همکاری با یک MSSP یا خرید یک محصول SIEM و مدیریت درون‌سازمانی آن

انتخاب یکی از گزینه‌های “همکاری با یک MSSP برای مدیریت امنیت” یا “خرید یک محصول SIEM و مدیریت آن توسط نیروهای داخلی” همواره چالشی اساسی برای مصرف‌کنندگان و خریداران بالقوه محصولات امنیتی است. هر یک از این رویکردها دارای مزایایی است که اطلاع از آن‌ها، در انتخاب گزینه‌ی مناسب‌تر اثرگذار است. با توجه به این مهم، در ادامه‌ی این مطلب، به بررسی مزایای هر یک از این دو رویکرد پرداخته خواهد شد.

لزوم جمع‌آوری داده‌های Log و ایجاد همبستگی مابین آن‌ها

با توجه به چشم‌انداز تهدید موجود، اغلب خریداران امنیت نیازمند شناسایی یک راهکار امنیتی قابل‌قبول هستند که قادر به جمع‌آوری و ایجاد همبستگی بین داده‌های Log به روشی متمرکز در سراسر کسب‌و‌کار آن‌ها باشد. راهکار انتخابی ممکن است برای جمع‌آوری داده‌های Log از سرورها و ایستگاه‌های کاری، فایروال‌ها و VPN، روترها و سوییچ‌ها و حتی در سطوحی پایین‌تر مانند پایگاه داده و Application بکار گرفته شود.

نیاز به ثبت داده‌های Log، به طور معمول یا از نیازمندی انطباق با قواعد نظارتی (مانند “PCI DSS”[۱]) نشات گرفته یا ممکن است به صورت سازمانی از طریق افراد یا فرایندهای جدید ایجاب شود. محرک‌های تجاری مانند ادغام نیز ممکن است در این زمینه اثرگذار باشد. بدون توجه به دلیل، همواره خریداران امنیت با تصمیم‌گیری در مورد “خرید یک محصول مدیریت Log / رویداد” یا “همکاری با یک MSSP” مواجه هستند. هر یک از این دو رویکرد دارای مزایایی است که در ادامه به بررسی آن ها می پردازیم.

مزایای خرید و استفاده از یک محصول SIEM

محصولات SIEM عرضه شده در بازار از تنوع زیادی برخوردار بوده و ویژگی‌های ارائه شده توسط آن‌ها دامنه‌ی وسیعی از راهکارها را پوشش می‌دهد از جمله راهکارهایی که تنها به جمع‌آوری Log بدون هیچ‌گونه تجزیه و تحلیل و هوشمند پرداخته و یا راهکارهای SIEM کاملی که سیستم‌های مجزا را تجمیع کرده و معیارهای تهدید جامعی برای هر دستگاه موجود ارائه می‌دهند. راهکارهای SIEM اغلب با توجه به دستگاه‌ها و نیازهای ویژه‌ی هر خریدار به همراه سفارشی‌سازی‌های زیاد، ارزیابی، قیمت‌گذاری و به فروش رسانیده می‌شوند. این سطح از قابلیت شخصی‌سازی، باعث اثربخشی راهکارهای SIEM برای هر سازمانی، بدون توجه به نوع، اندازه و زیرساخت آن می‌شود.

به طور طبیعی، به‌کارگیری یک راهکار SIEM به صورت On-Premise برای برخی محیط‌ها مناسب‌تر است چرا که ممکن است جمع‌آوری و ارسال داده‌های Log به یک ارائه‌دهنده بیرونی مانند یک MSSP میسر یا قابل‌قبول نباشد. مثلا، در تاسیسات دولتی و دیگر محل‌های دارای اطلاعات شدیدا طبقه‌بندی شده، وجود سیستم‌هایی بدون اتصال به اینترنت مساله‌ای رایج است. در نتیجه، با توجه به عدم امکان پر کردن شکاف ارتباطی موجود توسط سرویس‌های مدیریت شده که بر روی اینترنت فعالیت می‌کنند، این محیط‌ها کاندیدایی عالی برای به کارگیری یک راه‌کار SIEM به صورت On-Premise هستند. علاوه براین، در برخی موارد ممکن است داده‌های Log برخی سیستم‌های یک سازمان حساس بوده و دسترسی به آن‌ها نیازمند اجازه و سطح دسترسی مشخص باشد. در این موقعیت‌ها نیز امکان خروج داده‌های موردنظر از زیرساخت شبکه‌ی سازمان وجود نداشته و این‌گونه محیط‌ها نیز مناسب به‌کارگیری یک راهکار SIEM به صورت On-Premise هستند.

مزایای راهکارهای MSSP

تعداد زیادی مرکز MSSP  وجود دارد که گستره‌ی سرویس‌های ارائه شده توسط آن‌ها می‌تواند شامل طیف وسیعی از خدمات از تنها در نظر گرفتن انواع مشخصی از دستگاه‌ها یا داده‌های Log تا مدیریت کامل تمام زیرساخت شبکه را شامل شود. صرف‌نظر از اندازه‌ی ارائه‌دهنده یا مقیاس به‌کارگیری، راه‌کارهای SIEM را می‌توان به دو دسته تقسیم نمود:

  • فقط نظارت– در این نوع کاربرد، MSSP داده‌های Log امنیتی و همچنین داده‌های Log دیگر دستگاه‌های مشتری را دریافت کرده و با توجه به آن‌ها و بر اساس سطح مشخصی از سرویس، تنها درباره تغییرات مورد نیاز، به مشتری هشدار و مشاوره می‌دهد.
  • نظارت و مدیریت– در این نوع کاربرد، MSSP بر داده‌های Log امنیتی نظارت کرده و بر اساس هوش امنیتی و رویدادهای ثبت شده، تغییراتی را در محیط مشتری ایجاد می‌کند. در این حالت، هزینه‌های آموزش مستمر کارکنان SOC متناسب با آخرین تجهیزات ارائه شده توسط ارائه‌دهندگان متفاوت، بر عهده‌ی MSSP است. این مراکز با توجه به تجربه‌ی فعالیت در محیط‌های چند پلتفرمی، به راحتی می‌توانند به مدیریت محیط‌های مشتریانی بپردازند که از محصولات چندین ارائه‌دهنده استفاده می‌کنند.

همانند محصولات SIEM به صورت On-Premise ، راهکارهای MSSP نیز قادر به برآورده نمودن الزامات انطباق پذیری و افزایش امنیت هستند. MSSPها، با توجه به سطح سرویس، به مشتریان در زمان وقوع رویدادهای امنیتی هشدار می‌دهند. علاوه بر این، MSSPها می‌توانند به طور کاملا قانونی، داده‌های Log را در محلی بیرون از محیط مشتری ذخیره کرده و بدین طریق، بدون نیاز به صرف هزینه برای سخت‌افزار و ذخیره‌سازی محلی، پاسخگوی نیازهای نظارتی برای ذخیره‌ی داده‌های Log می‌باشد.

یکی از بزرگترین مزایای یک راهکار MSSP دستیابی به تخصص امنیتی است. با توجه به سطح سرویس انتخاب شده توسط مشتری، MSSPها اعتبارسنجی رویدادهای امنیتی در SOC را قبل از هشدار به مشتری انجام می‌دهند. این کار به کاهش چشم‌گیر تعداد False positiveهایی که مشتری باید به آن‌ها پاسخ دهد کمک کرده و بدین طریق منجر به کاهش هزینه‌ها و افزایش کارایی می‌شود.

ممکن است سازمان‌ها برای نظارت و یا مدیریت دستگاه‌های تامین شده از منابع و وندورهای مختلف، به تخصص امنیتی لازم دسترسی نداشته باشند. در بسیاری از مواقع، وجود برخی از کنترل‌های‌ تجاری‌ امکان دسترسی به همه دستگاه‌ها را به گروه امنیتی نمی‌دهد (برای مثال، فایروال‌ها فقط توسط یک گروه شبکه قابل‌دسترسی هستند، VPN و ورود یکپارچه[۲] بخشی از مدیریت هویت و سازگاری کاربر[۳] است). علاوه بر نقش‌ها و مسئولیت‌ها برای نظارت و مدیریت کارامد دستگاه‌ها، سازمان‌ها باید به طریقی بتوانند هوش امنیتی را وارد سازمان نموده و خروجی‌های عملیاتی مناسب با محیط خاص سازمان خود را ایجاد نمایند.

شرکت‌های بسیار بزرگ اغلب دارای تیم‌های امنیتی اختصاصی (و حتی محققان امنیتی اختصاصی) هستند؛ اما ممکن است به‌کارگیری چنین تیم‌ها و محققانی برای برای سازمان های مختلف و در صنایع مختلف مقرون به‌صرفه نبوده و یا در راستای اهداف تجاری آن‌ها نباشد. این مهم منجر به جذابیت زیاد راهکارهای MSSP می‌شود؛ چرا که در این صورت، تیم امنیتی کاملا واجد شرایط MSSP در واقع به عنوان بخشی اضافه شده به منابع داخلی سازمان عمل می‌نماید. در سایه همکاری با MSSPها، سازمان‌ها می‌توانند از تخصص امنیتی به دست آمده به وسیله‌ی آن‌ها به واسطه‌ی همکاری با مشریانی بی‌شمار و در صنعت‌هایی مختلف استفاده کنند. علاوه‌براین، MSSPها به طور معمول دارای یک بخش تحقیقاتی نیز می‌باشند که این بخش به طور مداوم به شناسایی تهدیدات امنیتی جدید پرداخته و اطلاعات و هوش به دست آمده را وارد سرویس‌های ارائه شده می نماید.

MSSPها می‌توانند در انجام وظایفی مانند نگهداری مجموعه قوانین شفاف و باثبات برای فایروال‌ها و دیگر دستگاه‌های امنیتی شبکه کمک کنند. همچنین می‌تواند به عنوان یک وندور خارجی، رویه‌های کنترل تغییر را برای بررسی و به‌روزرسانی قوانین دستگاه‌های in-scope ارائه کند.

به‌کارگیری تیم‌های امنیتی به صورت ۷*۲۴ می‌تواند یکی دیگر از دلایل سازمان‌ها برای علاقمندی به همکاری با MSSPها باشد. بیشتر سازمان‌ها دارای مرکز عملیات امنیت (SOC) اختصاصی نبوده یا ممکن است توانایی استخدام کارکنان موردنیاز برای سه شیفت فعالیت در طول سال را نداشته باشند. راهکارهای MSSP نظارت ۷*۲۴ را بدون نیاز به کارکنان بیشتر ارائه می‌کنند. این در حالیست که یک راهکار SIEM نیازمند نظارت پیوسته توسط کارکنان داخلی است. مادامی‌که یک محصول SIEM در حال اجرا است، رویدادهای امنیتی باید به صورت دستی بررسی شده یا تایید اعتبار رویدادها، ایجاد همبستگی مابین آن‌ها و Ticketها و بهبود مشکلات شناسایی شده به صورت دستی انجام شود. در صورت استفاده از خدمات MSSPها، این مراحل توسط مراکز MSSP برای سازمان‌ها صورت گرفته و تنها رویدادهای امنیتی حقیقی شناسایی شده به اطلاع مشتریان می‌رسد.

راهکارهای MSSP به دلیل برخورداری از ویژگی مقیاس‌پذیری باعث صرفه‌جویی در هزینه‌ها می‌شود. در حال حاضر به دلیل وجود تعداد زیاد شرکت‌های استفاده‌کننده از سرویس‌های یک مرکز MSSP، زیرساخت موردنیاز برای ارائه خدمت به سازمان‌های جدید وجود دارد. یک MSSP برای بیرون آوردن سازمان‌ها از فشار بر منابع داخلی خود، می‌تواند با مشتریان همکاری کرده و به شخصی‌سازی قوانین و هشداردهی‌ها بپردازد.

با توجه به همکاری با مشتریان متعدد و استفاده از فرایندهایی مستندسازی شده و قابل‌تکرار، MSSPها قادر به خودکارسازی روند کاری هستند که این مهم اغلب منجر به کاهش زمان بهبود در هنگام بروز مشکلات می‌شود. علاوه بر این، تجارب به دست آمده از مدیریت محیط صدها و هزاران مشتری، دید گسترده‌تری برای MSSPها ایجاد کرده و آن‌ها می‌توانند دانش و تجربه‌ی کسب شده را برای تمام مشتریان خود به کار گیرند.

سازمان‌های خریدار راهکارهای SIEM، اغلب از حجم داده‌های تولید شده توسط این راهکار‌ها متعجب می‌شوند. تعداد زیاد رویدادهای امنیتی، اغلب کارکنان داخلی را مستاصل کرده، و تمایز وقایع رویدادهای امنیتی واقعی از False Positiveها را برای آن‌ها غیرممکن می‌کند. در این نقطه، اثرگذاری راهکار SIEM در بهبود امنیت کاهش می‌یابد. در سوی مقابل، MSSPها (با توجه به مقیاس فعالیت‌ها، تخصص و تکنولوژی هدفمند) قادر به فیلتر کردن این رویدادها و مشخص نمودن رویدادهای امنیتی واقعی هستند.

مقایسه SIEM و MSSP

راهکارهای SIEM به صورت On-Premise برخی از مزایای ارائه شده توسط خدمات MSSP را ارائه می‌دهند، با این تفاوت که هزینه‌ای بیشتر برای سازمان‌های استفاده‌کننده در بر دارند. جدول زیر شباهت‌ها و تفاوت‌های بین راه‌کارهای SIEM و MSSP را به طور خلاصه بیان می‌کند.

ویژگی SIEM MSSP
نظارت بر Log رویدادها * *
کمک به دستیابی به انطباق‌های نظارتی * *
ارائه خدمات انعطاف‌پذیر *
ارائه تحلیل ۲۴/۷ توسط تحلیل‌گران امنیت *
ذخیره Logها در محلی بیرونی و سازگار با قواعد بازرسی *
ارائه هوش امنیتی و تخصص به عنوان بخشی از راه‌کار *
در بر داشتن ذاتی طرح‌های بازیابی از فاجعه و تداوم کسب‌و‌کار به عنوان بخشی از راه‌کار *
هزینه‌ی قابل پیش‌بینی و ثابت مستمر *
نیازمند سرمایه‌گذاری اولیه در تکنولوژی‌های جدید *
احتمال نیاز به ارتقا یا به‌کارگیری زیرساخت‌های بیشتر (سرور، دستگاه‌های شبکه، فضای ذخیره‌سازی و …) *
نیازمند به‌روزرسانی، Patch و ارتقا منظم *
نیازمند مقداری قابل‌توجه از منابع در محل و همچنین آموزش برای مدیریت (تغییر قوانین، تنظیم و …) *

نتیجه‌گیری

MSSPها می‌توانند بدون دردسرهای مدیریت و نگهداری یک راهکار مستقر در محل، با برآورده کردن نیاز رویت‌پذیری محیط و انطباق با قواعد نظارتی، برای سازمان‌های مختلف و با اندازه‌های مختلف ارزشمند باشند. شرکت امن‌پردازان کویر (APK)، با ارائه این سرویس‌های امنیتی به صورت مدیریت شده، به عنوان بخشی اضافه شده به تیم امنیت داخلی مشتری عمل می‌کند.

از آنجایی که یکی از شاخصه‌های فرهنگ مشتری‌مداری، درک و رسیدگی به نیازهای هر مشتری است، در شرکت APK، مشتری همواره مقدم بوده و هر یک از کارکنان، از تیم مدیریتی گرفته تا تحلیل‌گران SOC، در راستای جلب رضایت مشتری تلاش می‌کنند. این شرکت یا درک دقیق نیازهای منحصر‌به‌فرد هر مشتری و ترکیب آن با تجربه‌ی امنیتی و فرایندهای عملیاتی اثبات شده خود، در تلاش است تا امکان ارتقا سطح امنیت و انطباق با قواعد نظارتی را برای مشتریان فراهم نماید.

[۱] Payment Card Industry Data Security Standard

[۲] Single sign-on

[۳] User compliance

ایمیل خود را وارد کنید و عضو خبرنامه شوید.

محصولات شرکت

سامانه مدیریت یکپارچه تهدیدات
سامانه مرورگر امن (RBI)
سامانه مدیریت وقایع و امنیت اطلاعات

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.