پیروزی در یک جنگ نیازمند برتری در تمام جبههها است و تنها برتری در یک جبهه یا یکی از انواع نیروهای جنگی برای پیروزی ناکافی است. مقابله با هکرها و خنثی کردن اقدامات آنها نیز به طور مشابه به مجموعهای متنوع از فناوریها و همچنین متخصصان امنیتی آموزشدیده، با تجربهی انجام و آزمایش روشهای متفاوت برای دستیابی به بهترین نتایج، نیاز دارد. ابزارها و سرویسهای مختلفی برای مقابله با هکرها وجود دارد که هر یک قابلیتهای متفاوتی را ارائه میدهند. با این حال، کسبوکارهای کوچک و متوسط (SMBها) معمولا قادر به استفاده از تمام این ابزارها و سرویسها نبوده و باید از بین موارد ممکن، برخی را انتخاب کنند. نتایج بررسیهای صورت گرفته توسط موسسه گارتنر بیانگر این است که راهکار EDR یکی از محبوبترین و متداولترین راهکارهای مورد استفاده در این راستا است. با این حال، باید توجه شود که اگر چه راهکار EDR یک بخش مهم از استراتژی امنیتی است، اما استفاده از آن به تنهایی، کافی نیست.
Endpoint Protection یا EPP: محافظت از نقاط پایانی
محافظت از نقاط پایانی[۱] (EPP) بر روی جلوگیری از حملات شناخته شده بر اساس Signatureهای موجود تمرکز دارد. فایروالها، فیلترهای وب، و ایجاد لیستی سفید یا سیاه از برنامهها، تهدیدهای شناخته شده را شناسایی کرده و اجرای آنها را متوقف مینماید. مدیریت متمرکز و امکان بهکارگیری سریع، این ابزارها را به منابعی مناسب تبدیل کرده است.
با این حال، EPP برای شناسایی حملات ناشناخته یا روز-صفر[۲] ساخته نشده است. همچنین، این ابزارها قابلیت مشاهده شبکه را نیز فراهم نمیکنند. با توجه به این موضوع، به عنوان مثال اگر قبلا نفوذی رخ داده باشد، هکر قادر است بدون شناسایی به استخراج اطلاعات حیاتی بپردازد. به طور مشابه، Key loggerها یا مدلهای جدید باجافزار قادر هستند تا بدون شناسایی شدن با سرورهای فرمان و کنترل[۳] (C&C) ارتباط برقرار کنند. با توجه به این توضیحات، EPP علیرغم لازم بودن، بسیار محدود است.
راهکار EDR یا Endpoint Detection & Response
بر خلاف EPP، شناسایی و پاسخدهی تهدیدات Endpoint یا راهکار EDR به مشتریان امکان شناسایی و تشخیص وقایع امنیتی، بررسی و حتی رفع و مقابله با آنها در نقاط پایانی را ارائه میدهد. این موضوع منجر به تامین سطحی از قابلیت مشاهده در نقاط پایانی میشود، چیزی که EPP قادر به تامین آن نیست؛ راهکار EDR قادر است تا با استفاده از ابزارهای فارنزیک (Forensic)، که رفتارهای غیرعادی را تشخیص میدهند، تهدیدهای ناشناخته را شناسایی کنند. بنابراین، درحالیکه EPP از شبکه در برابر تهدیدهای شناخته شده محافظت میکند، EDR هر چیز غیرطبیعی موجود در یک نقطه پایانی را شناسایی و بررسی میکند. هر چند در این راستا شروط و نکاتی نیز وجود دارند: اولا، نقاط کور در EDR وجود دارند؛ بدون وجود یک EDR Agent بر روی یک نقطه پایانی، راهکار EDR قادر به ارائه قابلیت مشاهده نیست. ثانیا، EDR به کارکنان امنیتی نیاز دارد که در زمینه تشخیص و پاسخگویی به وقایع آموزش دیده باشند. برخلاف اغلب شرکتهای بزرگ، تامین کارکنان امنیتی موردنیاز برای SMBها کاری دشوار است. نکته آخر اینکه راهکار EDR قابلیت مشاهده شبکه را فراهم نمیکند. تهدیدهایی که به طور مخفیانه وارد میشوند قادر هستند تا به طور جانبی در طول شبکه حرکت کرده و بدون محدودیت با یک سرور C&C راه دور در ارتباط باشند.
نظارت بر شبکه، امنیت داده و راهکار SIEM
نظارت پیوسته بر شبکه تکمیلکننده عملکرد راهکار EDR است. درحالیکه EDR قابلیت مشاهده در نقاط پایانی را فراهم میکند، نظارت بر شبکه، اتفاقاتی که در واقع در شبکه در حال وقوع هستند، را نشان میدهد. به بیان ساده، هر دوی EDR و نظارت بر شبکه موردنیاز هستند.
صنایعی که شدیدا تحت نظارت هستند نیز به حفاظت از برنامه و دادهای نیاز دارند که بتواند از داراییهای ارزشمند آنها – که هکرهای واقعی به دنبال سرقت و در ادامه فروش آنها در دارک وب هستند – محافظت کند.
در آخر مدیریت وقایع و امنیت اطلاعات (SIEM) قرار دارد؛ جایی که جریان دادههای Log به دست آمده از EDR و نظارت بر شبکه در یک پلتفرم مدیریتی واحد تجمیع میشوند. تنها نقطه ضعف انبوهسازی و همبستهسازی دادههای Log این است که پیادهسازی این فرایند بسیار زمانبر بوده (بین ۶ تا ۱۲ ماه) و مدیریت و/یا دریافت مجوز آن نیز کاملا هزینهبر است.
راهکار Managed detection and Response یا MDR: تکمیلکننده تصویر
راهکارهای تشخیص و پاسخگویی مدیریت شده[۵] (MDR) به SMEها کمک میکند تا با هزینهای مقرونبهصرفه و بدون تخصص امنیتی یا با حداقل تخصص امنیتی درون سازمانی، معادل یک مرکز عملیات امنیت (SOC) ایجاد کنند.
بهطور خاص، MDR تجمیع Log (SIEM)، نظارت پیوسته از راه دور، اولویتبندی تهدیدها، و پاسخگویی به وقایع و همچنین دسترسی تماموقت به یک تیم امنیت ماهر را ارائه میکند.
در استفاده از خدمات MDR، سازمانها میتوانند به استفاده از ابزارهای EPP و EDR موجود و همچنین راهکارهای محافظت از داده خود ادامه دهند؛ اما ارائهدهندگان MDR، دادههای Log این ابزارها را تجمیع کرده، به طور پیوسته به نظارت بر آنها پرداخته، اولویتبندی رویدادها را انجام داده و راهنمایی موردنیاز جهت پاسخگویی به وقایع را ارائه میکنند.
راهکار MDR: برونسپاری تخصصی شناسایی و پاسخگویی به تهدید
ارائهدهندگان MDR دو گروه اصلی از خریداران را برای خدمات شناسایی و پاسخگویی مدیریت شده خود هدف قرار میدهند:
- کسبوکارهای کوچک و متوسط که تنها به طور محدود میتوانند در منابع امنیت (ابزارها/کارکنان) سرمایهگذاری کنند.
- شرکتهای میان ردهای که در حال حاضر در منابع امنیت سرمایهگذاری کردهاند، اما به دنبال همکارانی جهت تقویت قابلیتهای درون سازمانی خود هستند.
مزایای MDR
- مجموعهای از فناوریهای اختصاصی برای SIEM که در هزینه خدمت در نظر گرفته شدهاند
- نظارت تمام وقت بر رویدادها/ Logها، فعالیتهای مشکوک و هشدارها
- نظارت پیوسته بر شبکه
- شناسایی تهدیدها، اولویتبندی و بازرسی امنیتی
- ارائه توصیههای مربوط به بررسی و پاسخگویی به حوادث به صورت از راه دور
- ارزیابی آسیبپذیری
- گزارش انطباقپذیری به مراجع نظارتی
- مشاوران امنیتی که به عنوان توسیعی از تیمهای امنیتی و IT مشتریان نهایی عمل میکنند
یک مرکز عملیات امنیت به عنوان یک خدمت یا SOC-as-a-Service، قابلیتهای MDR و همچنین مواردی بیشتر از آن را ارائه میکند. مرکز عملیات امنیت به عنوان یک خدمت از یک پلتفرم SIEM مبتنی بر ابر برای جمعآوری و همبستهسازی دادههای Log و جریانهای شبکه از سنسورهای شبکه مستقر در محیط مشتری استفاده میکند. مهندسان امنیت با تجربه یک مرکز عملیات امنیت به عنوان یک خدمت بر تشخیص تهدید، بازرسی امنیتی، و اولویتبندی وقایع برای مشتریان متمرکز هستند. ارزیابی آسیبپذیری و گزارشدهی انطباقپذیری نیز بخشی از سرویس جامع ارائه شده توسط آنها است.
ارائهدهندگان SOC-as-a-Service، علاوه بر مزایای MDR، قابلیتهای زیر را نیز ارائه میکنند:
- هوش مصنوعی ترکیبی (یادگیری ماشین تقویت شده به وسیله کاربر انسانی)، که تشخیص تهدید را ۱۰ برابر بهتر کرده و مثبتهای کاذب را ۸۰% کاهش میدهد.
- “معماری داده بهینه شده با توجه به امنیت” که به طور پویا مقادیری نامحدود از دادههای Log را تجزیه کرده و بررسی میکند.
- موتور قواعد قابل شخصیسازی که امکان متناسبسازی خدمات با توجه به نیازهای ویژه مشتریان در اختیار مهندسان امنیت قرار میدهد.
- قیمتگذاری قابل پیشبینی بر اساس تعداد کارمندان، سرورها و سنسورهای شبکه به کار گرفته شده یک شرکت
[۱] Endpoint Protection
[۲] Zero-day
[۳] Command and Control
[۴] Security information and event management
[۵] Managed detection and response
[۶] Security operations center