شناسایی و پاسخ مدیریتشده (MDR) سرویسی ۲۴ ساعته شامل مانیتورینگ، شناسایی و پاسخ به تهدید است. هدف از خدمات MDR کمک به شرکتها در زمینهی نیازهای پاسخ به رخداد (IR) است. خدمات MDR شامل تکنولوژیهای خودکاری است که قابل به کار بسته شدن در هردو سطح شبکه و Host هستند. سرویس MDR از ترکیب هوش تهدید و تجزیه و تحلیلهای پیشرفته با بررسی انسانی رخداد و متخصصان پاسخدهی بهره میبرد.
عرضهکنندگان خدمات MDR سرویسهای پاسخ از راه دور متنوعی ارائه میکنند، از جمله محدودسازی تهدید و پشتیبانی در بازگرداندن سیستمها و شبکهها به عملیات عادیشان. مزیت اصلی آن قادرسازی سازمان به شناسایی و کاهش سریع تهدیدها بدون نیاز به پرسنل امنیتی اضافه است.
چهار چالش کسب و کار که خدمات MDR برطرف میکنند
بیشتر سازمانها در تلاش برای اجرای یک برنامهی امنیت سایبری جامع با چندین چالش مواجه میشوند. MDR خدماتی ارائه میکند که به برطرف ساختن این چالشها کمک میکند:
- فقدان افراد ماهر در امنیت داخلی: کمبود افراد ماهر در امنیت سایبری، یافتن و حفظ کردن افراد حرفهای و دارای صلاحیت در زمینهی امنیت سایبری را برای سازمانها دشوار میکند. یافتن چنین افرادی چالشبرانگیز و هزینهبر است و سازمانها – حتی شرکتهای دارای بودجههای کلان – در استخدام این متخصصان به مشکل میخورند، به شرط اینکه اساساً از عهدهی هزینههای آن برآیند. راهکار MDR به اطمینان حاصل کردن از اینکه سازمانها میتوانند تخصص و کارکنان امنیتی خود را یکشبه تقویت کنند، کمک میکند.
- شناسایی تهدیدات پیشرفته: حملههای پیچیده مانند تهدیدهای پیشرفته و مستمر (APTs) از ابزارها و تکنیکهایی استفاده میکنند که به مهاجمان کمک میکند از دید بیشتر راهکارهای امنیتی مرسوم دور بمانند. عرضهکنندگان خدمات MDR میتوانند با اجرای آیندهنگرانهی جستجوی تهدید این تهدیدها را شناسایی و ترمیم کنند.
- نواقص امنیتی بنیادین: عادات بد میتوانند سازمانها را در معرض نواقص امنیتی بنیادین قرار دهند. خدمات MDR فعالانه سطح تهدید زیرساختها را مانیتور میکنند و فعالانه تهیدها و مسائلی که پیشتر شناخته شده نبودند را جستجو میکنند. خدمات MDR به سازمانها در شناسایی این مسائل کمک کرده و در زمینهی ترمیم آنها راهنمایی میکند.
- خستگی از هشدارها: ابزارهای امنیتی مرسوم میتوانند بیش از حد هشدار امنیتی صادر کنند که تعداد زیادی از آنها خطای اعلام هشدار هستند. این امر میتواند منجر به خستگی از هشدار شود که به موجب آن کارکنان امنیتی به تدریج بسیاری از هشدارها را نادیده میگیرند. خدمات MDR تکنولوژی و تخصص موردنیاز را برای بررسی کارامد تمام هشدارهای مرتبط، شناسایی نقضهای امنیتی و محدودسازی آنها پیش از آسیبرسانی ارائه میکنند.
قابلیتهای اصلی خدمات MDR
قابلیتهای اصلی خدمات امنیتی MDR موارد زیر را در برمیگیرد:
اولویتبندی
اولویتبندی مدیریتشده، یا شناسایی و پاسخ نقاط پایانی (EDR) مدیریتشده، میتواند به سازمانها کمک کند حجم بالای هشدارها را غربال کرده و مشخص کنند باید ابتدا به کدام رسیدگی کنند. خدمات EDR مدیریتشده از ترکیب ضوابط خودکار با بررسی انسانی استفاده میکند تا خطاهای اعلام هشدار و رویدادهای بیخطر را از تهدیدهای واقعی تمایز دهد. اولویتبندی مدیریتشده از بافت افزوده برای تعریف هشدارهای کیفیت بالا از تهدیدها استفاده میکند.
جستجوی تهدید
افراد جستجوگر تهدید مهارتها و تخصص موردنیاز برای شناسایی بیشتر تهدیدهای مخفی را دارند. جستجوگران تهدید بینش مورد نیاز را برای گیر انداختن تهدیدهایی که از خط دفاعی خودکار مخفی میمانند فراهم میکنند.
تحقیق
هدف تحقیق مدیریتشده کمک به سازمانها جهت درک سریع گستره و جزئیات تهدید است. این امر معمولاً با صدور هشدارهای امنیتی دارای زمینه افزوده محقق میشود. خدمات تحقیق مدیریتشده به سازمانها کمک میکنند کاملاً درک کنند چه اتفاقی و چه زمانی رخ داد، چه کسانی تحت تأثیر قرار گرفتند و حمله تا کجا میتواند پیش رود. این اطلاعات میتواند به سازمانها برای برنامهریزی پاسخی اثربخش کمک کند.
پاسخ هدایتشده
هدف اصلی پاسخ هدایتشده ارائه توصیههای عملی در مورد بهترین روش محدودسازی و ترمیم یک تهدید خاص است. خدمات پاسخ هدایتشده در مورد رخدادهای امنیتی گوناگون توصیه ارائه میکنند. برای مثال، توصیه به ایزولهسازی یک سیستم تحتتأثیر قرار گرفته از شبکهی شرکتی و ارائهی دستورالعملهای گام به گام در مورد شیوهی حذف یک تهدید یا بازیابی پس از حمله.
ترمیم
ترمیم گام نهایی اجرا شده در طی پاسخ به رخداد است. ترمیم مدیریتشده به بازگرداندن سیستم شما به حالت پیش از حمله کمک میکند. ترمیم میتواند شامل پاکسازی فهرست ثبت، حذف برافزار، حذف مکانیستمهای پایداری و بیرون کردن متجاوز باشد. ترمیم مدیریتشده به جلوگیری از ایجاد تهدید امنیتی بیشتر و بازگرداندن شبکهی شما به حالت شناخته شده و مناسب کمک میکند.
مزایای شناسایی و پاسخ مدیریتشده (MDR)
راهکارهای MDR امکان کاهش شدید زمان شناسایی و پاسخ را برای شرکتها فراهم میکنند و مدت زمان انجام این فرایند را از چند روز به چند دقیقه میرسانند. شناسایی سریعتر بهمعنی تأثیر کمتر و فرصت کمتر برای ایجاد آسیب توسط مهاجم است.
علاوه بر کاهش زمان شناسایی رویداد از چند ماه به چند دقیقه، خدمات MDR سازمانها را قادر میسازد که:
- با بهینهسازی پیکربندی امنیتی، شناسایی و حذف سیستمهای IT مشکلدار، وضع امنیتی و مقاومت خود علیه حملههای سایبری احتمالی را بهبود بخشند.
- با استفاده از جستجوی تهدید کاملاً مدیریتشده و مداوم تهدیدهای پیچیده یا مخفی را شناسایی و مسدود کنند.
- با اثربخشی بیشتری به رخدادهای امنیتی پاسخ دهند و با استفاده از ابزارهای ترمیم مدیریتشده و دستورالعملهای پاسخ، سیستم را به عملیات عادیاش بازگردانند.
- از تخصص امنیتی ویژهای بهره ببرند که به خدمت گرفتن آن در داخل سازمان میتواند دشوار و پرهزینه باشد.
خدمات MDR چه مزیتی نسبت به MSSP مرسوم دارد؟
عرضهکنندگان خدمات امنیتی مدیریتشده (MSSP) سطح پایهای مانیتورینگ و مدیریت امنیت سایبری از جمله آنتی ویروس، فایروال، شناسایی موارد نفوذی و مدیریت شبکههای خصوصی مجازی (VPN) ارائه میکند.
با این حال، MSSPها معمولاً پاسخ به رخداد، محدودسازی و حذف تهدیدها، یا جستجوی تهدید فعالانه را برعهده نمیگیرند. برخی از قابلیتهای کلیدی که MDR فراتر از MSSP ارائه میکند شامل موارد زیر است:
تکنولوژی بهبودیافته
خدمات MDR جدیدترین تکنولوژیها را در شناسایی و پاسخ به کار میبندند، از جمله آنتیویروس نسل بعدی، یادگیری ماشین و خودکاری سازی مبتنی بر هوش مصنوعی. در مقابل، MSS معمولاً بر تکنولوژیها و روشهای مرسومتر تکیه دارد. بهعلاوه، خدمات امنیت سایبری MDR ممکن است نسبت به MSSPها با سرویسهای Cloud و سرویسهای هیبرید سازگارتر باشند.
تخصص پاسخ به رخداد
MSSPها معمولاً متعهد به عرضهی تخصص یا راهنمایی امنیتی سطح بالایی نیستند. یک MSSP معمولاً تحلیلگران سطح ۱ SOC ارائه میکند که بر پشتیبانی از حفاظت خودکار و سیستمهای شناسایی متمرکز هستند.
این حالت با عرضهکنندگان خدمات MDR که تیمهای کاملی از افراد حرفهای در حوزهی امنیت در سطوح مختلف را به کار میگیرند، تفاوت بسیاری دارد. افراد حرفهای حوزهی MDR بهجای اینکه صرفاً بهعنوان کارکنان پشتیبانی پاسخگو عمل کنند، فعالانه و آیندهنگرانه سیستمها را مانیتور کرده و مسئولیت محدودسازی و ترمیم تهدید را برعهده میگیرند.
گسترهی خدمات بسط یافته
یک MSSP استاندار تنها مسئول مانیتورینگ سیستم و ارسال هشدار به تیمهای داخل شرکت است. این خدمات لزوماً هشدارها را بر اساس اولویت فیلتر نمیکنند یا زمانی صرف تأیید موثق بودن تهدید نمیکنند.
در مقابل، تیم امنیتی MDR مسئول تأیید تهدیدها و پاسخدهی بر اساس رهنمودهای مورد توافق و توافقنامهی سطح خدمات (SLA) است. این تلاش و تعهد مضاعف برای شناسایی و پاسخدهی باعث میشود راهکار MDR پرهزینهتر باشد اما راهکاری End-to-End برای تهدیدهای امنیت سایبری فراهم میکند.
تفاوت MDR با سایر راهکارهای امنیتی چیست؟
بیایید به بررسی تفاوتهای میان MDR و برخی خدمات امنیتی مرتبط بپردازیم، از جمله شناسایی و پاسخ نقطه پایانی (EDR)، شناسایی و پاسخدهی بسط یافته (XDE)، سامانه مدیریت وقایع و امنیت اطلاعات (SIEM) و مرکز عملیات امنیت مدیریتشده (MSSP)
خدمات MDR در مقابل EDR
پلتفرمهای شناسایی و پاسخدهی نقطه پایانی (EDR) که پیش از این شناسایی و پاسخ به تهدید نقطه پایانی (ETDR) خوانده میشدند مخصوصاً برای محافظت از نقاط پایانی طراحی شدهاند. راهکار EDR فعالیتهای در حال روی دادن روی دستگاههای نقطه پایانی، همچون سرورها، لپتاپها و سیستمهای POS را مانیتور میکند. دقت کنید که EDR پوشش کامل ارائه نمیکند و باید در تمام پشتهی امنیتی اعمال شود.
خدمات MDR در مقابل XDR
راهکارهای شناسایی و پاسخدهی بسط یافته (XDE) رویکردی لایهای ارائه میکنند که معمولاً تهدیدها را روی شبکه و همچنین روی نقاط پایانی شناسایی و کرده و به آنها پاسخ میدهند. ابزارهای XDR فرایند بررسی و انتقال دادهها از راه دور (Telemetry) را از چندین کنترل امنیتی گردآوری کرده و مرتبط میسازند تا دفاعی همه جانبه برای اکوسیستم IT فراهم کنند.
حدمات MDR در مقابل SIEM
پلتفرمهای مدیریت وقایع و امنیت اطلاعات (SIEM) مصرف دادههای تولیدشده در سرتاسر زیرساخت IT را متمرکز میکنند. ابزارهای SIEM میتوانند تنوع بالایی از انواع و محتوای دادهی Log را بپذیرند؛ مثلاً، Logهای شامل رکوردهای اپلیکیشن و فعالیت کاربر، و همچنین خروجی دستگاهها امنیتی.
پلتفرمهای SIEM از سطحی منفرد دید کاملی نسبت به تمامی دادهها فراهم میکنند. این نوع از قابلیت دید سازمانها را قادر به تجزیه و تحلیل تمام دادهها و یافتن شاخصهای تهدید (IOCs) در سرتاسر تشکیلات میسازد. پلتفرمهای SIEM اغلب امکان پیکربندی قوانین ناشی از دادههای خاص را برای کاربران ایجاد میکند و میتواند چندین نوع تجزیه و تحلیل ارائه کند که گاه از یادگیری ماشین (ML) نیرو میگیرند.