قابلیت‌های مهم در یک سرویس MDR یا شناسایی و پاسخ مدیریت‌شده ‎

“محصولات چند نقطه‌ای”[۱] و استراتژی‌های دفاع در عمق برای محفاظت از شرکت‌های در حال فعالیت در فضای سایبری امروزی، ناکافی است. سازمان‌های IT برای جلوگیری از تهدیدهای مداوم پیشرفته، که قادر به عبور از کنترل‌های بازدارنده هستند، نیازمند جدیدترین راه‌کارهای تشخیص و پاسخ‌گویی یعنی، یا یک مرکز عملیات امنیت (SOC) کاملاً مجهز و داخلی با مجموعه‌ای از متخصصان امنیت یا یک سرویس تشخیص و پاسخ‌گویی مدیریت شده که به اختصار سرویس MDR خوانده می‌شود، هستند. برای سازمان­هایی با منابع IT محدود، گزینه دوم یعنی سرویس تشخیص و پاسخ‌گویی مدیریت شده گزینه مناسب‌تری است.

نکات کلیدی برای انتخاب یک سرویس MDR

تیم امنیت اختصاصی

تکیه بر یک راهکار MDR برای شناسایی تهدیدهایی که سیستم با آن مواجه است، نیازمند یک تیم امنیت، به عنوان تنها طرف حساب است. در این صورت، در هر بار وقوع مشکلات به افرادی آشنا و ثابت مراجعه می‌شود، که از عملیات‌های سازمان و نیازهای کسب‌وکار آن مطلع هستند.

کار کردن با یک تیم امنیت اختصاصی مزایای زیادی دارد. درک تیم امنیت از زیرساخت شبکه و مخاطرات کسب‌وکار، یکی از این مزایا است. این مساله تیم امنیت را در موقعیتی منحصربه‌فرد برای ارائه پیشنهادات آگاهانه متناسب با محیط سازمان قرار داده، و با توجه به این مهم، این تیم به توسیعی از تیم داخلی سازمان و یک مشاور قابل اعتماد تبدیل می‌شود.

نظارت پیوسته بر شبکه

یکی از پیش‌نیازهای تشخیص فعالیت‌های مخرب در شبکه، نظارت پیوسته بر آن است. تحت نظر گرفتن شبکه تنها در ساعات کاری، امکان تشخیص فعالیت‌های غیرعادی و شناسایی تهدیدهایی که سیستم­ها در تمام طول شبانه‌روز با آن‌ها مواجه هستند، را فراهم نمی‌کند.

دستورات امنیتی قابل شخصی‌سازی

ارائه‌دهندگان سرویس MDR یا شناسایی و پاسخ مدیریت‌شده نسل جدید از یک موتور قواعد قابل شخصی‌سازی برای تعریف سیاست‌های امنیتی متناظر با هر مشتری استفاده می‌کنند. این موتور، امکان اعمال و به‌روزرسانی سیاست‌های عملیاتی و امنیتی سازمان (برای همسوسازی با نیازهای در حال تغییر کسب‌وکار) را در اختیار مهندسان امنیت ارائه‌دهنده سرویس قرار می‌دهد.

به عنوان مثال، دستورات شخصی‌سازی شده می‌توانند رویدادهایی که در عمل فاقد خطر امنیتی هستند را جداسازی کرده، یا به شناسایی تهدیدهای شناخته شده و ناشناخته کمک کنند. یک موتور دستورات قابل شخصی‌سازی از این طریق به ارائه‌دهنده SOC-as- a- service به عنوان یک خدمت در راستای بهبود کارایی و دقت در شناسایی تهدیدها در محیط کمک می‌کند.

یادگیری ماشین تقویت شده توسط انسان

تحلیل مقادیر انبوه داده‌های Log به دست آمده حتی از کوچک‌ترین محیط‌های IT نیز برای کاربران انسانی ناممکن است. تنها راه مفید و موثر برای تجزیه و تحلیل مقادیر زیاد از داده­های Log، استفاده از یادگیری ماشین است.

یادگیری ماشین به­منظور شناسایی تهدیدهای شناخته شده بسیار عالی عمل می‌کند، اما دسته‌بندی صحیح داده‌های تهدید جدید معمولاً نیازمند تخصص انسانی است. یک ارائه‌دهنده MDR نسل بعدی از تخصص انسانی برای جداسازی موارد مثبت کاذب و اصلاح مناسب الگوریتم‌ها با توجه به تهدیدهای جدید شناسایی شده، استفاده می‌کند.

نظارت بر محیط ابری

چه در صورت از قبل پذیرفتن خدمات ابری به طور کامل و چه در غیر این صورت، محیط‌های IT مدرن نیازمند یک راه‌کار MDR تجمیع‌شده با نظارت ابری هستند. در این صورت، می‌توان مطمئن بود که تمام محیط تحت پوشش قرار داشته و هیچ نقطه‌ای از دید پنهان نیست. در این راستا، باید به دنبال یک ارائه‌دهنده سرویس بود که قادر به نظارت بر برنامه‌های IaaS و SaaS و راه‌کار­های امنیت به عنوان یک خدمت باشد. سنسورهای مجازی از APIها برای ارائه نظارت تقریباً بلادرنگ بر منابع ابری و رفتار کاربر، و با هدف اطمینان از تطابق آن‌ها با سیاست‌های امنیتی و فاقد تهدید بودن، استفاده می‌کنند.

گزارش انطباق‌پذیری

انطباق‌پذیری مناسب با مراجع نظارتی به طور معمول نتیجه به‌کارگیری اقدامات امنیتی مناسب است. ارائه‌دهندگان سرویس MDR باید به برآورده کردن تعهدات انطباق‌پذیری و نشان دادن این عملکرد کمک کنند.

اسکن آسیب‌پذیری

انجام منظم اسکن آسیب‌پذیری، دارایی‌هایی که در معرض خطر قرار دارند را شناسایی کرده و به بهبود وضع امنیتی کمک می‌کند. ارائه‌دهندگان سرویس MDR باید نتایج اسکن را تجزیه و تحلیل کرده و از ترکیب جدیدترین یافته‌های هوش تهدید و درکی عمیق از دارایی‌های حیاتی سازمان برای تهیه یک لیست دقیق و اولویت‌بندی شده از آسیب‌پذیری‌های موجود استفاده کنند. در ادامه، آن‌ها می­توانند جهت محدودسازی میزان قرار گرفتن در معرض تهدیدهای شناخته شده و ناشناخته، پیشنهادها و توصیه‌های اصلاحی را با توجه به مخاطرات ارائه کنند.

یکپارچه‌سازی جریان کاری

یکپارچه‌سازی جریان کاری، یک امر حیاتی برای اطمینان از اولویت‌بندی هشدارها و ارجاع مناسب آن‌ها به منظور اصلاح به موقع است. ارائه‌دهندگان سرویس MDR یا شناسایی و پاسخ مدیریت‌شده باید از ابزارهای یکپارچه‌سازی جریان کاری “در محل”[۲] جهت بهینه‌سازی کارایی عملیاتی عمل دشوار Ticketing استفاده کنند. در نظر گرفتن کارکنان IT سازمان در فرایند یکپارچه‌سازی جریان کاری به اطمینان از انتقال یکنواخت موارد اصلاحی از یک موجودیت به موجودیت دیگر کمک می‌کند.

جمع‌آوری / همبسته‌سازی داده‌های Log

باید به دنبال یک راهکار MDR بود که مدیریت Log جامع را فراهم کرده و شامل جمع‌آوری، انبوه‌سازی و نگه‌داری و حفاظت خودکار از داده‌های Log باشد. مهندسین MDR می‌توانند برای استخراج اطلاعات مفید برای مشتریان به انجام پرسمان بر روی مجموعه داده بپردازند.

معماری داده مقیاس‌پذیر

یافتن یک ارائه‌دهنده سرویس شناسایی و پاسخ مدیریت‌شده که یک معماری داده بهینه شده از نظر امنیتی را برای دریافت، تجزیه، و تحلیل داده‌های Log به کار گرفته و بتواند به صورت پویا منابع را در صورت نیاز مقیاس‌بندی، محاسبه و ذخیره کند، از اهمیت زیادی برخوردار است. چنین معماری‌هایی زمانی که به عنوان ابزاری برای علوم داده در زمینه امنیت سایبری استفاده می‌شوند، به عنوان پایه و اساس تجزیه و تحلیل‌هایی که توسط تحلیل‌گران امنیت برای به دست آوردن قابلیت مشاهده عمیق در تهدیدهای پیشرفته به کار می‌گیرند، عمل می‌کنند.

علاوه‌براین، معماری داده مقیاس‌پذیر، دسترسی به داده‌های مربوطه برای بررسی حوادث را به محض نیاز تأمین کرده و بدون زمان راه‌اندازی، سریعا عملیاتی می‌شود.

 منبع:

https://arcticwolf.com/resources/briefs-2/10-capabilities-to-look-for-in-an-mdr-solution-2

[۱] Multiple point products

[۲] Onsite

ایمیل خود را وارد کنید و عضو خبرنامه شوید.
ما را در تلگرام دنبال کنید
ما را در لینکدین دنبال کنید
Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.

در دنیای امنیت چه خبر؟
جهت دریافت آخرین اخبار دنیای امنیت شبکه و اطلاعات ایمیل خود را وارد کنید.