“محصولات چند نقطهای”[۱] و استراتژیهای دفاع در عمق برای محفاظت از شرکتهای در حال فعالیت در فضای سایبری امروزی، ناکافی است. سازمانهای IT برای جلوگیری از تهدیدهای مداوم پیشرفته، که قادر به عبور از کنترلهای بازدارنده هستند، نیازمند جدیدترین راهکارهای تشخیص و پاسخگویی یعنی، یا یک مرکز عملیات امنیت (SOC) کاملاً مجهز و داخلی با مجموعهای از متخصصان امنیت یا یک سرویس تشخیص و پاسخگویی مدیریت شده که به اختصار سرویس MDR خوانده میشود، هستند. برای سازمانهایی با منابع IT محدود، گزینه دوم یعنی سرویس تشخیص و پاسخگویی مدیریت شده گزینه مناسبتری است.
نکات کلیدی برای انتخاب یک سرویس MDR
تیم امنیت اختصاصی
تکیه بر یک راهکار MDR برای شناسایی تهدیدهایی که سیستم با آن مواجه است، نیازمند یک تیم امنیت، به عنوان تنها طرف حساب است. در این صورت، در هر بار وقوع مشکلات به افرادی آشنا و ثابت مراجعه میشود، که از عملیاتهای سازمان و نیازهای کسبوکار آن مطلع هستند.
کار کردن با یک تیم امنیت اختصاصی مزایای زیادی دارد. درک تیم امنیت از زیرساخت شبکه و مخاطرات کسبوکار، یکی از این مزایا است. این مساله تیم امنیت را در موقعیتی منحصربهفرد برای ارائه پیشنهادات آگاهانه متناسب با محیط سازمان قرار داده، و با توجه به این مهم، این تیم به توسیعی از تیم داخلی سازمان و یک مشاور قابل اعتماد تبدیل میشود.
نظارت پیوسته بر شبکه
یکی از پیشنیازهای تشخیص فعالیتهای مخرب در شبکه، نظارت پیوسته بر آن است. تحت نظر گرفتن شبکه تنها در ساعات کاری، امکان تشخیص فعالیتهای غیرعادی و شناسایی تهدیدهایی که سیستمها در تمام طول شبانهروز با آنها مواجه هستند، را فراهم نمیکند.
دستورات امنیتی قابل شخصیسازی
ارائهدهندگان سرویس MDR یا شناسایی و پاسخ مدیریتشده نسل جدید از یک موتور قواعد قابل شخصیسازی برای تعریف سیاستهای امنیتی متناظر با هر مشتری استفاده میکنند. این موتور، امکان اعمال و بهروزرسانی سیاستهای عملیاتی و امنیتی سازمان (برای همسوسازی با نیازهای در حال تغییر کسبوکار) را در اختیار مهندسان امنیت ارائهدهنده سرویس قرار میدهد.
به عنوان مثال، دستورات شخصیسازی شده میتوانند رویدادهایی که در عمل فاقد خطر امنیتی هستند را جداسازی کرده، یا به شناسایی تهدیدهای شناخته شده و ناشناخته کمک کنند. یک موتور دستورات قابل شخصیسازی از این طریق به ارائهدهنده SOC-as- a- service به عنوان یک خدمت در راستای بهبود کارایی و دقت در شناسایی تهدیدها در محیط کمک میکند.
یادگیری ماشین تقویت شده توسط انسان
تحلیل مقادیر انبوه دادههای Log به دست آمده حتی از کوچکترین محیطهای IT نیز برای کاربران انسانی ناممکن است. تنها راه مفید و موثر برای تجزیه و تحلیل مقادیر زیاد از دادههای Log، استفاده از یادگیری ماشین است.
یادگیری ماشین بهمنظور شناسایی تهدیدهای شناخته شده بسیار عالی عمل میکند، اما دستهبندی صحیح دادههای تهدید جدید معمولاً نیازمند تخصص انسانی است. یک ارائهدهنده MDR نسل بعدی از تخصص انسانی برای جداسازی موارد مثبت کاذب و اصلاح مناسب الگوریتمها با توجه به تهدیدهای جدید شناسایی شده، استفاده میکند.
نظارت بر محیط ابری
چه در صورت از قبل پذیرفتن خدمات ابری به طور کامل و چه در غیر این صورت، محیطهای IT مدرن نیازمند یک راهکار MDR تجمیعشده با نظارت ابری هستند. در این صورت، میتوان مطمئن بود که تمام محیط تحت پوشش قرار داشته و هیچ نقطهای از دید پنهان نیست. در این راستا، باید به دنبال یک ارائهدهنده سرویس بود که قادر به نظارت بر برنامههای IaaS و SaaS و راهکارهای امنیت به عنوان یک خدمت باشد. سنسورهای مجازی از APIها برای ارائه نظارت تقریباً بلادرنگ بر منابع ابری و رفتار کاربر، و با هدف اطمینان از تطابق آنها با سیاستهای امنیتی و فاقد تهدید بودن، استفاده میکنند.
گزارش انطباقپذیری
انطباقپذیری مناسب با مراجع نظارتی به طور معمول نتیجه بهکارگیری اقدامات امنیتی مناسب است. ارائهدهندگان سرویس MDR باید به برآورده کردن تعهدات انطباقپذیری و نشان دادن این عملکرد کمک کنند.
اسکن آسیبپذیری
انجام منظم اسکن آسیبپذیری، داراییهایی که در معرض خطر قرار دارند را شناسایی کرده و به بهبود وضع امنیتی کمک میکند. ارائهدهندگان سرویس MDR باید نتایج اسکن را تجزیه و تحلیل کرده و از ترکیب جدیدترین یافتههای هوش تهدید و درکی عمیق از داراییهای حیاتی سازمان برای تهیه یک لیست دقیق و اولویتبندی شده از آسیبپذیریهای موجود استفاده کنند. در ادامه، آنها میتوانند جهت محدودسازی میزان قرار گرفتن در معرض تهدیدهای شناخته شده و ناشناخته، پیشنهادها و توصیههای اصلاحی را با توجه به مخاطرات ارائه کنند.
یکپارچهسازی جریان کاری
یکپارچهسازی جریان کاری، یک امر حیاتی برای اطمینان از اولویتبندی هشدارها و ارجاع مناسب آنها به منظور اصلاح به موقع است. ارائهدهندگان سرویس MDR یا شناسایی و پاسخ مدیریتشده باید از ابزارهای یکپارچهسازی جریان کاری “در محل”[۲] جهت بهینهسازی کارایی عملیاتی عمل دشوار Ticketing استفاده کنند. در نظر گرفتن کارکنان IT سازمان در فرایند یکپارچهسازی جریان کاری به اطمینان از انتقال یکنواخت موارد اصلاحی از یک موجودیت به موجودیت دیگر کمک میکند.
جمعآوری / همبستهسازی دادههای Log
باید به دنبال یک راهکار MDR بود که مدیریت Log جامع را فراهم کرده و شامل جمعآوری، انبوهسازی و نگهداری و حفاظت خودکار از دادههای Log باشد. مهندسین MDR میتوانند برای استخراج اطلاعات مفید برای مشتریان به انجام پرسمان بر روی مجموعه داده بپردازند.
معماری داده مقیاسپذیر
یافتن یک ارائهدهنده سرویس شناسایی و پاسخ مدیریتشده که یک معماری داده بهینه شده از نظر امنیتی را برای دریافت، تجزیه، و تحلیل دادههای Log به کار گرفته و بتواند به صورت پویا منابع را در صورت نیاز مقیاسبندی، محاسبه و ذخیره کند، از اهمیت زیادی برخوردار است. چنین معماریهایی زمانی که به عنوان ابزاری برای علوم داده در زمینه امنیت سایبری استفاده میشوند، به عنوان پایه و اساس تجزیه و تحلیلهایی که توسط تحلیلگران امنیت برای به دست آوردن قابلیت مشاهده عمیق در تهدیدهای پیشرفته به کار میگیرند، عمل میکنند.
علاوهبراین، معماری داده مقیاسپذیر، دسترسی به دادههای مربوطه برای بررسی حوادث را به محض نیاز تأمین کرده و بدون زمان راهاندازی، سریعا عملیاتی میشود.
منبع:
https://arcticwolf.com/resources/briefs-2/10-capabilities-to-look-for-in-an-mdr-solution-2
[۱] Multiple point products
[۲] Onsite