Search
Menu

تفاوت‌های MDR، MSSP و SIEM-as-a-Service: کدام برای سازمان شما مناسب‌تر است؟

تفاوت‌های MDR، MSSP و SIEM-as-a-Service

رویکرد As-a-Service در بازار امنیت به سرعت رو به رشد است و و بسیاری از سازمان‌ها برای شناسایی و پاسخ به تهدیدات پیشرفته‌ای که از کنترل‌های موجود عبور می‌کنند این روش را ترجیح می‌دهند. اما با وجود شیوه‌های مختلف خدمات، مهم است که تفاوت‌های MDR، MSSP و SIEM-as-a-Service مشخص شوند تا تعیین گردد که کدام رویکرد برای کاربر مناسب‌تر است.

از آنجایی‌ که برنامه‌های کاربردی کسب‌وکار محبوب از طریق Cloud و با استفاده از یک مدل Software-as-a-Service یا SaaS ارائه می‌شوند، خدمات پیشرفته امنیت به‌عنوان یک راهکار آماده برای استفاده ارائه می‌گردد. تقاضا برای راهکارهای عملیات امنیت توسط سازمان‌های بزرگ و کوچک که بیش ‌از پیش مورد هدف حملات سایبری قرار می‌گیرند، در حال رشد است. این سازمان‌ها متوجه شده‌اند که:

  • مشکلی در زمینه‌ی کارآمدی وجود دارد که به دلیل کمبود مهارت‌های امنیت سایبری بین کارمندان IT ایجاد و باعث شده است که آن‌ها نتوانند تهدیدات پیشرفته را شناسایی کرده و به آن‌ها پاسخ دهند.
  • برون‌سپاری بخش‌هایی از استراتژی امنیتی با یک مدل کسب‌وکار پرداخت به اندازه مصرف یا Pay-As-You-Go مزایایی عملیاتی را فراهم می‌کند.

بنا به گفته‌ی Gartner، پیش‌بینی می‌شود که خرج کاربران نهایی در سراسر جهان برای خدمات Cloud عمومی در سال ۲۰۲۱ به ۳۰۴.۹ میلیارد دلار برسد. . ۱۸.۴ درصد افزایش نسبت به ۲۵۷.۵ میلیاردی که در سال ۲۰۲۰ خرج شده بود.

سرعت رشد بازار امنیت به‌عنوان یک سرویس همچنان بالاتر از فضای امنیتی کلی است که شامل دسته‌بندی‌هایی از محصولات امنیتی On-Premises است. سطوح پیاده‌سازی‌های کنترل‌های امنیتی مبتنی بر Cloud در بخش‌های تکنولوژی امنیتی مختلف متفاوت است. مدیریت رخداد و اطلاعات امنیت یا همان SIEM و مدیریت هویت و دسترسی یا IAM و کنترل‌های نوظهور مثل فعال‌سازی هوش تهدید و Sandboxing بدافزار مبتنی بر Cloud بیش‌ازپیش توسط سازمان‌ها به‌عنوان یک «امنیت به‌عنوان سرویس» مبتنی بر Cloud مورد استفاده قرار می‌گیرند.

برای مدتی طولانی، برای بسیاری از سازمان‌هایی که نیاز به قابلیت دید جامعی به تهدیدات سایبری روی زیرساخت IT توزیعی داشتند، تکنولوژی SIEM راهکار انتخابی بود. اما با وجود اینکه این شرکت‌ها بودجه‌های عظیمی برای IT در حوزه‌ی کارمندان و تکنولوژی‌های امنیتی دارند، به این نتیجه رسیدند که راهکارهای SIEM نیاز به سرمایه زیادی داشته، پیچیده و همچنین دشوار هستند. به همین دلیل، شرکت‌های زیادی به ارائه‌کننده‌ی خدمات امنیت مدیریت‌شده یا MSSPها روی آوردند که با وجود کمک به سازمان‌ها در مانیتورینگ شبکه‌ها و سیستم‌ها و تجزیه‌وتحلیل تهدیدات، پیاده‌سازی سریع و مقرون‌به‌صرفه بودن را از طریق مدل‌های اشتراکی ارائه می‌دادند.

اما MSSPها در درجه‌ی اول روی مدیریت دستگاه‌های از راه دور (پیکربندی فایروال‌ها، سیستم‌های شناسایی و پیشگیری از نفوذ و غیره) تمرکز می‌کنند و زمان کمتری را صرف شناسایی مداوم و پاسخ به تهدید می‌نمایند. این یعنی با برون‌سپاری مدیریت دستگاه‌های از راه دور به ارائه‌دهندگان Third-Party، سازمان‌ها دیگر نمی‌توانند وضعیت امنیتی خود را مانیتور کنند و درک درستی از نحوه‌ی پاسخ به تهدیدات نخواهند داشت.

خدمات شناسایی و پاسخ مدیریت‌شده یا MDR برای پاسخ به این مشکل ظهور کردند. ارائه‌دهندگان MDR تا حدودی یک مرکز عملیات امنیتی مدیریت‌شده و مقرون‌به‌صرفه را برای شرکت‌های متوسط بازار فراهم می‌کنند. ارائه‌دهندگان MDR با تمرکز بیشتر روی شناسایی و پاسخ به تهدید، از مدل MSSP قدیمی فاصله گرفته‌اند. هر زمانی که نیاز باشد اقدامات اصلاحی انجام شود، آن‌ها پاسخ‌هایی قابل اجرا را به مشتریان پیشنهاد می‌کنند.

تا سال ۲۰۲۵، پنجاه درصد از سازمان‌ها از خدمات MDR برای مانیتورینگ تهدید، عملکردهای شناسایی و پاسخ استفاده خواهند کرد که قابلیت‌های کنترل کردن تهدید را ارائه می‌دهد.

تخمین زده می‌شود که در سال ۲۰۲۱، ۶ تریلیون دلار ضرر، به دلیل جرایم سایبری ایجاد شده باشد.

 سازمان‌های بزرگ، مخصوصاً سازمان‌هایی که بودجه‌های عظیمی برای کارمندان IT، پیاده‌سازی فرایند و تکنولوژی‌های امنیتی پیشرفته دارند، چندین سال است که روی راهکارهای IT سرمایه‌گذاری کرده‌اند.

دلیل این سرمایه‌گذاری این است که SIEMها چندین عملکرد حیاتی را به انجام می‌رسانند، از جمله:

  • بهبود شفافیت کلی ترافیک شبکه
  • شناسایی تهدیدات یا فعالیت‌های غیرعادی که می‌توانند از کنترل‌های امنیتی فرار کند
  • تسهیل گزارش‌گیری تطبیق‌پذیری برای صنایع قاعده‌مند
  • کاهش زمان بین شناسایی و پاسخ، برای پاسخ به حادثه‌ی کارآمدتر

ازآنجایی‌که یک SIEM آمار Log را از فعالیت‌های Endpoint و شبکه جمع‌آوری می‌کند، مهندس‌های امنیت دارای آمار کاملی از اتفاقات محیط مشتری هستند. این امر امکان شناسایی نشانگر‌های نقض امنیتی، نفوذ بدافزار و رخدادهای مشکوک دیگر را می‌دهد. داشتن همه‌ی داده‌های لاگ به‌صورت یکجا گزارش‌گیری تطبیق‌پذیر را نیز تسهیل می‌کند و در نهایت، به دلیل اینکه همه چیز لاگ می‌شود، یک SIEM برای تیم‌های امنیت اطلاعات داده‌هایی را فراهم می‌کند که برای شناسایی مبدأ نفوذ، اینکه در کجا پخش شده است و بهترین راه برای پاسخ به آن، مورد نیاز هستند.

مشکل اینجاست: SIEM یک ابزار گران‌قیمت است که پیاده‌سازی آن حداکثر شش ماه زمان می‌برد.  این ابزار همچنین نیازمند نظارت ۲۴ ساعته از سوی مهندس‌های امنیتی است تا بتواند به‌خوبی کار کند.

بسیاری از سازمان‌هایی که سعی می‌کنند به‌تنهایی یک SIEM را پیاده‌سازی و مدیریت کنند، موفق نمی‌شوند و این کار منجر می‌گردد به حس امنیت کاذب از سوی راهکاری که به درستی تنظیم نشده است. با توجه به یک گزارش از سوی موسسه‌ی پژوهشی Ponemon، هفتاد درصد از پاسخ‌دهندگان می‌گویند که تکنولوژی‌های SIEM کنونی آن‌ها هشدارهایی با دقت، اولویت‌بندی و معنای بالا را تولید نمی‌کنند که این می‌تواند یا در خرابی تکنولوژی یا پیکربندی‌های نادرست ریشه داشته باشد.

۶۱ درصد از پاسخ‌دهندگان می‌گویند که به درک بهتری از ساختار رخدادهای SIEM نیاز دارند و ۵۴ درصد می‌گویند که SIEM پرسروصدا است و داده‌ها و هشدارهای سطح پایین زیادی را تولید می‌کند که باعث می‌شوند تمرکز روی آنچه واقعاً مهم است سخت باشد.

کاربران SIEM چه می‌گویند

  • ۷۰ درصد می‌گویند تکنولوژی‌های کنونی آن‌ها هشدارهای دقیقی را فراهم نمی‌کند
  • ۶۱ درصد می‌گویند که به درک بهتری از رخدادهای SIEM نیاز دارند
  • ۵۴ درصد می‌گویند SIEM پرسروصدا است

برخی از سازمان‌ها تصمیم گرفته‌اند که یا یک SIEM با مدیریت مشترک و یا یک رویکرد SIEM-as-a-Service را انتخاب کنند. در چنین شرایطی، یک شرکت تکنولوژی SIEM را خریداری کرده و با یک ارائه‌کننده‌ی خدمات که SIEM را از طرف او مدیریت می‌کند، شریک می‌شود. این رویکرد انعطاف‌پذیری و کنترل بیشتری را برای سازمان فراهم می‌کند تا بتواند به نتیجه دلخواه برسد.

بسیاری از ارائه‌کنندگان SIEM-as-a-Service دارای درک عمیقی از تکنولوژی خود هستند و می‌توانند در تنظیم و اولویت‌بندی هشدارها کمک کنند. اما ازآنجایی‌که به نظر می‌رسد سرویس آن‌ها فقط متمرکز بر SIEM است، برای سازمان‌هایی با Stack امنیتی گسترده ایده‌آل نیست. یک SIEM با مدیریت مشترک همچنین معمولاً هزینه‌ی بیشتری از گزینه‌های MSSP و MDR دارد.

در این سناریو، سازمان‌ها هم هزینه‌ی سرمایه پلتفرم SIEM را می‌دهند و هم هزینه‌ی ماهیانه‌ی ارائه‌کننده‌ی خدماتی که آن را مدیریت می‌کند.

یک محصول  SIEM چه مزایا و معایبی دارد

مزایای SIEM

  • سطح بالای قابلیت دید در محیط
  • تسهیل تطبیق‌پذیری و قابلیت گزارش‌گیری
  • ارائه‌کنندگان خدمات دارای درک عمیقی از تکنولوژی خود هستند

معایب SIEM

  • خرید، نصب‌، تنظیم و حفظ آن زمان‌بر و پرهزینه است
  • سطح بالایی از مثبت‌های کاذب و سروصدای اضافی

ارائه‌کننده‌ی خدمات امنیت مدیریت‌شده یا MSSP واژه‌ی متداولی برای خدماتی است که ممکن است روی مدیریت دستگاه از راه دور، مدیریت آسیب‌پذیری، مانیتورینگ رخداد امنیتی و هشداردهی تمرکز کنند.

این موارد معمولاً به‌عنوان فعالیت‌های سطح ۱ شناخته می‌شوند، درحالی‌که MSSPها معمولاً از کارهای پیچیده‌تر مثل اولویت‌بندی تهدیدات پیشرفته، انجام تجزیه‌و‌تحلیل جرم‌شناسی و شناسایی شبکه‌ها و سیستم‌هایی که دچار نقض امنیتی هستند اجتناب می‌کنند.

شناسایی و پاسخ به تهدید نیازمند متخصصان امنیتی با دانش از آخرین مسیرهای حمله، دسترسی به هوش تهدیدات سراسری و دانش عمیق از زیرساخت IT مشتری است.

MSSPها کنترل‌های امنیتی پیشگیرانه‌ای را پیکربندی کرده و هشدارهایی ابتدایی را فراهم می‌کنند، درحالی‌که تأکید بر این است که مشتریان اولویت‌بندی، تجزیه‌و‌تحلیل و پاسخ را خودشان انجام دهند. هشدارهای سیستم معمولاً بدون ساختار اضافه یا پیشنهاداتی برای اقدامات اصلاحی و کنترلی به مشتریان ارسال می‌شود. مشتریانی که این مدل را انتخاب می‌کنند باید از قبل دارای تخصص امنیتی لازم برای تعیین اعتبار هشدارهای ارائه شده و انجام اقدامات بعدی باشند.

شاید MSSP انتخاب سازمان‌هایی باشد که احساس می‌کنند دارای تخصص کافی در بین کارمندان خود هستند، اما درگیر کارهای ابتدایی‌تری برای چرخاندن عملیات امنیتی خود می‌باشند. در این موارد، یک MSSP هشداردهی و مدیریت سطح پایین‌تری از محیط را فراهم می‌کند، درحالی‌که مسئولیت هر تجزیه‌و‌تحلیل جزئی و پاسخ را به مشتری می‌سپارد.

یک مرکز MSSP چه مزایایی دارد

  • مدیریت تکنولوژی‌های امنیتی متداول از راه دور
  • کار کردن با Stack امنیتی کنونی
  • کنترل‌کنندگان واکنش به حادثه معمولاً قابل‌دسترسی هستند
  • گزارش‌گیری تطبیق‌پذیری قابل‌دسترسی است

 هرچند MSSPها و راهکارهای SIEM ممکن است بتوانند کارهایی را خیلی خوب انجام دهند، هیچ راهکار امنیتی نیست که بتواند همه کار را با هم انجام دهد. به همین دلیل، بسیاری از سازمان‌ها به‌سختی تلاش می‌کنند تصویر کاملی از استراتژی امنیت سایبری خود ایجاد نمایند. شناسایی و پاسخ مدیریت‌شده برای این طراحی شده است که این شکاف را پر کند و از طریق راهنمایی و پشتیبانی عملیات امنیتی مشتری را بهبود بخشد.

ارائه‌دهندگان MDR معمولاً دو هدف اصلی را دنبال می‌کنند: ۱) فراهم کردن عملیات امنیتی برای سازمان‌هایی که از تخصص و توانایی‌های داخلی بی‌بهره‌اند و ۲) تکمیل تیم‌های امنیتی تثبیت‌شده که احساس می‌کنند توانایی کنترل رخدادها را ندارند و نیازمند تخصص بیشتر هستند.

در بسیاری از شرایطی که تکنولوژی به‌تنهایی برای ایمن‌سازی یک محیط کافی نیست MDR می‌تواند به‌عنوان یک رویکرد Hybrid دیده شود.

ارائه‌کنندگان شناسایی و پاسخ مدیریت‌شده معمولاً سرمایه‌گذاری شدیدی در تجزیه‌و‌تحلیل پیشرفته، پلتفرم‌های Big Data و هوش تهدیدات نوظهور می‌کنند تا راهی برای حذف بسیاری از سروصدایی که مشتریان تجربه می‌کنند داشته باشند و به آن‌ها اجازه دهند که فقط روی هشدارهای واقعاً مثبت تمرکز نمایند. این امر نیازمند این است که ارائه‌کنندگان MDR از متخصصان خود استفاده نمایند تا برای بالاترین سطح از قابلیت دید و ساختار از Stack امنیتی مشتری بهره ببرند.

متأسفانه تمام MDRها به استانداردهای یکسانی وفادار نیستند. برخی از ارائه‌دهندگان خدمات MDR را به‌صورتی ارائه می‌دهند که فقط به محصولاتی که خودشان به فروش می‌رسانند وابسته باشد و ابزار شبکه یا Endpoint را به‌عنوان شکلی از MDR ارائه می‌دهند. این مورد بیشتر یک سرویس ابزار مدیریت‌شده با قابلیت دید محدود است تا یک راهکار MDR. در بسیاری از این موارد، این ارائه‌کنندگان دارای قراردادهای سخت‌گیرانه‌ای هستند که به آن‌ها اجازه نمی‌دهد هر ابزاری را خارج از چیزی که به آن‌ها اختصاص داده شده ببینند یا مدیریت کنند.

افرادی که MDR را مد نظر دارند باید اطمینان حاصل کنند که در مورد حوزه‌ی کاملی از سرویس ارائه‌دهنده‌ی خود تحقیق کنند و اطمینان حاصل نمایند که بالاترین سطح از عملیات امنیتی را ارائه می‌دهند.‌

یک MDR چه مزایا و معایبی دارد

مزایای MDR

  • پشتیبانی از تکنولوژی‌های گسترده
  • راهنمایی و تخصص
  • از بین بردن سروصدا و مثبت‌های کاذب
  • قابلیت دید کامل به محیط

معایب MDR

  • تمام ارائه‌دهندگان MDR در یک سطح نیستند
  • نیازمند منابع مشتری است

  • همیشه تکنولوژی ارائه نمی‌شود

کاتالوگ امن پردازان کویر
گزارش امنیتی
ایمیل خود را وارد کنید و عضو خبرنامه شوید.

آخرین اخبار

مقالات سایت

درباره شرکت

محصولات

خدمات

مقالات و منابع

ایمیل خود را وارد کنید تا از آخرین اخبار دنیای امنیت مطلع گردید.

تماس با ما
Telegram-plane Instagram Linkedin Eaparat

Info@apk-group.net

۴۲۲۷۳ - ۰۲۱

۳۶۲۹۰۹۹۰ - ۰۳۵

۴۵۸۱۲۳۹۶ (۰۲۱)

۳۶۲۹۰۹۹۲ (۰۳۵)

تهران - خیابان شهید بهشتی، خیابان صابونچی، کوچه ادایی، پلاک ۲، طبقه اول

یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان

تمامی حقوق وبسایت متعلق به شرکت امن‌پردازان کویر (APK) است.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.

در دنیای امنیت چه خبر؟
جهت دریافت آخرین اخبار دنیای امنیت شبکه و اطلاعات ایمیل خود را وارد کنید.