انتخاب یکی از گزینههای “همکاری با یک MSSP برای مدیریت امنیت” یا “خرید یک محصول SIEM و مدیریت آن توسط نیروهای داخلی” همواره چالشی اساسی برای مصرفکنندگان و خریداران بالقوه محصولات امنیتی است. هر یک از این رویکردها دارای مزایایی است که اطلاع از آنها، در انتخاب گزینهی مناسبتر اثرگذار است. با توجه به این مهم، در ادامهی این مطلب، به بررسی مزایای هر یک از این دو رویکرد پرداخته خواهد شد.
لزوم جمعآوری دادههای Log و ایجاد همبستگی مابین آنها
با توجه به چشمانداز تهدید موجود، اغلب خریداران امنیت نیازمند شناسایی یک راهکار امنیتی قابلقبول هستند که قادر به جمعآوری و ایجاد همبستگی بین دادههای Log به روشی متمرکز در سراسر کسبوکار آنها باشد. راهکار انتخابی ممکن است برای جمعآوری دادههای Log از سرورها و ایستگاههای کاری، فایروالها و VPN، روترها و سوییچها و حتی در سطوحی پایینتر مانند پایگاه داده و Application بکار گرفته شود.
نیاز به ثبت دادههای Log، به طور معمول یا از نیازمندی انطباق با قواعد نظارتی (مانند “PCI DSS”[۱]) نشات گرفته یا ممکن است به صورت سازمانی از طریق افراد یا فرایندهای جدید ایجاب شود. محرکهای تجاری مانند ادغام نیز ممکن است در این زمینه اثرگذار باشد. بدون توجه به دلیل، همواره خریداران امنیت با تصمیمگیری در مورد “خرید یک محصول مدیریت Log / رویداد” یا “همکاری با یک MSSP” مواجه هستند. هر یک از این دو رویکرد دارای مزایایی است که در ادامه به بررسی آن ها می پردازیم.
مزایای خرید و استفاده از یک محصول SIEM
محصولات SIEM عرضه شده در بازار از تنوع زیادی برخوردار بوده و ویژگیهای ارائه شده توسط آنها دامنهی وسیعی از راهکارها را پوشش میدهد از جمله راهکارهایی که تنها به جمعآوری Log بدون هیچگونه تجزیه و تحلیل و هوشمند پرداخته و یا راهکارهای SIEM کاملی که سیستمهای مجزا را تجمیع کرده و معیارهای تهدید جامعی برای هر دستگاه موجود ارائه میدهند. راهکارهای SIEM اغلب با توجه به دستگاهها و نیازهای ویژهی هر خریدار به همراه سفارشیسازیهای زیاد، ارزیابی، قیمتگذاری و به فروش رسانیده میشوند. این سطح از قابلیت شخصیسازی، باعث اثربخشی راهکارهای SIEM برای هر سازمانی، بدون توجه به نوع، اندازه و زیرساخت آن میشود.
به طور طبیعی، بهکارگیری یک راهکار SIEM به صورت On-Premise برای برخی محیطها مناسبتر است چرا که ممکن است جمعآوری و ارسال دادههای Log به یک ارائهدهنده بیرونی مانند یک MSSP میسر یا قابلقبول نباشد. مثلا، در تاسیسات دولتی و دیگر محلهای دارای اطلاعات شدیدا طبقهبندی شده، وجود سیستمهایی بدون اتصال به اینترنت مسالهای رایج است. در نتیجه، با توجه به عدم امکان پر کردن شکاف ارتباطی موجود توسط سرویسهای مدیریت شده که بر روی اینترنت فعالیت میکنند، این محیطها کاندیدایی عالی برای به کارگیری یک راهکار SIEM به صورت On-Premise هستند. علاوه براین، در برخی موارد ممکن است دادههای Log برخی سیستمهای یک سازمان حساس بوده و دسترسی به آنها نیازمند اجازه و سطح دسترسی مشخص باشد. در این موقعیتها نیز امکان خروج دادههای موردنظر از زیرساخت شبکهی سازمان وجود نداشته و اینگونه محیطها نیز مناسب بهکارگیری یک راهکار SIEM به صورت On-Premise هستند.
مزایای راهکارهای MSSP
تعداد زیادی مرکز MSSP وجود دارد که گسترهی سرویسهای ارائه شده توسط آنها میتواند شامل طیف وسیعی از خدمات از تنها در نظر گرفتن انواع مشخصی از دستگاهها یا دادههای Log تا مدیریت کامل تمام زیرساخت شبکه را شامل شود. صرفنظر از اندازهی ارائهدهنده یا مقیاس بهکارگیری، راهکارهای SIEM را میتوان به دو دسته تقسیم نمود:
- فقط نظارت– در این نوع کاربرد، MSSP دادههای Log امنیتی و همچنین دادههای Log دیگر دستگاههای مشتری را دریافت کرده و با توجه به آنها و بر اساس سطح مشخصی از سرویس، تنها درباره تغییرات مورد نیاز، به مشتری هشدار و مشاوره میدهد.
- نظارت و مدیریت– در این نوع کاربرد، MSSP بر دادههای Log امنیتی نظارت کرده و بر اساس هوش امنیتی و رویدادهای ثبت شده، تغییراتی را در محیط مشتری ایجاد میکند. در این حالت، هزینههای آموزش مستمر کارکنان SOC متناسب با آخرین تجهیزات ارائه شده توسط ارائهدهندگان متفاوت، بر عهدهی MSSP است. این مراکز با توجه به تجربهی فعالیت در محیطهای چند پلتفرمی، به راحتی میتوانند به مدیریت محیطهای مشتریانی بپردازند که از محصولات چندین ارائهدهنده استفاده میکنند.
همانند محصولات SIEM به صورت On-Premise ، راهکارهای MSSP نیز قادر به برآورده نمودن الزامات انطباق پذیری و افزایش امنیت هستند. MSSPها، با توجه به سطح سرویس، به مشتریان در زمان وقوع رویدادهای امنیتی هشدار میدهند. علاوه بر این، MSSPها میتوانند به طور کاملا قانونی، دادههای Log را در محلی بیرون از محیط مشتری ذخیره کرده و بدین طریق، بدون نیاز به صرف هزینه برای سختافزار و ذخیرهسازی محلی، پاسخگوی نیازهای نظارتی برای ذخیرهی دادههای Log میباشد.
یکی از بزرگترین مزایای یک راهکار MSSP دستیابی به تخصص امنیتی است. با توجه به سطح سرویس انتخاب شده توسط مشتری، MSSPها اعتبارسنجی رویدادهای امنیتی در SOC را قبل از هشدار به مشتری انجام میدهند. این کار به کاهش چشمگیر تعداد False positiveهایی که مشتری باید به آنها پاسخ دهد کمک کرده و بدین طریق منجر به کاهش هزینهها و افزایش کارایی میشود.
ممکن است سازمانها برای نظارت و یا مدیریت دستگاههای تامین شده از منابع و وندورهای مختلف، به تخصص امنیتی لازم دسترسی نداشته باشند. در بسیاری از مواقع، وجود برخی از کنترلهای تجاری امکان دسترسی به همه دستگاهها را به گروه امنیتی نمیدهد (برای مثال، فایروالها فقط توسط یک گروه شبکه قابلدسترسی هستند، VPN و ورود یکپارچه[۲] بخشی از مدیریت هویت و سازگاری کاربر[۳] است). علاوه بر نقشها و مسئولیتها برای نظارت و مدیریت کارامد دستگاهها، سازمانها باید به طریقی بتوانند هوش امنیتی را وارد سازمان نموده و خروجیهای عملیاتی مناسب با محیط خاص سازمان خود را ایجاد نمایند.
شرکتهای بسیار بزرگ اغلب دارای تیمهای امنیتی اختصاصی (و حتی محققان امنیتی اختصاصی) هستند؛ اما ممکن است بهکارگیری چنین تیمها و محققانی برای برای سازمان های مختلف و در صنایع مختلف مقرون بهصرفه نبوده و یا در راستای اهداف تجاری آنها نباشد. این مهم منجر به جذابیت زیاد راهکارهای MSSP میشود؛ چرا که در این صورت، تیم امنیتی کاملا واجد شرایط MSSP در واقع به عنوان بخشی اضافه شده به منابع داخلی سازمان عمل مینماید. در سایه همکاری با MSSPها، سازمانها میتوانند از تخصص امنیتی به دست آمده به وسیلهی آنها به واسطهی همکاری با مشریانی بیشمار و در صنعتهایی مختلف استفاده کنند. علاوهبراین، MSSPها به طور معمول دارای یک بخش تحقیقاتی نیز میباشند که این بخش به طور مداوم به شناسایی تهدیدات امنیتی جدید پرداخته و اطلاعات و هوش به دست آمده را وارد سرویسهای ارائه شده می نماید.
MSSPها میتوانند در انجام وظایفی مانند نگهداری مجموعه قوانین شفاف و باثبات برای فایروالها و دیگر دستگاههای امنیتی شبکه کمک کنند. همچنین میتواند به عنوان یک وندور خارجی، رویههای کنترل تغییر را برای بررسی و بهروزرسانی قوانین دستگاههای in-scope ارائه کند.
بهکارگیری تیمهای امنیتی به صورت ۷*۲۴ میتواند یکی دیگر از دلایل سازمانها برای علاقمندی به همکاری با MSSPها باشد. بیشتر سازمانها دارای مرکز عملیات امنیت (SOC) اختصاصی نبوده یا ممکن است توانایی استخدام کارکنان موردنیاز برای سه شیفت فعالیت در طول سال را نداشته باشند. راهکارهای MSSP نظارت ۷*۲۴ را بدون نیاز به کارکنان بیشتر ارائه میکنند. این در حالیست که یک راهکار SIEM نیازمند نظارت پیوسته توسط کارکنان داخلی است. مادامیکه یک محصول SIEM در حال اجرا است، رویدادهای امنیتی باید به صورت دستی بررسی شده یا تایید اعتبار رویدادها، ایجاد همبستگی مابین آنها و Ticketها و بهبود مشکلات شناسایی شده به صورت دستی انجام شود. در صورت استفاده از خدمات MSSPها، این مراحل توسط مراکز MSSP برای سازمانها صورت گرفته و تنها رویدادهای امنیتی حقیقی شناسایی شده به اطلاع مشتریان میرسد.
راهکارهای MSSP به دلیل برخورداری از ویژگی مقیاسپذیری باعث صرفهجویی در هزینهها میشود. در حال حاضر به دلیل وجود تعداد زیاد شرکتهای استفادهکننده از سرویسهای یک مرکز MSSP، زیرساخت موردنیاز برای ارائه خدمت به سازمانهای جدید وجود دارد. یک MSSP برای بیرون آوردن سازمانها از فشار بر منابع داخلی خود، میتواند با مشتریان همکاری کرده و به شخصیسازی قوانین و هشداردهیها بپردازد.
با توجه به همکاری با مشتریان متعدد و استفاده از فرایندهایی مستندسازی شده و قابلتکرار، MSSPها قادر به خودکارسازی روند کاری هستند که این مهم اغلب منجر به کاهش زمان بهبود در هنگام بروز مشکلات میشود. علاوه بر این، تجارب به دست آمده از مدیریت محیط صدها و هزاران مشتری، دید گستردهتری برای MSSPها ایجاد کرده و آنها میتوانند دانش و تجربهی کسب شده را برای تمام مشتریان خود به کار گیرند.
سازمانهای خریدار راهکارهای SIEM، اغلب از حجم دادههای تولید شده توسط این راهکارها متعجب میشوند. تعداد زیاد رویدادهای امنیتی، اغلب کارکنان داخلی را مستاصل کرده، و تمایز وقایع رویدادهای امنیتی واقعی از False Positiveها را برای آنها غیرممکن میکند. در این نقطه، اثرگذاری راهکار SIEM در بهبود امنیت کاهش مییابد. در سوی مقابل، MSSPها (با توجه به مقیاس فعالیتها، تخصص و تکنولوژی هدفمند) قادر به فیلتر کردن این رویدادها و مشخص نمودن رویدادهای امنیتی واقعی هستند.
مقایسه SIEM و MSSP
راهکارهای SIEM به صورت On-Premise برخی از مزایای ارائه شده توسط خدمات MSSP را ارائه میدهند، با این تفاوت که هزینهای بیشتر برای سازمانهای استفادهکننده در بر دارند. جدول زیر شباهتها و تفاوتهای بین راهکارهای SIEM و MSSP را به طور خلاصه بیان میکند.
ویژگی | SIEM | MSSP |
نظارت بر Log رویدادها | * | * |
کمک به دستیابی به انطباقهای نظارتی | * | * |
ارائه خدمات انعطافپذیر | * | |
ارائه تحلیل ۲۴/۷ توسط تحلیلگران امنیت | * | |
ذخیره Logها در محلی بیرونی و سازگار با قواعد بازرسی | * | |
ارائه هوش امنیتی و تخصص به عنوان بخشی از راهکار | * | |
در بر داشتن ذاتی طرحهای بازیابی از فاجعه و تداوم کسبوکار به عنوان بخشی از راهکار | * | |
هزینهی قابل پیشبینی و ثابت مستمر | * | |
نیازمند سرمایهگذاری اولیه در تکنولوژیهای جدید | * | |
احتمال نیاز به ارتقا یا بهکارگیری زیرساختهای بیشتر (سرور، دستگاههای شبکه، فضای ذخیرهسازی و …) | * | |
نیازمند بهروزرسانی، Patch و ارتقا منظم | * | |
نیازمند مقداری قابلتوجه از منابع در محل و همچنین آموزش برای مدیریت (تغییر قوانین، تنظیم و …) | * |
نتیجهگیری
MSSPها میتوانند بدون دردسرهای مدیریت و نگهداری یک راهکار مستقر در محل، با برآورده کردن نیاز رویتپذیری محیط و انطباق با قواعد نظارتی، برای سازمانهای مختلف و با اندازههای مختلف ارزشمند باشند. شرکت امنپردازان کویر (APK)، با ارائه این سرویسهای امنیتی به صورت مدیریت شده، به عنوان بخشی اضافه شده به تیم امنیت داخلی مشتری عمل میکند.
از آنجایی که یکی از شاخصههای فرهنگ مشتریمداری، درک و رسیدگی به نیازهای هر مشتری است، در شرکت APK، مشتری همواره مقدم بوده و هر یک از کارکنان، از تیم مدیریتی گرفته تا تحلیلگران SOC، در راستای جلب رضایت مشتری تلاش میکنند. این شرکت یا درک دقیق نیازهای منحصربهفرد هر مشتری و ترکیب آن با تجربهی امنیتی و فرایندهای عملیاتی اثبات شده خود، در تلاش است تا امکان ارتقا سطح امنیت و انطباق با قواعد نظارتی را برای مشتریان فراهم نماید.
[۱] Payment Card Industry Data Security Standard
[۲] Single sign-on
[۳] User compliance