در بخش اول مطلب بررسی ۸ معیار مهم برای انتخاب یک مرکز عملیات امنیت مدیریتشده یا MSSP گفتیم که یک مرکز MSSP باید نیروی متخصص و تکنولوژیهای پیشرو ارائه دهد و بتواند سرمایهگذاری در حیطه امنیت سایبری را برای رهبران کسبوکار، سهامداران و مشتریان توجیه کند. به همین منظور لازم است که هنگام انتخاب یک مرکز MSSP، به هشت سؤال در مورد خدمات قابلدسترسی مربوط به کسبوکار مخاطب پاسخ داده شود. در این قسمت به ادامه سوالها و جمعبندی امتیازات و در نهایت چگونگی انتخاب MSSP خواهیم پرداخت.
۶. مرکز MSSP چطور به حوادث پاسخ میدهد؟
پاسخ به حادثه بخشی از MSSP نیست. (۱ امتیاز)
مسئولیت به عهدهی مشتری است
این نوع مرکز عملیات امنیت مدیریتشده اساساً فقط ریسکهای امنیتی و آسیبهای احتمالی آنها را ثبت میکند. خود مشتری است که باید تصمیم بگیرد چطور به یک حادثه پاسخ دهد یا با Vendorهای دیگر تعامل نماید. این امر بدون شک هزینه و زمان اضافهای را از وی خواهد گرفت.
Vendor بین پاسخ Remote و On-Site به مشتری حق انتخاب میدهد. (۲ امتیاز)
نیمی از پاسخ
در این حوزه به انعطافپذیری نیاز است. برخی از حوادث امنیتی پیچیده نیاز به اصلاحاتی در سازمان خواهد داشت. رخدادهای دیگر، زمانی که رخ میدهند نیاز به یاری بدون وقفه خواهند داشت. شاید این MSSP نتواند پاسخ کارآمدی برای سازمان ارائه دهد.
Vendor میتواند هم بهصورت Remote و هم On-Site پاسخ دهد. (۳ امتیاز)
دفاع آماده به حرکت
ارائهکننده برای هر نوع حملهی امنیتی به سازمان آمادهباش است و خدمات شناسایی و پاسخ مدیریتشده را برای سازمان فراهم مینماید MSSPهای برتر با این سرویس افزونه نیز از امتیازهای میزان حیاتی بودن سیستم استفاده میکنند تا با هدف متوقف کردن حوادث مشابه، ساختار رخداد آسیبپذیری را درک نمایند.
۷. آیا MSSP قابلیت دید و Policy جامع را روی محیطهای هیبرید ارائه میدهد؟
Vendor فقط خدمات را برای محیطهای On-Premises ارائه میدهد. (۱ امتیاز)
بینشهای ناقص
متخصصان توافق دارند که حوزهی الزامات سرویس مانیتورینگ امنیتی برای اکثر سازمانها شامل خدمات مبتنی بر Cloud است. یک Vendor که نتواند رخدادهای امنیتی را در Cloudهای عمومی یا خصوصی مدیریت کند، نمیتواند به نیازهای امنیت IT کنونی پاسخ دهد.
مرکز MSSP هم On-Premises و هم Infrastructure as a Service یا IaaS را ارائه میدهد. (۲ امتیاز)
شکافهایی باقی است
برای Platform as a Service یا PaaS و Software as a Service یا SaaS به اندازهی IaaS به امنیت نیاز است، زیرا کاربرد سنگینی دارند. مثلاً این MSSP نمیتواند تهدیدات را درون زیرساخت یا اکثر برنامههای کاربردی از منابع Third-Party، مانیتور و شناسایی کند.
پوشش روی محیطهای Hybrid Multicloud ازجمله IaaS، PaaS و SaaS. (3 امتیاز)
آماده برای Cloud
این MSSP برای رسیدگی به پیچیدگی تمام محیطهای Cloud دارای مهارتهای تخصصی است.
Vendor میتواند تهدیدات در مقابل برنامههای کاربردی Cloud-Native و مدرن را مانیتور کرده و به آنها پاسخ دهد که امکان این امر با میکروسرویسها و Containerization مثل Red Hat OpenShift یک پلتفرم برنامه کاربردی Container متنباز محبوب فراهم شده است.
۸. Vendor برای شناسایی و اولویتبندی رخدادها از چه میزان تجزیهوتحلیل امنیتی که از یادگیری ماشینی استفاده میکند، بهره میبرد؟
هیچ یادگیری ماشینی رخ نمیدهد. (۱ امتیاز)
عقب افتادن از قافله
دستگاههای شناسایی امنیتی زیادی اکنون از یادگیری ماشینی استفاده میکنند تا کارآمدی را در ارائهی خدمات به مشتریان بهبود بخشند. Vendorهایی که در سرویس خود این ویژگی را ندارند میتوانند باعث شوند که سازمان بهطور مکرر و بهآرامی به حوادث مشابهی پاسخ دهند. این MSSP حجم بالایی از Noise و اطلاعات کمارزش را برای پردازش انتقال میدهد
یادگیری ماشینی در موارد کاربرد محدودی رخ میدهد. (۲ امتیاز)
پتانسیل محقق نشده
این MSSP فرایند را فقط در یک یا چند مورد از خدمات امنیتی خود به کار میگیرد. آن رویکرد میتواند پردازش ناقص دادهها در مورد حوادث امنیتی را فراهم کند که منجر شود به بهبود نقطهای خدمات خواهد شد.
یادگیری ماشینی بهعنوان مبنایی برای شناسایی تهدید و پیشگیری از آن از سوی Vendor عمل میکند. (۳ امتیاز)
آماده برای تجزیهوتحلیل تهدید
این رویکرد برای سازمانها یک Policy امنیتی خودکارسازیشده، رسیدگی خودکار به هشدارها و اولویتبندی تهدیدات را فراهم مینماید. تجزیهوتحلیل داده توسط دستگاهها میتواند منجر به اصلاح آسیبپذیریها در زمان مناسب شود پیش از اینکه اکسپلویتی اتفاق بیافتد و همچنین باعث بهبود اقدامات پیشگیرانه در مقابل تهدیدات میگردد. این MSSP هشدارهای کمارزش و Noiseها را از طریق خودکارسازی پردازش میکند، درحالیکه از طریق تحلیلگرانی که زمان بیشتری برای تمرکز روی تجزیهوتحلیل با ارزش بالا دارند، به هشدارهای با ارزش و تأثیر بالا میپردازد.
جمعبندی امتیازات برای انتخاب یک مرکز عملیات امنیت مدیریتشده
آیا MSSP Vendor شما، چیزی که نیاز دارید را ارائه میدهد؟
امتیاز: ۸-۱۵ ارائهدهندهای کوچک با قابلیتهای ناکارآمد
این Vendor بسیاری از ویژگیهای امنیتی را که مشتریان بهطور متداول انتظار آنها را دارند فراهم نمیکند و احتمالاً نمیتواند به نسبت نیازهای کاربر توسعه پیدا کند. عملکرد محدود این مرکز MSSP میتواند تلاشهای سازمان مشتری برای تطبیق با مقررات قانونی و صنعتی را دچار پیچیدگی کند.
امتیاز: ۱۶-۲۱ ارائهدهندهای کوچک که سعی میکند با سازمانها تطبیق پیدا کند
خدمات این مراکز، دارای محدودیتهایی است که در بخشهایی از امنیت مشتری شکافهایی را باقی میگذارد. احتمال بالایی وجود دارد که مشتری متوجه شود که عناصری را کم دارد و به راهکار کاملتری نیاز پیدا کند.
امتیاز: ۲۲-۲۴ یک Vendor آموزش دیده با دانشی عمیق و وسیع
این Vendor دارای تجربه است تا راهکارهای خود را طوری تنظیم کند که برای سازمانها متناسب باشد، حتی اگر سازمان مطمئن نباشد به چه چیزی نیاز دارد. سازمان مشتری گزینههای تکنولوژی مدیریت رخداد و اطلاعات امنیت یا همان سامانه SIEM منعطفی را دریافت میکند که آماده هستند تا در حین رشد سراسری به تقاضاها پاسخ دهند. Vendorهای برتر به سازمانها این قدرت را میدهند که پیش از پیادهسازی کامل، ریسکها و نقاط ضعف در برنامههای کسبوکار خود را شناسایی کنند و برای فراهم کردن تخصص و پاسخگویی در مقیاس جهانی نقش یک شریک معتمد را بازی میکنند.
موارد مهم در انتخاب یک ارائهکنندهی خدمات امنیت مدیریتشده
سازمانها باید قدمهای پیشگیرانهای را بردارند تا در مقابل حملات مخرب از خود دفاع نمایند. یک برنامهی امنیتی موفق نیازمند اطلاعات بهروز و پیچیده و بینش عمیق به چشمانداز تهدیدات کنونی است. این برنامه همچنین نیازمند یک رویکرد استراتژیک برای مدیریت هزینه و پیچیدگی تکنولوژیهای امنیتی است که برای مدیریت Log و رخداد امنیتی، اسکن آسیبپذیری، امنیت ایمیل و فعالیتهای دیگر موردنیاز است. اما با وجود تنوع گستردهی تهدیدات امنیتی کنونی و درحال ظهور، سازمانهایی که سعی میکنند بهتنهایی امنیت اطلاعات خود را مدیریت کنند معمولاً منابع داخلی موردنیاز برای حفاظت کارآمد از سیستمهای آنلاین را ندارند.
با برونسپاری عملیات امنیتی به یک MSSP، سازمانها میتوانند از ابزار، فرایندها و مهارتهای تخصصی که این ارائهکنندگان خدمات فراهم میکنند، بهره بگیرند و بهطور قابلتوجهی امنیت را بهبود بخشند، بدون اینکه لازم باشد سرمایهگذاری عظیمی در تکنولوژی و منابع انجام دهند. اما چطور میتوان MSSP مناسبی را برای نیازهای بهخصوص خود انتخاب نمود؟ برای انتخاب یک ارائهکنندهی خدمات امنیت مدیریتشده باید موارد زیر را در نظر داشت:
- تجزیهوتحلیل آسیبپذیری وسیع مرتبط با استراتژی
- پشتیبانی Multivendor و خنثی نسبت به محصول
- گزینههای پیشرفتهی مانیتورینگ رخداد امنیتی
- ارائهی Local و مقیاس سراسری
- برنامهی کاربردی موبایل
- سرویس پاسخ به حادثه
- امنیت Cloud
- یادگیری ماشینی و خودکارسازی