یک مرکز عملیات امنیت مدیریت شده یا MSSP، خدمات امنیت شبکه را به سازمانها ارائه میکند. MSSP بهعنوان یک Third-Party میتواند سختی کار تیمهای IT را کاهش داده و همچنین زمان حیاتی مورد نیاز سازمان برای پشتیبانی و توسعهی عملیات را آزاد کند.
در این مقاله بررسی میکنیم که مراکز عملیات امنیت مدیریت شده یا MSSPها چطور میتوانند به سازمان کمک کنند که کارآمدی بیشتری داشته باشد و همچنین تفاوت MSSP با ارائهکنندگان خدمات مدیریتشده یا MSPها شرح داده خواهد شد. باوجوداینکه هر دوی این سرویسها (MSSP و MSP) مدیریتشده هستند، هرکدام ویژگیهای متمایزی نیز دارند.
Managed Security Provider یا MSP چیست
MSP بهاختصار به ارائهکنندهی خدمات مدیریتشده اشاره دارد، یک شرکت خدماتی IT که زیرساخت IT و فرایندهای IT را برای مشتریان خود مدیریت میکند. زیرساخت مدیریتشده شامل دستگاهها و رایانههای کاربر، تا فایروالها، روترها، سوئیچها، Active Directory، Exchange Serverها، سرورهای Active Directory و سرورهای داده است. این موارد معمولاً از یک نرمافزار متمرکز یا Stack تکنولوژیهای نرمافزار فعالیت میکند تا از راه دور مانیتورینگ و عیبیابی را انجام دهد. معمولاً MSP در بسیاری از شرکتها تحت عنوان دپارتمان IT توصیف میشود. نامهای دیگر MSPها شامل Vendor یا شرکت IT مدیریتشده و شرکت مدیریت IT است. مشاور IT یکی از معادلهای MSP نیست، که در بخش تاریخچهی فضای خدمات IT در این مقاله به آن میپردازیم.
کاربرد مرکز عملیات امنیت مدیریت شده یا MSSP
مهم است که علاوه بر درک ماهیت MSSP، بدانیم چطور مورد استفاده قرار میگیرند. استفاده از یک MSSP شامل برونسپاری مدیریت و مانیتورینگ سیستمها و دستگاههای امنیتی است. وقتی سیستمهای امنیتی حیاتی در دست نهادهایی خارجی باشند، تیمهای IT وقت بیشتری دارند که به پروژههای دیگر خود برسند تا اهداف سازمان را جلو ببرند. خدمات متداول این سرویسها شامل موارد زیر هستند:
- فایروال مدیریتشده یا Managed Firewall: فایروال مدیریتشده به معنای سرویسی است که از طریق استفاده از متخصصان امنیتی مدیریت تهدیدات قویتری را فراهم میکند. این متخصصان دائماً فایروال شما را مانیتور میکنند و همچنین به تهدیدات احتمالی پاسخ میدهند. استفاده از یک فایروال مدیریتشده شبیه به استخدام ناظر، پلیس و کارآگاه بهطور همزمان است. ترافیک شبکهی سیستم شما مورد بررسی دقیقی قرار میگیرد و الگوهای آن مشاهده و ردیابی میشوند. از این الگوها برای شکل دادن به پارامترهای امنیتی استفاده میگردد. وقتی رخدادی خارج از این پارامترها اتفاق میافتد، هشداری را فعال میکند و به تهدید احتمالی رسیدگی میگردد.
- شناسایی نفوذ: از زمان قدیم، شبکهها به کاخ شبیه میشدند. درنتیجه یک خندق بزرگ میتواند از هرچیزی در داخل کاخ که برای شما ارزشمند است حفاظت کند. اما شناسایی نفوذ مدرن شامل بررسی تمام اجزا، افراد و نرمافزارها است، فارغ از اینکه داخل کاخ هستند یا بیرون آن. شناسایی نفوذ توسط یک MSSP توانمند شامل حفاظت از تمام دستگاهها و سیستمها و همچنین اطمینان حاصل کردن از این موضوع میباشد که توسط عاملان مخرب مورد استفاده قرار نگیرند تا به سیستمهای داخل یا خارج سازمان صدمه بزنند.
- شبکهی خصوصی مجازی یا VPN: میتوان یک VPN که در اختیار یک MSSP است به نحو.ی پیکربندی کرد تا بهطور ایمن عملیات سازمان را تحت حفاظت قرار دهد. از آنجایی که یک VPN خصوصی از نفوذ دیگران در امان است، میتواند میزان آسیبپذیری را تا حد زیادی کاهی دهد. اگر فقط به کاربران ضروری دسترسی به VPN داده شود، MSSP فقط باید آن اقدامات امنیتی را به کار گیرد که از شبکه در مقابل کاربران و دستگاههای آنها حفاظت نماید.
- اسکن آسیبپذیری: بااینکه شناسایی تهدیدات بالقوه مرحلهی مهمی است، یک MSSP آسیبپذیریهای درون شبکه را نیز اسکن میکند. گاهی اوقات این آسیبپذیریها شامل اهداف واضحی برای مجرمان سایبری است، مثلاً فضاهای کاری و دادههای حساس. در موارد دیگر، حوزهها یا سیستمهایی که مجرمان میخواهند به آنها دسترسی پیدا کنند را میتوان با استفاده از یک آسیبپذیری با دو یا سه درجه فاصله، مورد نفوذ قرار داد. یک MSSP میتواند هر آسیبپذیری را شناسایی نماید، فرقی هم نمیکند که در بین مجموعه آسیبپذیریها باشد، کنار آن مجموعه قرار داشته باشد یا چند درجه از آنها فاصله داشته باشد.
- خدمات آنتیویروس: تنوع حملات ویروسی هر سال افزایش پیدا میکند و معمولاً برای تیمهای IT دشوار است که همراه با تعداد روزافزون تهدیدات پیش بروند. یک MSSP منابع لازم و کافی دارد تا روی ویروسهایی دقیق شود که بیشترین تهدید را برای شبکه و کاربران ایجاد میکنند. سپس MSSP میتواند مجموعهای از خدمات آنتیویروس را طراحی کند که برجستهترین تهدیدات را هدف قرار میدهد. بهعلاوه، اقدامات عمومی آنتیویروس را میتوان در سطوح و مکانهای مختلفی در شبکه اتخاذ کرد. برای مثال راهکارهای آنتیویروس را میتوان طوری تنظیم کرد که پاسخگوی نیازهای حفاظتی سرورهای داخلی باشند، درحالیکه میتوان راهکارهای متفاوتی را برای سرورهای Cloud طراحی نمود.
MSSP و MSP چه تفاوتهایی دارند
ارائهکنندگان خدمات مدیریتشده (MSPها) و مراکز عملیات امنیت مدیریت شده (MSSPها)، هر دو سازمانهایی Third-Party هستند که خدماتی را برای یک شرکت ارائه میدهند. اما تمرکز این دو نوع از ارائهکنندگان خدمات تفاوت زیادی با هم دارد. یک MSP پشتیبانی کلی از شبکه و IT را ارائه میدهد و همچنین سرویسهایی مثل ارتباطات از راه دور مدیریتشده (Telco) یا پلتفرمهای نرمافزار بهعنوان سرویس (Software as a Service یا SaaS) را ارائه مینماید. در مقابل، تمام تمرکز یک MSSP روی فراهم کردن خدمات امنیتی است.
یکی از تفاوتهای واضح بین MSPها و MSSPها «مرکز عملیات» آنها است. یک MSP معمولاً در یک مرکز عملیات شبکه یا NOC فعالیت میکند و از طریق آن شبکههای مشتریان خود را مانیتور و مدیریت مینماید. یک MSSP باید در یک مرکز عملیات امنیتی یا SOC فعالیت کند و مانیتورینگ امنیتی دائمی و پاسخ به حوادث را فراهم نماید.
MSSP اقدامات امنیتی انحصاریتری را ارائه میدهد
تمرکز یک MSP این است که اطمینان حاصل کند تمام جوانب سیستمهای اطلاعاتی شما در دسترس باشند و توسط کارمندان و مشتریان مورد استفاده قرار گیرند. اما در این فرایند ممکن است اطلاعات در دسترس اشخاص خارجی نیز قرار بگیرند. اما یک MSSP اطمینان حاصل میکند که هیچکس به جز کارمندان و مشتریان نتواند به سیستمهای اطلاعاتی یا دادههای شما دسترسی پیدا کند. این تمرکز انحصاری روی کاهش فرصت حملات باعث میشود MSSP انتخاب برتری برای برخی از سازمانها باشد.
در MSSP امنیت به مدیریت اولویت دارد
مأموریت اصلی یک MSP بیشتر متمایل است به اطمینان حاصل کردن از اینکه سیستم IT بهخوبی اجرا شود، درحالیکه تصمیمگیرندهها نحوهی انجام عملیات را کنترل میکنند. از طرف دیگر MSSP هم میتواند به اجرای درست IT کمک کند، اما هدف اصلی آن امنیت IT است. برای کاربرانی که به دنبال یک راهکار IT جامعتر و کاملتر هستند، شاید MSP انعطافپذیری بیشتری داشته باشد. برای کاربرانی که نگرانی اصلی آنها امنیت IT است، شاید MSSP انتخاب بهتری باشد.
MSSP ابزار بهخصوصی را برای رفع تهدیدات ارائه میدهد
مسئلهی دیگری که MSSP را از MSP متفاوت میکند، مجموعه راهکارهای آن است. درحالیکه یک سیستم MSP میتواند باعث شود سیستمهای IT بهتر اجرا شوند، تنها مأموریت MSSP این است که امنیت را بهبود بخشد و برای این کار مستقیماً به دنبال تهدیدات گشته، آنها را شناسایی و سپس رفع مینماید. در نتیجه MSSPها برای شرکتها خدماتی را ارائه میدهند که شامل پیشگیری از تهدید، شناسایی تهدید و پروتکلهای پاسخگویی بهخصوصی باشند. از این موارد برای حفاظت از شبکه، زیرساخت آن و برنامههای کاربردی که با آن تداخل دارند استفاده میشود.
مزایای MSSP
هدف یک MSSP این است که تیم امنیتی داخلی یک سازمان را تکمیل کرده یا جایگزین آن شود. یک شرکت میتواند از طریق شراکت با یک MSSP از چندین مزیت بهرهمند گردد:
- پر کردن نقشهای خالی: شکاف مهارتی در امنیت سایبری یعنی پر کردن موقعیتهای خالی در تیم امنیتی داخلی یک سازمان میتواند دشوار و پرهزینه باشد. همکاری با یک MSSP به سازمان این توانایی را میدهد که شکافهای درون تیم امنیتی داخلی خود را پر کرده یا بهطور کامل آن را جایگزین نماید.
- دسترسی به تخصص: تعداد محدود افراد در امنیت سایبری تنها تأثیر شکاف مهارتهای امنیت سایبری نیست. سازمانها همچنین بهصورت دورهای نیاز دارند که در صورت رخ دادن یک حادثه به تخصص در امنیت سایبری (مثلاً تحلیلگران بدافزار یا متخصصان جرمشناسی) دسترسی داشته باشند. یک MSSP دارای مقیاس لازم برای حفظ این تخصص درون سازمان است و در صورت نیاز آن را در دسترس مشتریان قرار میدهد.
- حفاظت همیشگی: حملات سایبری ممکن است در هر زمانی رخ دهند، نه فقط در طول ساعات کسبوکار استاندارد یک سازمان. یک MSSP باید یک SOC بیستوچهار ساعته را فراهم کند که دارای قابلیت شناسایی و پاسخ دائمی به حملات سایبری احتمالی باشد.
- بلوغ امنیتی بالاتر: بسیاری از سازمانها، مخصوصاً سازمانهای کوچک و متوسط دارای سطح لازم از بلوغ امنیت سایبری نیستند. SMBها میتوانند با یک MSSP، بهسرعت یک راهکار امنیت سایبری بالغ را پیادهسازی نمایند.
- پیکربندی و مدیریت راهکار: راهکارهای امنیت سایبری وقتی بیشترین کارآمدی را دارند که توسط یک متخصص پیکربندی و مدیریت شوند. وقتی یک سازمان با یک MSSP همکاری کند، مزیت مدیریت امنیتی تخصصی را بدست میآورد بدون اینکه نیاز باشد در داخل سازمان استعدادهای لازم را داشته باشد.
- کاهش هزینهی کلی مالکیت: بسیاری از راهکارهای امنیت سایبری برای چند مستأجری (Multi Tenancy) و مقیاسپذیری بالا پشتیبانی ارائه میدهند. این امر به یک MSSP این توانایی را میدهد که از راهکار واحدی برای پشتیبانی از چندین مشتری استفاده کند و هزینهی زیرساخت امنیت سایبری قدرتمندی را در بین مشتریان خود تقسیم نماید.
- پشتیبانی از تطبیقپذیری: با اضافه شدن مقررات جدید حفاظت از داده (مثل GDPR و CCPA) به قانونهای موجود (مثل HIPAA و PCI DSS) چشمانداز نظارت قانونی روزبهروز پیچیدهتر میشود. یک MSSP میتواند به جمعآوری داده و ایجاد گزارشات برای نشان دادن تطبیقپذیری در طول ممیزیها یا پس از یک حادثهی احتمالی کمک کند.
امنیت برای MSSPها
وقتی مشتریان به دنبال یک MSSP میگردند، ارائهدهندهای را جستجو میکنند که بتوانند به آن اطمینان کنند تا به طور کارآمدی از شبکههای آنها و دادههای حساس درونشان حفاظت نمایند. برای ارائهی یک راهکار امنیتی برونسپاریشدهی کارآمد، یک شرکت نهتنها باید تخصص امنیت سایبری کافی را داشته باشد، بلکه همچنین باید دارای ابزار لازم برای انجام کارهای خود بهطور کارآمد باشد.
شرکت امنپردازان کویر (APK) گسترهی وسیعی از راهکارهای امنیت شبکه و Endpoint را برای MSSP ارائه مینماید. این راهکارها براساس سالها تجربه در شناسایی و پاسخ به نیازهای امنیت سایبری کسبوکارهای کوچک و سازمانهای بزرگ طراحی شدهاند. قابلیتهای تجزیهوتحلیل دادهی پیشرفته، مدیریت تهدید یکپارچه و رابط کاربری آسان به تحلیلگران SOC و پاسخدهندگان به حادثه قابلیت دید و کنترل لازم را میدهد که برای شناسایی و پاسخ به تهدیدات در محیط مشتری مورد نیاز هستند.