خدمات MDR چیست؟ چه تفاوتی با سرویس MSSP دارد

شناسایی و پاسخ مدیریت‌شده (MDR) سرویسی  ۲۴ ساعته شامل مانیتورینگ، شناسایی و پاسخ به تهدید است. هدف از خدمات MDR کمک به شرکت‌ها در زمینه‌ی نیازهای پاسخ به رخداد (IR) است. خدمات MDR شامل تکنولوژی‌های خودکاری است که قابل به کار بسته شدن در هردو سطح شبکه و Host هستند. سرویس MDR از ترکیب هوش تهدید و تجزیه و تحلیل‌های پیشرفته با بررسی انسانی رخداد و متخصصان پاسخ‌دهی بهره می‌برد.

عرضه‌کنندگان خدمات MDR سرویس‌های پاسخ از راه دور متنوعی ارائه می‌کنند، از جمله محدودسازی تهدید و پشتیبانی در بازگرداندن سیستم‌ها و شبکه‌ها به عملیات عادی‌شان. مزیت اصلی آن قادرسازی سازمان به شناسایی و کاهش سریع تهدیدها بدون نیاز به پرسنل امنیتی اضافه است.

چهار چالش کسب و کار که خدمات MDR برطرف می‌کنند

بیشتر سازمان‌ها در تلاش برای اجرای یک برنامه‌ی امنیت سایبری جامع با چندین چالش مواجه می‌شوند. MDR خدماتی ارائه می‌کند که به برطرف ساختن این چالش‌ها کمک می‌کند:

1. فقدان افراد ماهر در امنیت داخلی: کمبود افراد ماهر در امنیت سایبری، یافتن و حفظ کردن افراد حرفه‌ای و دارای صلاحیت در زمینه‌ی امنیت سایبری را برای سازمان‌ها دشوار می‌کند. یافتن چنین افرادی چالش‌برانگیز و هزینه‌بر است و سازمان‌ها – حتی شرکت‌های دارای بودجه‌های کلان – در استخدام این متخصصان به مشکل می‌خورند، به شرط اینکه اساساً از عهده‌ی هزینه‌های آن برآیند. راهکار MDR به اطمینان حاصل کردن از اینکه سازمان‌ها می‌توانند تخصص و کارکنان امنیتی خود را یک‌شبه تقویت کنند، کمک می‌کند.
2. شناسایی تهدیدات پیشرفته: حمله‌های پیچیده مانند تهدیدهای پیشرفته و مستمر (APTs) از ابزارها و تکنیک‌هایی استفاده می‌کنند که به مهاجمان کمک می‌کند از دید بیشتر راهکارهای امنیتی مرسوم دور بمانند. عرضه‌کنندگان خدمات MDR می‌توانند با اجرای آینده‌نگرانه‌ی جستجوی تهدید این تهدیدها را شناسایی و ترمیم کنند.
3. نواقص امنیتی بنیادین: عادات بد می‌توانند سازمان‌ها را در معرض نواقص امنیتی بنیادین قرار دهند. خدمات MDR فعالانه سطح تهدید زیرساخت‌ها را مانیتور می‌کنند و فعالانه تهیدها و مسائلی که پیشتر شناخته شده نبودند را جستجو می‌کنند. خدمات MDR به سازمان‌ها در شناسایی این مسائل کمک کرده و در زمینه‌ی ترمیم آن‌ها راهنمایی می‌کند.
4. خستگی از هشدارها: ابزارهای امنیتی مرسوم می‌توانند بیش از حد هشدار امنیتی صادر کنند که تعداد زیادی از آن‌ها خطای اعلام هشدار هستند. این امر می‌تواند منجر به خستگی از هشدار شود که به موجب آن کارکنان امنیتی به تدریج بسیاری از هشدارها را نادیده می‌گیرند. خدمات MDR تکنولوژی و تخصص موردنیاز را برای بررسی کارامد تمام هشدارهای مرتبط، شناسایی نقض‌های امنیتی و محدودسازی آن‌ها پیش از آسیب‌رسانی ارائه می‌کنند.

قابلیت‌های اصلی خدمات MDR

قابلیت‌های اصلی خدمات امنیتی MDR موارد زیر را در برمی‌گیرد:

اولویت‌بندی

اولویت‌بندی مدیریت‌شده، یا شناسایی و پاسخ نقاط پایانی (EDR) مدیریت‌شده، می‌تواند به سازمان‌ها کمک کند حجم بالای هشدارها را غربال کرده و مشخص کنند باید ابتدا به کدام رسیدگی کنند. خدمات EDR مدیریت‌شده از ترکیب ضوابط خودکار با بررسی انسانی استفاده می‌کند تا خطاهای اعلام هشدار و رویدادهای بی‌خطر را از تهدیدهای واقعی تمایز دهد. اولویت‌بندی مدیریت‌شده از بافت افزوده برای تعریف هشدارهای کیفیت بالا از تهدیدها استفاده می‌کند.

جستجوی تهدید

افراد جستجوگر تهدید مهارت‌ها و تخصص موردنیاز برای شناسایی بیشتر تهدیدهای مخفی را دارند. جستجوگران تهدید بینش مورد نیاز را برای گیر انداختن تهدیدهایی که از خط دفاعی خودکار مخفی می‌مانند فراهم می‌کنند.

تحقیق

هدف تحقیق مدیریت‌شده کمک به سازمان‌ها جهت درک سریع گستره و جزئیات تهدید است. این امر معمولاً با صدور هشدارهای امنیتی دارای زمینه افزوده محقق می‌شود. خدمات تحقیق مدیریت‌شده به سازمان‌ها کمک می‌کنند کاملاً درک کنند چه اتفاقی و چه زمانی رخ داد، چه کسانی تحت تأثیر قرار گرفتند و حمله تا کجا می‌تواند پیش رود. این اطلاعات می‌تواند به سازمان‌ها برای برنامه‌ریزی پاسخی اثربخش کمک کند.

پاسخ هدایت‌شده

هدف اصلی پاسخ هدایت‌شده ارائه‌ توصیه‌های عملی در مورد بهترین روش محدودسازی و ترمیم یک تهدید خاص است. خدمات پاسخ هدایت‌شده در مورد رخدادهای امنیتی گوناگون توصیه ارائه می‌کنند. برای مثال، توصیه به ایزوله‌سازی یک سیستم تحت‌تأثیر قرار گرفته از شبکه‌ی شرکتی و ارائه‌ی دستورالعمل‌های گام به گام در مورد شیوه‌ی حذف یک تهدید یا بازیابی پس از حمله.

ترمیم

ترمیم گام نهایی اجرا شده در طی پاسخ به رخداد است. ترمیم مدیریت‌شده به بازگرداندن سیستم شما به حالت پیش از حمله کمک می‌کند. ترمیم می‌تواند شامل پاکسازی فهرست ثبت، حذف برافزار، حذف مکانیستم‌های پایداری و بیرون کردن متجاوز باشد. ترمیم مدیریت‌شده به جلوگیری از ایجاد تهدید امنیتی بیشتر و بازگرداندن شبکه‌ی شما به حالت شناخته شده و مناسب کمک می‌کند.

مزایای شناسایی و پاسخ مدیریت‌شده (MDR)

راهکارهای MDR امکان کاهش شدید زمان شناسایی و پاسخ را برای شرکت‌ها فراهم می‌کنند و مدت زمان انجام این فرایند را از چند روز به چند دقیقه می‌رسانند. شناسایی سریع‌تر به‌معنی تأثیر کمتر و فرصت کمتر برای ایجاد آسیب توسط مهاجم است.

علاوه بر کاهش زمان شناسایی رویداد از چند ماه به چند دقیقه، خدمات MDR سازمان‌ها را قادر می‌سازد که:

• با بهینه‌سازی پیکربندی امنیتی، شناسایی و حذف سیستم‌های IT مشکل‌دار، وضع امنیتی و مقاومت خود علیه حمله‌های سایبری احتمالی را بهبود بخشند.
• با استفاده از جستجوی تهدید کاملاً مدیریت‌شده و مداوم تهدیدهای پیچیده یا مخفی را شناسایی و مسدود کنند.
• با اثربخشی بیشتری به رخدادهای امنیتی پاسخ دهند و با استفاده از ابزارهای ترمیم مدیریت‌شده و دستورالعمل‌های پاسخ، سیستم را به عملیات عادی‌اش بازگردانند.
• از تخصص امنیتی ویژه‌ای بهره ببرند که به خدمت گرفتن آن در داخل سازمان می‌تواند دشوار و پرهزینه باشد.

خدمات MDR چه مزیتی نسبت به MSSP مرسوم دارد؟

عرضه‌کنندگان خدمات امنیتی مدیریت‌شده (MSSP) سطح پایه‌ای مانیتورینگ و مدیریت امنیت سایبری از جمله آنتی ویروس، فایروال، شناسایی موارد نفوذی و مدیریت شبکه‌های خصوصی مجازی (VPN) ارائه می‌کند.

با این حال، MSSPها معمولاً پاسخ به رخداد، محدودسازی و حذف تهدیدها، یا جستجوی تهدید فعالانه را برعهده نمی‌گیرند. برخی از قابلیت‌های کلیدی که MDR فراتر از MSSP ارائه می‌کند شامل موارد زیر است:

تکنولوژی بهبودیافته

خدمات MDR جدیدترین تکنولوژی‌ها را در شناسایی و پاسخ به کار می‌بندند، از جمله آنتی‌ویروس نسل بعدی، یادگیری ماشین و خودکاری سازی مبتنی بر هوش مصنوعی. در مقابل، MSS معمولاً بر تکنولوژی‌ها و روش‌های مرسوم‌تر تکیه دارد. به‌علاوه، خدمات امنیت سایبری MDR ممکن است نسبت به MSSPها با سرویس‌های Cloud و سرویس‌های هیبرید سازگارتر باشند.

تخصص پاسخ به رخداد

MSSPها معمولاً متعهد به عرضه‌ی تخصص یا راهنمایی امنیتی سطح بالایی نیستند. یک MSSP معمولاً تحلیلگران سطح ۱ SOC ارائه می‌کند که بر پشتیبانی از حفاظت خودکار و سیستم‌های شناسایی متمرکز هستند.

این حالت با عرضه‌کنندگان خدمات MDR که تیم‌های کاملی از افراد حرفه‌ای در حوزه‌ی امنیت در سطوح مختلف را به کار می‌گیرند، تفاوت بسیاری دارد. افراد حرفه‌ای حوزه‌ی MDR به‌جای اینکه صرفاً به‌عنوان کارکنان پشتیبانی پاسخ‌گو عمل کنند، فعالانه و آینده‌نگرانه سیستم‌ها را مانیتور کرده و مسئولیت محدودسازی و ترمیم تهدید را برعهده می‌گیرند.

گستره‌ی خدمات بسط یافته

یک MSSP استاندار تنها مسئول مانیتورینگ سیستم و ارسال هشدار به تیم‌های داخل شرکت است. این خدمات لزوماً هشدارها را بر اساس اولویت فیلتر نمی‌کنند یا زمانی صرف تأیید موثق بودن تهدید نمی‌کنند.

در مقابل، تیم امنیتی MDR مسئول تأیید تهدیدها و پاسخ‌دهی بر اساس رهنمودهای مورد توافق و توافق‌نامه‌ی سطح خدمات (SLA) است. این تلاش و تعهد مضاعف برای شناسایی و پاسخ‌دهی باعث می‌شود راهکار MDR پرهزینه‌تر باشد اما راهکاری End-to-End برای تهدیدهای امنیت سایبری فراهم می‌کند.

تفاوت MDR با سایر راهکارهای امنیتی چیست؟

بیایید به بررسی تفاوت‌های میان MDR و برخی خدمات امنیتی مرتبط بپردازیم، از جمله شناسایی و پاسخ نقطه پایانی (EDR)، شناسایی و پاسخ‌دهی بسط یافته (XDE)، سامانه مدیریت وقایع و امنیت اطلاعات (SIEM) و مرکز عملیات امنیت مدیریت‌شده (MSSP)

خدمات  MDR در مقابل EDR

پلتفرم‌های شناسایی و پاسخ‌دهی نقطه پایانی (EDR) که پیش از این شناسایی و پاسخ‌ به تهدید نقطه پایانی (ETDR) خوانده می‌شدند مخصوصاً برای محافظت از نقاط پایانی طراحی شده‌اند. راهکار EDR فعالیت‌های در حال روی دادن روی دستگاه‌های نقطه پایانی، همچون سرورها، لپ‌تاپ‌ها و سیستم‌های POS را مانیتور می‌کند. دقت کنید که EDR پوشش کامل ارائه نمی‌کند و باید در تمام پشته‌ی امنیتی اعمال شود.

خدمات MDR در مقابل XDR

راهکارهای شناسایی و پاسخ‌دهی بسط یافته (XDE) رویکردی لایه‌ای ارائه می‌کنند که معمولاً تهدیدها را روی شبکه و همچنین روی نقاط پایانی شناسایی و کرده و به آن‌ها پاسخ می‌دهند. ابزارهای XDR فرایند بررسی و انتقال داده‌ها از راه دور (Telemetry) را از چندین کنترل امنیتی گردآوری کرده و مرتبط می‌سازند تا دفاعی همه جانبه برای اکوسیستم IT فراهم کنند.

حدمات MDR در مقابل SIEM

پلتفرم‌های مدیریت وقایع و امنیت اطلاعات (SIEM) مصرف داده‌های تولیدشده در سرتاسر زیرساخت IT را متمرکز می‌کنند. ابزارهای SIEM می‌توانند تنوع بالایی از انواع و محتوای داده‌ی Log را بپذیرند؛ مثلاً، Logهای شامل رکوردهای اپلیکیشن و فعالیت کاربر، و همچنین خروجی دستگاه‌ها امنیتی.

پلتفرم‌های SIEM از سطحی منفرد دید کاملی نسبت به تمامی داده‌ها فراهم می‌کنند. این نوع از قابلیت دید سازمان‌ها را قادر به تجزیه و تحلیل تمام داده‌ها و یافتن شاخص‌های تهدید (IOCs) در سرتاسر تشکیلات می‌سازد. پلتفرم‌های SIEM اغلب امکان پیکربندی قوانین ناشی از داده‌های خاص را برای کاربران ایجاد می‌کند و می‌تواند چندین نوع تجزیه و تحلیل ارائه کند که گاه از یادگیری ماشین (ML) نیرو می‌گیرند.