مرکز MSSP چه تفاوتی با MSP دارد

یک مرکز عملیات امنیت مدیریت شده یا MSSP، خدمات امنیت شبکه را به سازمان‌ها ارائه می‌کند. MSSP به‌عنوان یک Third-Party می‌تواند سختی کار تیم‌های IT را کاهش داده و همچنین زمان حیاتی مورد نیاز سازمان برای پشتیبانی و توسعه‌ی عملیات را آزاد کند.

در این مقاله بررسی می‌کنیم که مراکز عملیات امنیت مدیریت شده یا MSSPها چطور می‌توانند به سازمان کمک کنند که کارآمدی بیشتری داشته باشد و همچنین تفاوت MSSP با ارائه‌کنندگان خدمات مدیریت‌شده یا MSPها شرح داده خواهد شد. باوجوداینکه هر دوی این سرویس‌ها (MSSP و MSP) مدیریت‌شده هستند، هرکدام ویژگی‌های متمایزی نیز دارند.

Managed Security Provider یا MSP چیست

MSP به‌اختصار به ارائه‌کننده‌ی خدمات مدیریت‌شده اشاره دارد، یک شرکت خدماتی IT که زیرساخت IT و فرایندهای IT را برای مشتریان خود مدیریت‌ می‌کند. زیرساخت مدیریت‌شده شامل دستگاه‌ها و رایانه‌های کاربر، تا فایروال‌ها، روترها، سوئیچ‌ها، Active Directory، Exchange Serverها، سرورهای Active Directory و سرورهای داده است. این موارد معمولاً از یک نرم‌افزار متمرکز یا Stack تکنولوژی‌های نرم‌افزار فعالیت می‌کند تا از راه دور مانیتورینگ و عیب‌یابی را انجام دهد. معمولاً MSP در بسیاری از شرکت‌ها تحت عنوان دپارتمان IT توصیف می‌شود.  نام‌های دیگر MSPها شامل Vendor یا شرکت IT مدیریت‌شده و شرکت مدیریت IT است. مشاور IT یکی از معادل‌های MSP نیست، که در بخش تاریخچه‌ی فضای خدمات IT در این مقاله به آن می‌پردازیم.

کاربرد مرکز عملیات امنیت مدیریت شده یا MSSP

مهم است که علاوه بر درک ماهیت MSSP، بدانیم چطور مورد استفاده قرار می‌گیرند. استفاده از یک MSSP شامل برون‌سپاری مدیریت و مانیتورینگ سیستم‌ها و دستگاه‌های امنیتی است. وقتی سیستم‌های امنیتی حیاتی در دست نهادهایی خارجی باشند، تیم‌های IT وقت بیشتری دارند که به پروژه‌های دیگر خود برسند تا اهداف سازمان را جلو ببرند. خدمات متداول این سرویس‌ها شامل موارد زیر هستند:

• فایروال مدیریت‌شده یا Managed Firewall: فایروال مدیریت‌شده به معنای سرویسی است که از طریق استفاده از متخصصان امنیتی مدیریت تهدیدات قوی‌تری را فراهم می‌کند. این متخصصان دائماً فایروال شما را مانیتور می‌کنند و همچنین به تهدیدات احتمالی پاسخ می‌دهند. استفاده از یک فایروال مدیریت‌شده شبیه به استخدام ناظر، پلیس و کارآگاه به‌طور همزمان است. ترافیک شبکه‌ی سیستم شما مورد بررسی دقیقی قرار می‌گیرد و الگوهای آن مشاهده و  ردیابی می‌شوند. از این الگوها برای شکل دادن به پارامترهای امنیتی استفاده می‌گردد. وقتی رخدادی خارج از این پارامترها اتفاق می‌افتد، هشداری را فعال می‌کند و به تهدید احتمالی رسیدگی می‌گردد.
• شناسایی نفوذ: از زمان قدیم، شبکه‌ها به کاخ شبیه می‌شدند. درنتیجه یک خندق بزرگ می‌تواند از هرچیزی در داخل کاخ که برای شما ارزشمند است حفاظت کند. اما شناسایی نفوذ مدرن شامل بررسی تمام اجزا، افراد و نرم‌افزارها است، فارغ از اینکه داخل کاخ هستند یا بیرون آن. شناسایی نفوذ توسط یک MSSP توانمند شامل حفاظت از تمام دستگاه‌ها و سیستم‌ها و همچنین اطمینان حاصل کردن از این موضوع می‌باشد که توسط عاملان مخرب مورد استفاده قرار نگیرند تا به سیستم‌های داخل یا خارج سازمان صدمه بزنند.
• شبکه‌ی خصوصی مجازی یا VPN: می‌توان یک VPN که در اختیار یک MSSP است به نحو.ی پیکربندی کرد تا به‌طور ایمن عملیات سازمان را تحت حفاظت قرار دهد. از آنجایی که یک VPN خصوصی از نفوذ دیگران در امان است، می‌تواند میزان آسیب‌پذیری را تا حد زیادی کاهی دهد. اگر فقط به کاربران ضروری دسترسی به VPN داده شود، MSSP فقط باید آن اقدامات امنیتی را به کار گیرد که از شبکه در مقابل کاربران و دستگاه‌های آن‌ها حفاظت نماید.
• اسکن آسیب‌پذیری: بااینکه شناسایی تهدیدات بالقوه مرحله‌ی مهمی است، یک MSSP آسیب‌پذیری‌های درون شبکه را نیز اسکن می‌کند. گاهی اوقات این آسیب‌پذیری‌ها شامل اهداف واضحی برای مجرمان سایبری است، مثلاً فضاهای کاری و داده‌های حساس. در موارد دیگر، حوزه‌ها یا سیستم‌هایی که مجرمان می‌خواهند به آن‌ها دسترسی پیدا کنند را می‌توان با استفاده از یک آسیب‌پذیری با دو یا سه درجه فاصله، مورد نفوذ قرار داد. یک MSSP می‌تواند هر آسیب‌پذیری را شناسایی نماید، فرقی هم نمی‌کند که در بین مجموعه آسیب‌پذیری‌ها باشد، کنار آن مجموعه قرار داشته باشد یا چند درجه از آن‌ها فاصله داشته باشد.
• خدمات آنتی‌ویروس: تنوع حملات ویروسی هر سال افزایش پیدا می‌کند و معمولاً برای تیم‌های IT دشوار است که همراه با تعداد روزافزون تهدیدات پیش بروند. یک MSSP منابع لازم و کافی دارد تا روی ویروس‌هایی دقیق شود که بیشترین تهدید را برای شبکه و کاربران ایجاد می‌کنند. سپس MSSP می‌تواند مجموعه‌ای از خدمات آنتی‌ویروس را طراحی کند که برجسته‌ترین تهدیدات را هدف قرار می‌دهد. به‌علاوه، اقدامات عمومی آنتی‌ویروس را می‌توان در سطوح و مکان‌های مختلفی در شبکه اتخاذ کرد. برای مثال راهکارهای آنتی‌ویروس را می‌توان طوری تنظیم کرد که پاسخگوی نیازهای حفاظتی سرورهای داخلی باشند، درحالی‌که می‌توان راهکارهای متفاوتی را برای سرورهای Cloud طراحی نمود.

MSSP و MSP چه تفاوت‌هایی دارند

ارائه‌کنندگان خدمات مدیریت‌شده (MSPها) و مراکز عملیات امنیت مدیریت شده (MSSPها)، هر دو سازمان‌هایی Third-Party هستند که خدماتی را برای یک شرکت ارائه می‌دهند. اما تمرکز این دو نوع از ارائه‌کنندگان خدمات تفاوت زیادی با هم دارد. یک MSP پشتیبانی کلی از شبکه و IT را ارائه می‌دهد و همچنین سرویس‌هایی مثل ارتباطات از راه دور مدیریت‌شده (Telco) یا پلتفرم‌های نرم‌افزار به‌عنوان سرویس (Software as a Service یا SaaS) را ارائه می‌نماید. در مقابل، تمام تمرکز یک MSSP روی فراهم کردن خدمات امنیتی است.

 یکی از تفاوت‌های واضح بین MSPها و MSSPها «مرکز عملیات» آن‌ها است. یک MSP معمولاً در یک مرکز عملیات شبکه یا NOC فعالیت می‌کند و از طریق آن شبکه‌های مشتریان خود را مانیتور و مدیریت‌ می‌نماید. یک MSSP باید در یک مرکز عملیات امنیتی یا SOC فعالیت کند و مانیتورینگ امنیتی دائمی و پاسخ به حوادث را فراهم نماید.

MSSP اقدامات امنیتی انحصاری‌تری را ارائه می‌دهد

تمرکز یک MSP این است که اطمینان حاصل کند تمام جوانب سیستم‌های اطلاعاتی شما در دسترس باشند و توسط کارمندان و مشتریان مورد استفاده قرار گیرند. اما در این فرایند ممکن است اطلاعات در دسترس اشخاص خارجی نیز قرار بگیرند. اما یک MSSP اطمینان حاصل می‌کند که هیچکس به جز کارمندان و مشتریان نتواند به سیستم‌های اطلاعاتی یا داده‌های شما دسترسی پیدا کند. این تمرکز انحصاری روی کاهش فرصت حملات باعث می‌شود MSSP انتخاب برتری برای برخی از سازمان‌ها باشد.

در MSSP امنیت به مدیریت اولویت دارد

مأموریت اصلی یک MSP بیشتر متمایل است به اطمینان حاصل کردن از اینکه سیستم IT به‌خوبی اجرا شود، درحالی‌که تصمیم‌گیرنده‌ها نحوه‌ی انجام عملیات را کنترل می‌کنند. از طرف دیگر MSSP هم می‌تواند به اجرای درست IT کمک کند، اما هدف اصلی آن امنیت IT است. برای کاربرانی که به دنبال یک راهکار IT جامع‌تر و کامل‌تر هستند، شاید MSP انعطاف‌پذیری بیشتری داشته باشد. برای کاربرانی که نگرانی اصلی آن‌ها امنیت IT است، شاید MSSP انتخاب بهتری باشد.

MSSP ابزار به‌خصوصی را برای رفع تهدیدات ارائه می‌دهد

مسئله‌ی دیگری که MSSP را از MSP متفاوت می‌کند، مجموعه راهکارهای آن است. درحالی‌که یک سیستم MSP می‌تواند باعث شود سیستم‌های IT بهتر اجرا شوند، تنها مأموریت MSSP این است که امنیت را بهبود بخشد و برای این کار مستقیماً به دنبال تهدیدات گشته، آن‌ها را شناسایی و سپس رفع می‌نماید. در نتیجه MSSPها برای شرکت‌ها خدماتی را ارائه می‌دهند که شامل پیشگیری از تهدید، شناسایی تهدید و پروتکل‌های پاسخگویی به‌خصوصی باشند. از این موارد برای حفاظت از شبکه، زیرساخت آن و برنامه‌های کاربردی که با آن تداخل دارند استفاده می‌شود.

مزایای MSSP

هدف یک MSSP این است که تیم امنیتی داخلی یک سازمان را تکمیل کرده یا جایگزین آن شود. یک شرکت می‌تواند از طریق شراکت با یک MSSP از چندین مزیت بهره‌مند گردد:

• پر کردن نقش‌های خالی: شکاف مهارتی در امنیت سایبری یعنی پر کردن موقعیت‌های خالی در تیم امنیتی داخلی یک سازمان می‌تواند دشوار و پرهزینه باشد. همکاری با یک MSSP به سازمان این توانایی را می‌دهد که شکاف‌های درون تیم امنیتی داخلی خود را پر کرده یا به‌طور کامل آن را جایگزین نماید.
• دسترسی به تخصص: تعداد محدود افراد در امنیت سایبری تنها تأثیر شکاف مهارت‌های امنیت سایبری نیست. سازمان‌ها همچنین به‌صورت دوره‌ای نیاز دارند که در صورت رخ دادن یک حادثه به تخصص در امنیت سایبری (مثلاً تحلیلگران بدافزار یا متخصصان جرم‌شناسی) دسترسی داشته باشند. یک MSSP دارای مقیاس لازم برای حفظ این تخصص درون سازمان است و در صورت نیاز آن را در دسترس مشتریان قرار می‌دهد.
• حفاظت همیشگی: حملات سایبری ممکن است در هر زمانی رخ دهند، نه فقط در طول ساعات کسب‌و‌کار استاندارد یک سازمان. یک MSSP باید یک SOC بیست‌وچهار ساعته را فراهم کند که دارای قابلیت شناسایی و پاسخ دائمی به حملات سایبری احتمالی باشد.
• بلوغ امنیتی بالاتر: بسیاری از سازمان‌ها، مخصوصاً سازمان‌های کوچک و متوسط دارای سطح لازم از بلوغ امنیت سایبری نیستند. SMBها می‌توانند با یک MSSP، به‌سرعت یک راهکار امنیت سایبری بالغ را پیاده‌سازی نمایند.
• پیکربندی و مدیریت راهکار: راهکارهای امنیت سایبری وقتی بیشترین کارآمدی را دارند که توسط یک متخصص پیکربندی و مدیریت شوند. وقتی یک سازمان با یک MSSP همکاری کند، مزیت مدیریت امنیتی تخصصی را بدست می‌آورد بدون اینکه نیاز باشد در داخل سازمان استعدادهای لازم را داشته باشد.
• کاهش هزینه‌ی کلی مالکیت: بسیاری از راهکارهای امنیت سایبری برای چند مستأجری (Multi Tenancy) و مقیاس‌پذیری بالا پشتیبانی ارائه می‌دهند. این امر به یک MSSP این توانایی را می‌دهد که از راهکار واحدی برای پشتیبانی از چندین مشتری استفاده کند و هزینه‌ی زیرساخت امنیت سایبری قدرتمندی را در بین مشتریان خود تقسیم نماید.
• پشتیبانی از تطبیق‌پذیری: با اضافه شدن مقررات جدید حفاظت از داده (مثل GDPR و CCPA) به قانون‌های موجود (مثل HIPAA و PCI DSS) چشم‌انداز نظارت قانونی روزبه‌روز پیچیده‌تر می‌شود. یک MSSP می‌تواند به جمع‌آوری داده و ایجاد گزارشات برای نشان دادن تطبیق‌پذیری در طول ممیزی‌ها یا پس از یک حادثه‌ی احتمالی کمک کند.

امنیت برای MSSPها

وقتی مشتریان به دنبال یک MSSP می‌گردند، ارائه‌دهنده‌ای را جستجو می‌کنند که بتوانند به آن اطمینان کنند تا به طور کارآمدی از شبکه‌های آن‌ها و داده‌های حساس درون‌شان حفاظت نمایند. برای ارائه‌ی یک راهکار امنیتی برون‌سپاری‌شده‌ی کارآمد، یک شرکت نه‌تنها باید تخصص امنیت سایبری کافی را داشته باشد، بلکه همچنین باید دارای ابزار لازم برای انجام کارهای خود به‌طور کارآمد باشد.

شرکت امن‌پردازان کویر (APK) گستره‌ی وسیعی از راهکارهای امنیت شبکه و Endpoint را برای MSSP ارائه می‌نماید. این راهکارها براساس سال‌ها تجربه در شناسایی و پاسخ به نیازهای امنیت سایبری کسب‌و‌کارهای کوچک و سازمان‌های بزرگ طراحی شده‌اند. قابلیت‌های تجزیه‌و‌تحلیل داده‌ی پیشرفته، مدیریت تهدید یکپارچه و رابط کاربری آسان به تحلیلگران SOC و پاسخ‌دهندگان به حادثه قابلیت دید و کنترل لازم را می‌دهد که برای شناسایی و پاسخ به تهدیدات در محیط مشتری مورد نیاز هستند.