رویکرد As-a-Service در بازار امنیت به سرعت رو به رشد است و و بسیاری از سازمانها برای شناسایی و پاسخ به تهدیدات پیشرفتهای که از کنترلهای موجود عبور میکنند این روش را ترجیح میدهند. اما با وجود شیوههای مختلف خدمات، مهم است که تفاوتهای MDR، MSSP و SIEM-as-a-Service مشخص شوند تا تعیین گردد که کدام رویکرد برای کاربر مناسبتر است.
از آنجایی که برنامههای کاربردی کسبوکار محبوب از طریق Cloud و با استفاده از یک مدل Software-as-a-Service یا SaaS ارائه میشوند، خدمات پیشرفته امنیت بهعنوان یک راهکار آماده برای استفاده ارائه میگردد. تقاضا برای راهکارهای عملیات امنیت توسط سازمانهای بزرگ و کوچک که بیش از پیش مورد هدف حملات سایبری قرار میگیرند، در حال رشد است. این سازمانها متوجه شدهاند که:
- مشکلی در زمینهی کارآمدی وجود دارد که به دلیل کمبود مهارتهای امنیت سایبری بین کارمندان IT ایجاد و باعث شده است که آنها نتوانند تهدیدات پیشرفته را شناسایی کرده و به آنها پاسخ دهند.
- برونسپاری بخشهایی از استراتژی امنیتی با یک مدل کسبوکار پرداخت به اندازه مصرف یا Pay-As-You-Go مزایایی عملیاتی را فراهم میکند.
بنا به گفتهی Gartner، پیشبینی میشود که خرج کاربران نهایی در سراسر جهان برای خدمات Cloud عمومی در سال ۲۰۲۱ به ۳۰۴.۹ میلیارد دلار برسد. . ۱۸.۴ درصد افزایش نسبت به ۲۵۷.۵ میلیاردی که در سال ۲۰۲۰ خرج شده بود.
سرعت رشد بازار امنیت بهعنوان یک سرویس همچنان بالاتر از فضای امنیتی کلی است که شامل دستهبندیهایی از محصولات امنیتی On-Premises است. سطوح پیادهسازیهای کنترلهای امنیتی مبتنی بر Cloud در بخشهای تکنولوژی امنیتی مختلف متفاوت است. مدیریت رخداد و اطلاعات امنیت یا همان SIEM و مدیریت هویت و دسترسی یا IAM و کنترلهای نوظهور مثل فعالسازی هوش تهدید و Sandboxing بدافزار مبتنی بر Cloud بیشازپیش توسط سازمانها بهعنوان یک «امنیت بهعنوان سرویس» مبتنی بر Cloud مورد استفاده قرار میگیرند.
برای مدتی طولانی، برای بسیاری از سازمانهایی که نیاز به قابلیت دید جامعی به تهدیدات سایبری روی زیرساخت IT توزیعی داشتند، تکنولوژی SIEM راهکار انتخابی بود. اما با وجود اینکه این شرکتها بودجههای عظیمی برای IT در حوزهی کارمندان و تکنولوژیهای امنیتی دارند، به این نتیجه رسیدند که راهکارهای SIEM نیاز به سرمایه زیادی داشته، پیچیده و همچنین دشوار هستند. به همین دلیل، شرکتهای زیادی به ارائهکنندهی خدمات امنیت مدیریتشده یا MSSPها روی آوردند که با وجود کمک به سازمانها در مانیتورینگ شبکهها و سیستمها و تجزیهوتحلیل تهدیدات، پیادهسازی سریع و مقرونبهصرفه بودن را از طریق مدلهای اشتراکی ارائه میدادند.
اما MSSPها در درجهی اول روی مدیریت دستگاههای از راه دور (پیکربندی فایروالها، سیستمهای شناسایی و پیشگیری از نفوذ و غیره) تمرکز میکنند و زمان کمتری را صرف شناسایی مداوم و پاسخ به تهدید مینمایند. این یعنی با برونسپاری مدیریت دستگاههای از راه دور به ارائهدهندگان Third-Party، سازمانها دیگر نمیتوانند وضعیت امنیتی خود را مانیتور کنند و درک درستی از نحوهی پاسخ به تهدیدات نخواهند داشت.
خدمات شناسایی و پاسخ مدیریتشده یا MDR برای پاسخ به این مشکل ظهور کردند. ارائهدهندگان MDR تا حدودی یک مرکز عملیات امنیتی مدیریتشده و مقرونبهصرفه را برای شرکتهای متوسط بازار فراهم میکنند. ارائهدهندگان MDR با تمرکز بیشتر روی شناسایی و پاسخ به تهدید، از مدل MSSP قدیمی فاصله گرفتهاند. هر زمانی که نیاز باشد اقدامات اصلاحی انجام شود، آنها پاسخهایی قابل اجرا را به مشتریان پیشنهاد میکنند.
تا سال ۲۰۲۵، پنجاه درصد از سازمانها از خدمات MDR برای مانیتورینگ تهدید، عملکردهای شناسایی و پاسخ استفاده خواهند کرد که قابلیتهای کنترل کردن تهدید را ارائه میدهد.
تخمین زده میشود که در سال ۲۰۲۱، ۶ تریلیون دلار ضرر، به دلیل جرایم سایبری ایجاد شده باشد.
سازمانهای بزرگ، مخصوصاً سازمانهایی که بودجههای عظیمی برای کارمندان IT، پیادهسازی فرایند و تکنولوژیهای امنیتی پیشرفته دارند، چندین سال است که روی راهکارهای IT سرمایهگذاری کردهاند.
دلیل این سرمایهگذاری این است که SIEMها چندین عملکرد حیاتی را به انجام میرسانند، از جمله:
- بهبود شفافیت کلی ترافیک شبکه
- شناسایی تهدیدات یا فعالیتهای غیرعادی که میتوانند از کنترلهای امنیتی فرار کند
- تسهیل گزارشگیری تطبیقپذیری برای صنایع قاعدهمند
- کاهش زمان بین شناسایی و پاسخ، برای پاسخ به حادثهی کارآمدتر
ازآنجاییکه یک SIEM آمار Log را از فعالیتهای Endpoint و شبکه جمعآوری میکند، مهندسهای امنیت دارای آمار کاملی از اتفاقات محیط مشتری هستند. این امر امکان شناسایی نشانگرهای نقض امنیتی، نفوذ بدافزار و رخدادهای مشکوک دیگر را میدهد. داشتن همهی دادههای لاگ بهصورت یکجا گزارشگیری تطبیقپذیر را نیز تسهیل میکند و در نهایت، به دلیل اینکه همه چیز لاگ میشود، یک SIEM برای تیمهای امنیت اطلاعات دادههایی را فراهم میکند که برای شناسایی مبدأ نفوذ، اینکه در کجا پخش شده است و بهترین راه برای پاسخ به آن، مورد نیاز هستند.
مشکل اینجاست: SIEM یک ابزار گرانقیمت است که پیادهسازی آن حداکثر شش ماه زمان میبرد. این ابزار همچنین نیازمند نظارت ۲۴ ساعته از سوی مهندسهای امنیتی است تا بتواند بهخوبی کار کند.
بسیاری از سازمانهایی که سعی میکنند بهتنهایی یک SIEM را پیادهسازی و مدیریت کنند، موفق نمیشوند و این کار منجر میگردد به حس امنیت کاذب از سوی راهکاری که به درستی تنظیم نشده است. با توجه به یک گزارش از سوی موسسهی پژوهشی Ponemon، هفتاد درصد از پاسخدهندگان میگویند که تکنولوژیهای SIEM کنونی آنها هشدارهایی با دقت، اولویتبندی و معنای بالا را تولید نمیکنند که این میتواند یا در خرابی تکنولوژی یا پیکربندیهای نادرست ریشه داشته باشد.
۶۱ درصد از پاسخدهندگان میگویند که به درک بهتری از ساختار رخدادهای SIEM نیاز دارند و ۵۴ درصد میگویند که SIEM پرسروصدا است و دادهها و هشدارهای سطح پایین زیادی را تولید میکند که باعث میشوند تمرکز روی آنچه واقعاً مهم است سخت باشد.
کاربران SIEM چه میگویند
- ۷۰ درصد میگویند تکنولوژیهای کنونی آنها هشدارهای دقیقی را فراهم نمیکند
- ۶۱ درصد میگویند که به درک بهتری از رخدادهای SIEM نیاز دارند
- ۵۴ درصد میگویند SIEM پرسروصدا است
برخی از سازمانها تصمیم گرفتهاند که یا یک SIEM با مدیریت مشترک و یا یک رویکرد SIEM-as-a-Service را انتخاب کنند. در چنین شرایطی، یک شرکت تکنولوژی SIEM را خریداری کرده و با یک ارائهکنندهی خدمات که SIEM را از طرف او مدیریت میکند، شریک میشود. این رویکرد انعطافپذیری و کنترل بیشتری را برای سازمان فراهم میکند تا بتواند به نتیجه دلخواه برسد.
بسیاری از ارائهکنندگان SIEM-as-a-Service دارای درک عمیقی از تکنولوژی خود هستند و میتوانند در تنظیم و اولویتبندی هشدارها کمک کنند. اما ازآنجاییکه به نظر میرسد سرویس آنها فقط متمرکز بر SIEM است، برای سازمانهایی با Stack امنیتی گسترده ایدهآل نیست. یک SIEM با مدیریت مشترک همچنین معمولاً هزینهی بیشتری از گزینههای MSSP و MDR دارد.
در این سناریو، سازمانها هم هزینهی سرمایه پلتفرم SIEM را میدهند و هم هزینهی ماهیانهی ارائهکنندهی خدماتی که آن را مدیریت میکند.
یک محصول SIEM چه مزایا و معایبی دارد
مزایای SIEM
- سطح بالای قابلیت دید در محیط
- تسهیل تطبیقپذیری و قابلیت گزارشگیری
- ارائهکنندگان خدمات دارای درک عمیقی از تکنولوژی خود هستند
معایب SIEM
- خرید، نصب، تنظیم و حفظ آن زمانبر و پرهزینه است
- سطح بالایی از مثبتهای کاذب و سروصدای اضافی
ارائهکنندهی خدمات امنیت مدیریتشده یا MSSP واژهی متداولی برای خدماتی است که ممکن است روی مدیریت دستگاه از راه دور، مدیریت آسیبپذیری، مانیتورینگ رخداد امنیتی و هشداردهی تمرکز کنند.
این موارد معمولاً بهعنوان فعالیتهای سطح ۱ شناخته میشوند، درحالیکه MSSPها معمولاً از کارهای پیچیدهتر مثل اولویتبندی تهدیدات پیشرفته، انجام تجزیهوتحلیل جرمشناسی و شناسایی شبکهها و سیستمهایی که دچار نقض امنیتی هستند اجتناب میکنند.
شناسایی و پاسخ به تهدید نیازمند متخصصان امنیتی با دانش از آخرین مسیرهای حمله، دسترسی به هوش تهدیدات سراسری و دانش عمیق از زیرساخت IT مشتری است.
MSSPها کنترلهای امنیتی پیشگیرانهای را پیکربندی کرده و هشدارهایی ابتدایی را فراهم میکنند، درحالیکه تأکید بر این است که مشتریان اولویتبندی، تجزیهوتحلیل و پاسخ را خودشان انجام دهند. هشدارهای سیستم معمولاً بدون ساختار اضافه یا پیشنهاداتی برای اقدامات اصلاحی و کنترلی به مشتریان ارسال میشود. مشتریانی که این مدل را انتخاب میکنند باید از قبل دارای تخصص امنیتی لازم برای تعیین اعتبار هشدارهای ارائه شده و انجام اقدامات بعدی باشند.
شاید MSSP انتخاب سازمانهایی باشد که احساس میکنند دارای تخصص کافی در بین کارمندان خود هستند، اما درگیر کارهای ابتداییتری برای چرخاندن عملیات امنیتی خود میباشند. در این موارد، یک MSSP هشداردهی و مدیریت سطح پایینتری از محیط را فراهم میکند، درحالیکه مسئولیت هر تجزیهوتحلیل جزئی و پاسخ را به مشتری میسپارد.
یک مرکز MSSP چه مزایایی دارد
- مدیریت تکنولوژیهای امنیتی متداول از راه دور
- کار کردن با Stack امنیتی کنونی
- کنترلکنندگان واکنش به حادثه معمولاً قابلدسترسی هستند
- گزارشگیری تطبیقپذیری قابلدسترسی است
هرچند MSSPها و راهکارهای SIEM ممکن است بتوانند کارهایی را خیلی خوب انجام دهند، هیچ راهکار امنیتی نیست که بتواند همه کار را با هم انجام دهد. به همین دلیل، بسیاری از سازمانها بهسختی تلاش میکنند تصویر کاملی از استراتژی امنیت سایبری خود ایجاد نمایند. شناسایی و پاسخ مدیریتشده برای این طراحی شده است که این شکاف را پر کند و از طریق راهنمایی و پشتیبانی عملیات امنیتی مشتری را بهبود بخشد.
ارائهدهندگان MDR معمولاً دو هدف اصلی را دنبال میکنند: ۱) فراهم کردن عملیات امنیتی برای سازمانهایی که از تخصص و تواناییهای داخلی بیبهرهاند و ۲) تکمیل تیمهای امنیتی تثبیتشده که احساس میکنند توانایی کنترل رخدادها را ندارند و نیازمند تخصص بیشتر هستند.
در بسیاری از شرایطی که تکنولوژی بهتنهایی برای ایمنسازی یک محیط کافی نیست MDR میتواند بهعنوان یک رویکرد Hybrid دیده شود.
ارائهکنندگان شناسایی و پاسخ مدیریتشده معمولاً سرمایهگذاری شدیدی در تجزیهوتحلیل پیشرفته، پلتفرمهای Big Data و هوش تهدیدات نوظهور میکنند تا راهی برای حذف بسیاری از سروصدایی که مشتریان تجربه میکنند داشته باشند و به آنها اجازه دهند که فقط روی هشدارهای واقعاً مثبت تمرکز نمایند. این امر نیازمند این است که ارائهکنندگان MDR از متخصصان خود استفاده نمایند تا برای بالاترین سطح از قابلیت دید و ساختار از Stack امنیتی مشتری بهره ببرند.
متأسفانه تمام MDRها به استانداردهای یکسانی وفادار نیستند. برخی از ارائهدهندگان خدمات MDR را بهصورتی ارائه میدهند که فقط به محصولاتی که خودشان به فروش میرسانند وابسته باشد و ابزار شبکه یا Endpoint را بهعنوان شکلی از MDR ارائه میدهند. این مورد بیشتر یک سرویس ابزار مدیریتشده با قابلیت دید محدود است تا یک راهکار MDR. در بسیاری از این موارد، این ارائهکنندگان دارای قراردادهای سختگیرانهای هستند که به آنها اجازه نمیدهد هر ابزاری را خارج از چیزی که به آنها اختصاص داده شده ببینند یا مدیریت کنند.
افرادی که MDR را مد نظر دارند باید اطمینان حاصل کنند که در مورد حوزهی کاملی از سرویس ارائهدهندهی خود تحقیق کنند و اطمینان حاصل نمایند که بالاترین سطح از عملیات امنیتی را ارائه میدهند.
یک MDR چه مزایا و معایبی دارد
مزایای MDR
- پشتیبانی از تکنولوژیهای گسترده
- راهنمایی و تخصص
- از بین بردن سروصدا و مثبتهای کاذب
- قابلیت دید کامل به محیط
معایب MDR
- تمام ارائهدهندگان MDR در یک سطح نیستند
- نیازمند منابع مشتری است
-
همیشه تکنولوژی ارائه نمیشود