راهکار MDR یا شناسایی و پاسخ مدیریتشده چیست؟
راهکار MDR یا شناسایی و پاسخ مدیریتشده به سازمانها راهکارهای کاهش خطر و مانیتورینگ امنیتی عرضه میکنند. عرضهکنندگان سرویس MDR نقاط پایانی، شبکهها و منابع IT گوناگون مشتریان خود را مانیتور میکنند تا رویدادهای امنیتی را شناسایی کنند. زمانی که تهدیدی شناسایی شود، عرضهکنندهی MDR آن را بررسی کرده و بدون پاسخدهی مستقیم مشتری مسائل را حل میکند. سازمانها از راهکار MDR برای محافظت از خود در برابر تهدیدهای مبتنی بر وب، بدون نیاز به حضور کارکنان امنیتی تمام وقت استفاده میکنند.
راهکار MDR هم نرمافزارهای پاسخ به رخداد و هم نرمافزارهای شناسایی و پاسخ به نقاط پایانی (Endpoint) را شامل میشود و در قالب سرویسی مدیریتشده به این کارکردها رسیدگی میکند. خدمات MDR کار عملی کمتری از سازمانها میطلبند و بدون نیاز به راهکارها و کارکنان امنیتی اضافه، اطمینان خاطر ایجاد میکنند.
اهمیت راهکار MDR در امنیت سایبری
چشمانداز تهدید امنیت سایبری مدام در حال تکامل یافتن است و تأثیر و تعدد تهدیدهایی مانند باجافزارها و بدافزارها هرساله افزایش مییابد. امروزه، سازمانهای بزرگ و کوچک باید پیش از وقوع، بهدنبال تهدیدهای نوظهور باشند و خطرهای امنیتی را مانیتور کنند تا از عملیات کسب و کار و مصرفکنندگان خود محافظت کنند. مسلماً برای رسیدن به این هدف باید بتوانند پس از شناسایی هدف، به سرعت پاسخ دهند.
در چنین چشمانداز تهدید پیچیدهای، سازمانها برای یافتن پرسنل امنیت سایبری کافی جهت تأمین نیروی تیمهای خود به مشکل برمیخورند. در سرتاسر جهان، کمبود کارکنان امنیت سایبری معادل حدود ۴ میلیون نفر است. راهکار MDR به سازمانها این امکان را میدهد که باوجود کمبود نیروی ماهر، از شناسایی و پاسخدهی آیندهنگرانه به تهدیدات بهرهمند شوند.
بسیاری از سازمانها بر راهکارهایی همچون این موارد تکیه میکنند:
- مدیریت وقایع و امنیت اطلاعات (SIEM)
- شناسایی و پاسخ توسعهیافته (XDR)
تکنولوژیهایی مانند SIEM و XDR میتوانند دادههای منابع مختلف را همبسته کنند و به شناسایی تهدیدها کمک کنند، اما برای بهرهبری حداکثری از آنها نیاز به تخصص مناسب دارید.
امنیت سایبری محدود به حفاظت از نقاط پایانی و به کار بستن فایروال حول یک سازمان نیست. امروزه سازمانها باید فعالانه تهدیدها را مانیتور و جستجو کنند. به همین دلیل راهکار MDR یکی از حوزههای امنیت سایبری است که با بیشترین سرعت در حال پیشرفت و تکامل است. طبق براوردهای Gartner 50 درصد سازمانها تا سال ۲۰۲۵ سرویس MDR را به خدمت خواهند گرفت.
راهکار MDR چه مشکلاتی را حل میکند؟
خدمات MDR بخشی اساسی از راهبرد تقویت امنیت اطلاعاتی سازمان هستند. این خدمات به شناسایی تهدید، تجزیه و تحلیل و مانیتورینگ مداوم منابع IT و پاسخدهی به رخداد میپردازند.
خدمات MDR این اقدامات را انجام میدهند تا مسائلی که واحدهای IT معمولاً با آنها مواجه میشوند را تعدیل کنند، این مسائل شامل موارد زیر هستند:
- تعداد زیاد هشدارها: MDRها میتوانند به هشدارهای امنیت سایبری زیادی که لازم است تک تک بررسی شوند، رسیدگی کنند. این هشدارها میتوانند تیمهای امنیتی کوچک را تحت فشار قرار داده و باعث شوند آنها از سایر وظایف خود دست بکشند.
- تجریه و تحلیل تهدید: هشدارها اغلب از ابتدا خود را بهعنوان تهدید نمایان نمیکنند و باید کامل تجزیه و تحلیل شوند تا موقعیتشان مشخص شود. راهکار MDR جهت کمک به این امر، دسترسی به متخصصان امنیت و ابزارهای تحلیل پیشرفته ایجاد کرده و رویدادها را رمزگشایی کرده و پیشنهاداتی برای بهبود ارائه میکنند.
- کمبود مهارت: بر اساس گزارش Frost and Sullivan، تا سال ۲۰۲۲ کمبود نیروی کار امنیتی به ۱.۸ میلیون خواهد رسید. تیمهای امنیتی درون سازمانی تحت فشار قرار گرفته و دچار خستگی و فرسودگی میشوند. راهکار MDR میتوانند با ایجاد دسترسی به تیمی متخصص که معمولاً ۲۴ ساعت در روز و ۷ روز در هفته کار میکنند و شبکه را مانیتور کرده و برای ارائهی مشاوره در دسترس هستند، به این امر کمک کنند.
- شناسایی و پاسخدهی نقاط پایانی (EDR): سازمان ممکن است زمان، مهارت یا بودجهی کافی برای تعلیم کارکنان، جهت استفاده از ابزارهای EDR نداشته باشد. راهکار MDR برای شناسایی، تجزیه و تحلیل و پاسخ به تهدیدها دارای ابزارهای EDR هستند که نیاز به تیم امنیت نقاط پایانی داخل سازمانی را برطرف میسازد.
- مانند بسیاری از خدمات تکنولوژی دیگری که کارها را برونسپاری میکنند، راهکار MDR نیازمند این است که سازمان به منظور انعطاف و سهولت بیشتر، بخشی از کنترل را به دست این سرویس دهد. خدمات MDR بسته به نیازهای مشتری، در مقایسه با محصولات امنیت مدیریتشده مرسوم معایبی نیز دارند. با این حال به تناسب مسائل جاری و نوظهوری تنظیم شدهاند که شرکتهای IT تجربه میکنند و باعث میشود برای بسیاری از سازمانها کارامد باشند.
راهکار MDR چه قابلیتهایی دارد؟
MDR چترواژهای است که گسترهای از خدمات امنیتی را دربرمیگیرد. عرضهکنندگان راهکار MDR به سازمانها این امکان را میدهند که بخشی از برنامههای امنیت سایبری خود را برونسپاری کنند و معمولاً خودکارسازی نرمافزاری را با تخصص انسانی ترکیب میکنند.
خدمات MDR دست کم باید این امکانات را فراهم کنند:
- شناسایی تهدید: هدف متخصصان امنیت شناسایی آیندهنگرانهی تهدیدها، پیش از ایجاد مشکل است. برخلاف تیمهای پاسخدهی به رخداد که باید با دریافتن دلیل بنیادی یک هشدار، آن را برای یک SIEM یا مرکز عملیات امنیتی تایید کنند، جستجوگران تهدید نشانههای حمله یا تهدید را پیش از پدیدار شدن هشدار در SOC شناسایی میکنند.
- هوش تهدید: دادههای مربوط به تهدیدها گردآوری، تجزیه و تحلیل و توزیع میشوند تا به تیمها در ایزولهسازی و پاسخدهی به حملهها پیش از آسیب یا بازیابی هرچه سریعتر کمک کنند.
- پاسخدهی به تهدید: پس از اینکه تهدید شناسایی شد، باید اقداماتی جهت خنثیسازی آن انجام شود. پاسخ باید ترکیبی از مداخلهی خودکار و انسانی باشد. معمولاً کارهایی همچون Patching یا از میان برداشتن بدافزار خودکار انجام میشوند، اما امور پیچیدهتر مانند ارزیابی جرمشناسی یک اندپوینت آسیبدیده نیازمند مداخلهی انسانی است.
معرفی و بررسی ۴ نوع راهکار MDR
عرضهکنندگان MDR ممکن است تکنولوژیهای اختصاصی خود را داشته باشد. به طور کلی، پلتفرم تحویل بهشکل مرکزی و Multitenant مدیریت میشود که به مشتریان کارکردهایی همچون مدیریت داده و Log، تنظیم و خودکارسازی، تجزیه و تحلیل و واسط کاربری (UI) ارائه میکند.
برخی عرضهکنندگان MDR ممکن است بتوانند از هر تکنولوژی امنیتی که مشتری از پیش تدارک دیده پشتیبانی کنند، اما اغلب آنها سازگار با تکنولوژی (Technology-agnostic) نیستند. عرضهکنندگان این خدمات معمولاً مجموعهای قطعی از شرکتهای عرضهکننده و تکنولوژیها ارائه میکنند که پشتیبانی میشوند و معمولاً به ادغام و کارایی بدون اشکال یک تکنولوژی (مثلاً توانایی بررسی انتقال داده از راه دور (Telemetry)، پشتیبانی از فعالیتهای پاسخ به رخداد، و شناسایی تهدیدها) وابسته هستند.
پشتهی Bring-Your-Own Technology
برخی عرضهکنندگان راهکار MDR کارکردهای مرکز عملیات امنیت (SOC) مدرنی برای تکمیل تکنولوژیهای موجود مشتری ارائه میکنند. با این حال، این عرضهکنندگان هشدار میدهند که سازگار با منبع داده (Data-source-agnostic) نیستند و اجرای آمادهبهکار را توصیه میکنند. عرضهکنندگان اغلب بهدقت تکنولوژیها و شرکتهای عرضهکنندهی گوناگونی را که تحت پشتیبانی هستند گزینش میکنند و گاهی تکنولوژیهای حداقلی را لازم میدانند.
این محدودیتها به MDR این امکان را میدهند که بدون مشکل تکنولوژی BYO را تعبیه کرده (مثلاً با اتصال API)، شناسایی دارای دقت کافی ایجاد، و اطلاعات ساختاری و فارنزیک کافی برای بررسی رخدادها ارائه کند. مشتری تکنولوژیها را فراهم میکند، درحالی که عرضهکننده پاسخهای فعال (مانند سد کردن نفوذ) را از طرف مشتری اجرا میکند.
راهکارهای Endpoint مدیریتشده
EDR مدیریتشده معمولاً به جای راهکار MDR به کار میرود، با اینکه در واقع تنها یک جنبه از MDR است. EDR مدیریتشده، بسته به محیطها و منابعی که نیازمند مانیتورینگ هستند، ممکن است دید تهدید را در یک سازمان محدود کند.. برای مثال، نمیتوانید روی یک PLC یا یک دستگاه چندکارهی پرینتر-اسکنر یک EDR Agent نصب کنید. EDR مدیریتشده یک سرویس تک حالتی است.
پشته تکنولوژی کامل
در این رویکرد، عرضهکننده کل پشته تکنولوژی را ارائه میکند که معمولاً شامل دو یا چند تکنولوژی مبتنی بر شناسایی تهدید جهت تسهیل خدمات MDR است. عرضهکننده این تکنولوژیها را گزینش کرده و آنها را در قالب یک سرویس ارائه میکند، بنابراین مشتری نمیتواند تکنولوژیهای که به کار میروند را انتخاب کند (یا انتخابشان محدود است).
عرضهکنندگان معمولاً این اجزا را به کار میگیرند:
- یک EDR Agent
- حسگرها یا تجهیزات مانیتورینگ امنیتی شبکهی چندکاره (NSM)
این تکنولوژیها شناسایی سریع تهدیدات را ممکن میسازند و برای بررسی فارنزیک داده فراهم میکنند. برخی عرضهکنندگان، تکنولوژیهای اضافه نیز ارائه کرده و مسیرهای حمله مانند ایمیل، خدمات Cloud و DNS را مانیتور میکنند. چنین پیشنهاداتی جزو خدمات چند حالتی هستند.
یک سرویس MDR کارآمد چه ویژگیهایی دارد؟
یک عرضهکنندهی سرویس MDR کارامد باید این ویژگیها را در قالب یک مدل تحویل پکیجی ارائه کند:
- تأکید بر شناسایی تهدید با دقت بالا با هدف قرار دادن حملههایی که ممکن است از سد اقدامات امنیتی پیشگیرانه عبور کنند.
- پاسخگویی به رخداد از راه دور، سد کردن نفوذ و فعالیتهای تحقیقی فراتر از اطلاعرسانی و هشداردهی. امروزه تهدیدها از نظر بسیاری سازمانها بیش از حد سریع جابجا میشوند. این امر میتواند بر اساس محیطی که هدف قرار گرفته و نوع تهدید، دسترسپذیری (مثلاً در مورد یک حملهی باجافزاری مخرب)، ایمنی فیزیکی، یا محرمانه بودن داده (مثلاً در مورد درز کردن اطلاعات مشتری) را تحت تأثیر قرار دهد.
- استفادهی گزینشی از مدل و تکنولوژیهای آماده به کار برای کمک به تیم ارائهکننده راهکار MDR جهت تحویل و اجرای سرویس با سرعت بالا. اغلب برای پشتیبانی از برخی فعالیتها و پیامدها، به تکنولوژیهای خاصی نیاز است.
- یک پلتفرم تحویل مشترک برای هر مشتری. این پلتفرم از تجزیه و تحلیلهای سفارشی و IT استفاده میکند. در برخی موارد، پلتفرم ممکن است از تجزیه تحلیلهای رفتاری مبتنی بر یادگیری ماشین استفاده کند.
- عرضهکننده مسئول تعیین تهدیدهای شناسایی شده و نحوهی شناسایی آنها است. سازمانها ممکن است فرصت زیادی برای سفارشیسازی موارد کاربرد شناسایی تهدید مرتبط با محیط خود نداشته باشند. برای مثال، عرضهکنندگان MDR ممکن است به دنبال TTP خاصی باشند که نشان دهد یک تهدید در محیط سازمان فعال است. اگر سازمان خواستار قوانین خاص مختص به محیط خود باشد، ممکن است از این نوع سفارشیسازی پشتیبانی نشود.
موارد زیر امکانات منحصربهفردی هستند که برخی عرضهکنندگان MDR ارائه میکنند:
- امکانات مدیریت آسیبپذیری که میتوانند برای رسیدگی به الزامات تطبیقپذیری به کار بسته شوند. این ویژگی میتواند میزان قرار گرفتن در معرض حملات سایبری را پیش از وقوع به حداقل رساند و راهنمایی پاسخدهی و توانمندسازی رخداد فراهم کند.
- امکانات تنظیم و خودکارسازی امنیتی (SOA) که به سازمانها اجازه میدهد علاوه بر استفاده از SOA برای بهبود عملیاتها در داخل، فعالیتهای پاسخدهی و گردش کار خود را مشخص کنند.
- ممکن ساختن شناسایی و تعدیل تهدیدها در اوایل Kill chain سایبری. برای مثال با استفاده از مانیتورینگ DNS و ایمیل.