerləşdirmə — qatdır, hər şeyin əvəzi deyil. Buna görə onu monitorinqlə bir yerdə (EDR + SOC) qoyuruq: hər qat o birinin kor nöqtəsini örtür. Endpoint-agenti «hər-şey-bir-yerdə» kimi satan bu iki nöqtəni gizlədir.

Bu, bizim öz açıq kodlu kibertəhlükəsizliyimizə zidd deyil — bunlar fərqli qatlardır və biz hər birində ən yaxşı aləti seçirik. Monitorinq və SIEM-i (açıq stekin yetkin olduğu və lisenziya ödənişlərini aradan qaldırdığı yerdə) açıq kod üzərində qururuq. Son nöqtə müdafiəsini isə unikal patentli üstünlüyü olan yerdə sinfin-ən-yaxşı məhsulu kimi götürürük: kernel səviyyəsində konteynerləşdirmənin açıq analoqu sadəcə yoxdur. Lisenziyaya pul ödəmək açıq bazarın vermədiyini verdiyi yerdə mənalıdır — açıq həllin geri qalmadığı yerdə isə ödəməmək. Bu sərhədi infrastrukturunuza uyğun, dürüst çəkirik.

Gartner kateqoriyaları aşkarlama ətrafında qurulub (antivirus, EDR, XDR), Xcitium isə aşkarlamadan asılılığın özünü aradan qaldırır — buna uyğun hazır kateqoriya hələ yoxdur, o, texnologiya özünü sübut etdikdən sonra yaranır. Hesabatdakı sətir son nöqtəni qorumur; nəticə qoruyur — və onu sizin infrastrukturunuzda yoxlayırlar. Bu etirazın geniş təhlili — CrowdStrike alternativi səhifəsində.

«10% Yolu» üzrə işləyirik: cihaz parkının və tələblərin pulsuz təhlili → dəyəri sabitləyirik → tətbiq edib müşayiət edirik. Lisenziyalar və müşayiət — manatla, köçürmə ilə, bağlayıcı sənədlərin tam paketi ilə (müqavilə, hesab, akt, hesab-faktura). Azərbaycanda Xcitium-un eksklüziv distribyutoru kimi biz xarici vendordan birbaşa ödəmək çətin olan müdafiəni korporativ və dövlət prosedurları üzrə satınalına bilən edirik. Dəyər — cihazların sayına və modullar dəstinə uyğun; təhlildə hesablanır. Ətraflı — necə işləyirik.

Bu, konteynerləşdirmənin ən güclü qazandığı ssenaridir: itirməyə nəyiniz var, lakin həyəcanları təhlil edən sutkalıq İT-təhlükəsizlik komandanız yoxdur. Konteynerləşdirmə təhlükələrin əksəriyyətini — naməlum şifrləyicilər də daxil — insident olmazdan əvvəl söndürür, 24/7 SOC isə qalanını bağlayır; analitik ştatı işə götürmək lazım deyil. Çox vaxt bunlar maliyyə şirkətləri, dövlət qurumları, tibb və pərakəndə ticarətdir — müştərilərin şəxsi məlumatlarına sahib olan və verilənlərin, kritik informasiya infrastrukturunun (Kİİ) müdafiəsi tələbləri altında olan, dayanma və sızmanın ən baha başa gəldiyi təşkilatlar.

Bunun əsas prioritet olmadığı hal: əgər sizdə artıq güclü komandalı yetkin SOC qurulubsa və sizi ilk növbədə fayl təhlükələri yox, hesabların oğurlanması və bulud xidmətlərinə hücumlar narahat edirsə — orada vurğu başqa qatlara keçir, biz bunu birbaşa deyəcəyik. Biz müdafiəni sizin real hücum səthinizə uyğun seçirik, bir texnologiyanı hər şeyə cavab kimi satmırıq.

Təşkilatın öz İT-təhlükəsizlik xidməti yoxdur, lakin şifrləyicilərdən qorunmaq tələbi var, aparıcı EDR-vendorların kommersiya təklifləri isə premium qiymət və satınalma prosedurları üzrə keçməyən dollarla kart ödənişi ilə gəlib. Bu, bizdə adətən belə həll olunur: cihaz parkının və tələblərin təhlili → serverlərdə və iş stansiyalarında konteynerləşdirmə ilə müdafiənin tətbiqi → istifadə olunan proqrama uyğun qaydaların konfiqurasiyası → monitorinq və reaksiya üçün 24/7 SOC-a qoşulma → manatla, köçürmə ilə müqavilə və ödəniş. Məqsəd — həm şifrləyici riskini, həm satınalma qaydalarını, öz İT-təhlükəsizlik komandasını işə götürmədən bağlamaqdır.

• Bizdə artıq antivirus var — Xcitium niyə lazımdır? Antivirus və EDR məlumu tutur və təhlükəni əvvəlcə tanımalıdır; yeni və ya maskalanmış fayla qarşı günlərlə pəncərə qalır. Xcitium antivirusu əvəz etmir, bu pəncərəni bağlayır: naməlum fayl tanınmasını gözləmədən dərhal izolyasiya olunur.
• Xcitium hansı əməliyyat sistemlərində işləyir? Kernel səviyyəsində konteynerləşdirmə — Windows və Windows Server-də; macOS və Linux üçün eyni bulud konsolu altında EDR/antivirus agentləri var (eyni konteynerləşdirmə deyil). Sizin OS-lərin dəqiq əhatəsini pulsuz təhlildə təsdiqləyirik.
• Cari antivirusu silmək lazımdırmı və keçid necə gedir? Dərhal mütləq deyil: Xcitium mövcud müdafiənin üstündə işləyə və ya onu əvəz edə bilər — ardıcıllığı və uzlaşmanı tətbiq mərhələsində müəyyən edirik. Tətbiq mərkəzləşdirilmiş, agentlə gedir, hər maşını əllə dolanmadan.
• Ləngidəcək və ya işə mane olacaqmı? Məlum etibarlı proqram sərbəst işləyir — konteynerə yalnız naməlum düşür. «Məhdud» «donacaq» demək deyil: proqram açılacaq və işləyəcək, lakin onun dəyişiklikləri (məsələn, parametrlərin yadda saxlanması və ya öz fayllarına yazı) verdiktə qədər izolyasiya edilmiş sahəyə gedir. Biznes proqramlarının əksəriyyəti üçün bu, hiss olunmur; spesifik və ya öz yazısı olan proqramı konfiqurasiya mərhələsində əvvəlcədən etibarlılara salırıq.
• Bu, şifrləyici riskini bağlayacaqmı? Bəli, və bu, əsas ssenaridir: hələ imzası olmayan naməlum şifrləyici belə izolyasiyada işə salınır və ona verdikt verilənə qədər real fayllara çatmır. Bununla yanaşı yoxlanılmış ehtiyat nüsxəni hər halda məcburi son sədd sayırıq.
• Xcitium nədir? Patentli ZeroDwell konteynerləşdirməsi olan son nöqtə müdafiə platforması (patent US 10 951 644), Comodo Cybersecurity varisi — 1998-ci ildən bazarda. viasoft — onun bütün xətt üzrə Azərbaycanda eksklüziv distribyutorudur.
• Xcitium nə qədərə başa gəlir? Qiymət — sorğu ilə: son nöqtələrin sayından və modullar dəstindən asılıdır, pulsuz təhlildə sabitlənir; ödəniş manatla, köçürmə ilə. Son nöqtə başına Xcitium müqayisəyə gələn EDR-lərdən ucuz çıxır, reaksiya isə artıq abunəyə daxildir. CrowdStrike ilə birbaşa müqayisə — CrowdStrike alternativi səhifəsində.
• İT-təhlükəsizlik komandamız yoxdursa, həyəcanları kim təhlil edəcək? Bizim qoşduğumuz və müşayiət etdiyimiz vendorun sutkalıq SOC-u (Xcitium MDR). Konteynerləşdirmə təhlükələrin əksəriyyətini əvvəlcədən söndürür, ona görə həyəcan azdır, reaksiya isə abunəyə daxildir — öz analitiklərinizi işə götürməyə ehtiyac yoxdur.