شناسایی و پاسخ مدیریت‌شده (MDR) چیست؟

شناسایی و پاسخ مدیریت‌شده (MDR) یک سرویس امنیت سایبری است که تکنولوژی و تخصص انسانی را با هم ترکیب می‌کند تا هوش تهدید، مانیتورینگ و پاسخ انجام شوند. مزیت اصلی سرویس MDR این است که بدون نیاز به استخدام کارمندان جدید، کمک می‌کند که تهدیدات به‌ سرعت شناسایی و محدود شود.

چالش‌های کسب‌و‌کارها برای استفاده از سرویس شناسایی و پاسخ مدیریت‌شده

چالش اول: کارمندان/منابع

سازمان‌هایی که قبلاً درگیر استخدام کارمندان برای تیم‌های امنیتی خود بودند، اکنون که برای پاسخ به چشم‌انداز رو به تکامل تهدیدات، تکنولوژی‌های امنیتی نوآورانه‌ای را اتخاذ می‌کنند، با چالش‌های بزرگ‌تری مواجه‌ شده‌اند.

امروز، اکثر سازمان‌ها دارای ابزارهای امنیتی‌ای هستند که زمان کافی برای مدیریت آن‌ها ندارند. اگر آن‌ها زمان و منابع کافی برای پیاده‌سازی و بهینه‌سازی راهکارهای خود در مقابل تهدیدات پیچیده نداشته باشند، سرمایه‌گذاری آن‌ها در ابزار پیشرو می‌تواند به جای کمک، به آن‌ها ضرر برساند.

چالش دوم: خستگی از هشدارهای متعدد

یکی دیگر از چالش‌ها مدیریت تعداد هشدارها از تکنولوژی‌های امنیتی جدید است. این مشکل تازه‌ای نیست، اما با تکثیر Endpointها به شکل‌های IoT، کارمندان از راه دور، شرکای زنجیره‌ی تأمین متصل و شبکه‌های Hybrid، این مشکل رو به وخامت رفته است.

مشخص کردن اینکه چطور باید به هر هشدار پاسخ دهیم به نیروی انسانی و تخصص بیشتری از آنچه معمولاً درون شرکت وجود دارد، نیاز است و وقتی که تهدید بزرگی وجود داشته باشد، سازمان‌ باید مهارت‌های لازم را برای اصلاح آن و بازگردانی Endpoint به وضعیت ایمن پیدا کند و به‌سرعت، قبل از اینکه نفوذ به یک نقض امنیتی بزرگ تبدیل شود این کار را بکند.

سرویس شناسایی و پاسخ مدیریت‌شده یا MDRها  برای پر کردن همین شکاف‌ها ساخته شده‌اند. سازمان‌ها می‌توانند به‌سرعت یک راهکار MDR را برقرار کنند که از راه دور به یک شبکه دسترسی پیدا می‌کند تا پوششی ۲۴ ساعته و دسترسی به تخصص لازم را ارائه دهد؛ تخصصی که پیدا کردن کارمندان مستقل برای آن بسیار دشوار خواهد بود. این متخصصان همواره آماده‌به‌خدمت هستند، پس می‌توانند به‌سرعت براساس دانش خود از تمام جوانب امنیت Endpoint، کارهایی از شناسایی گرفته تا بازگردانی Endpoint به وضعیتی مناسب و پیشگیری از نقض امنیتی بیشتر را انجام دهند.

نحوه‌ی کار سرویس شناسایی و پاسخ مدیریت‌شده

سرویس شناسایی و پاسخ مدیریت‌شده از راه دور تهدیدات را مانیتور و شناسایی می‌کند و به تهدیدات شناسایی‌شده در سازمان‌ پاسخ می‌دهد. یک ابزار شناسایی و پاسخ Endpoint معمولاً قابلیت دید ضروری به رویدادهای امنیتی روی Endpoint را فراهم می‌کند.

هوش تهدیدات مرتبط، تجزیه‌و‌تحلیل پیشرفته و داده‌های فارنزیک به تحلیلگران انسانی منتقل می‌شوند که روی هشدارها تریاژ انجام می‌دهند و پاسخ مناسب را برای کاهش تأثیرگذاری و ریسک حوادث مشخص می‌کنند. در نهایت، با ترکیب قابلیت‌های انسانی و ماشین، تهدید از بین می‌رود و Endpoint تحت تأثیر، به وضعیت پیش از آلودگی برمی‌گردد.

قابلیت‌های اصلی سرویس شناسایی و پاسخ مدیریت‌شده

۱. اولویت‌بندی

اولویت‌بندی مدیریت‌شده به سازمان‌هایی که روزانه درگیر بررسی هشدارهای متعدد خود هستند برای تصمیم‌گیری در خصوص اولویت بندی پاسخ به هشدارها کمک می‌کند. اولویت‌بندی مدیریت‌شده که معمولاً تحت عنوان «Managed EDR» شناخته می‌شود قواعد خودکار و بررسی انسانی را اعمال می‌کند تا رویدادهای بی‌خطر و مثبت‌های کاذب از تهدیدات واقعی جدا شوند. نتایج با داده‌های بیشتری غنی شده و به جریانی از هشدارهای باکیفیت تقطیر می‌شوند.

۲. شکار تهدیدات

پشت هر تهدید انسانی قرار دارد که فکر می‌کند چطور می‌تواند از گرفتار شدن توسط اقدامات متقابل هدف خود اجتناب کند. ماشین‌ها بسیار هوشمند هستند اما باهوش نیستند؛ بنابراین به یک ذهن انسانی نیاز است تا عنصری را اضافه کند که هیچ سیستم شناسایی خودکاری توانایی آن را ندارد. شکارچیان تهدید انسانی با مهارت و تخصص بالا مخفی‌ترین و فرارترین تهدیدات را شناسایی کرده و درموردشان هشدار می‌دهند تا مشخص شود که چه چیزی از دید خطوط دفاعی خودکارسازی‌شده مخفی مانده است.

۳. تحقیق و بررسی

خدمات بررسی مدیریت‌شده با غنی‌سازی هشدارهای امنیتی با داده‌های بیشتر به سازمان‌ها کمک می‌کند سریع‌تر تهدیدات را شناسایی کنند. سازمان‌ها می‌توانند درک کامل‌تری از اتفاقات، زمان اتفاقات، افراد تحت تأثیر و میزان پیشروی مهاجم داشته باشند. با این اطلاعات می‌توانند برای یک پاسخ کارآمد برنامه‌ریزی کنند.

۴. پاسخ هدایت‌شده

پاسخ هدایت‌شده توصیه‌هایی کاربردی را در مورد بهترین راه برای کنترل و اصلاح یک تهدید به‌خصوص ارائه می‌دهد. به سازمان‌ها در مورد فعالیت‌هایی ساده مثل اینکه آیا باید یک سیستم را از شبکه جدا کنند یا نه و همچنین فعالیت‌های پیچیده مثل نحوه‌ی حذف یک تهدید یا بازیابی از یک حمله به‌صورت قدم‌به‌قدم توصیه‌هایی ارائه می‌شود.

۵. اصلاح

در هر حادثه‌ای، آخرین قدم بازیابی است. اگر این قدم به درستی اجرا نشود، کل سرمایه‌گذاری سازمان‌ در برنامه‌ی حفاظت از Endpoint به هدر می‌رود. اصلاح مدیریت‌شده با حذف بدافزار، پاک‌سازی رجیستری، بیرون راندن مهاجمین و حذف مکانیزم‌های مقاومتی آن‌ها، سیستم‌ها را به وضعیت قبل از حمله باز می‌گرداند. اصلاح مدیریت‌شده اطمینان حاصل می‌کند که شبکه به وضعیت خوبی بازگردد و از نقض امنیتی بیشتر پیشگیری شود.

مزایای شناسایی و پاسخ مدیریت‌شده (MDR)

سازمان‌هایی که از راهکار MDR استفاده می‌کنند می‌توانند فورا زمان شناسایی خود (و در نتیجه زمان پاسخگویی خود) را از ۲۸۰ روز به چند دقیقه کاهش دهند و اینگونه تأثیرگذاری یک رویداد به‌شدت کاهش پیدا می‌کند.

اما کاهش زمان شناسایی از چندین ماه به چند دقیقه، تنها مزیت سرویس شناسایی و پاسخ مدیریت‌شده نیست. سازمان‌ها همچنین می‌توانند:

• وضعیت امنیتی را بهبود بخشند و با بهینه‌سازی پیکربندی امنیتی و حذف سیستم‌های سرکش، نسبت به حملات احتمالی مقاومت بیشتری بدست آورند.
• تهدیدات پیچیده و مخفی را از طریق شکار تهدید مدیریت‌شده‌ی مداوم شناسایی و متوقف کنند.
• با کارآمدی بیشتری به تهدیدات پاسخ دهند و از طریق یک پاسخ هدایت‌شده و اصلاح مدیریت‌شده، Endpointها را به وضعیت خوبی بازگردانند.
• راهنمایی کارمندان برای تغییر مسیر از پاسخ به حادثه‌ی واکنشی و تکراری به سمت پروژه‌های استراتژیک‌تر.

تفاوت بین خدمات MDR و دیگر راهکارهای حفاظت از Endpoint چیست؟

شناسایی و پاسخ مدیریت‌شده (MDR) یا شناسایی و پاسخ‌دهی تهدیدات نقاط پایانی (EDR)

شناسایی و پاسخ‌دهی تهدیدات Endpoint یا EDR بخشی از مجموعه ابزار مورداستفاده‌ی ارائه‌دهندگان MDR است. EDR رفتارها را روی Endpointها ثبت و ذخیره می‌کند و آن‌ها را به سیستم‌های پاسخ و تجزیه‌و‌تحلیل مبتنی بر قواعد ارائه می‌دهد. وقتی که ناهنجاری شناسایی شود، برای بررسی انسانی به تیم امنیتی فرستاده می‌شود. EDR به تیم‌های امنیت قابلیت دیدن موارد بیشتری از نشانه‌های تهدیدات امنیتی (IOCها) یا Signatureها را می‌دهد تا درک بهتری از اتفاقات در شبکه پیدا کنند.

در طول زمان، ارائه‌های EDR پیچیده‌تر شده‌اند و تکنولوژی‌هایی مثل یادگیری ماشین و تجزیه‌و‌تحلیل رفتاری و همچنین قابلیت یکپارچه‌سازی با ابزار پیچیده دیگر را ارائه می‌دهند. بسیاری از تیم‌های داخلی دارای منابع و زمان لازم برای استفاده‌ی کامل از سیستم‌های EDR خود نیستند و همین امر می‌تواند موجب شود سازمان‌ نسبت به قبل از خرید راهکار EDR ایمنی کمتری داشته باشد.

MDR با معرفی تخصص انسانی، فرایندهای بالغ و هوش تهدید این مشکل را برطرف می‌کند. MDR برای این طراحی شده است که به سازمان‌ها کمک کند حفاظت از Endpoint را در سطح سازمانی بدست آورند، بدون اینکه هزینه‌ی کارمندان امنیتی یا مرکز عملیات امنیت (SOC) را متحمل شوند.

MDR یا MSSP

مرکز عملیات امنیت مدیریت‌شده یا MSSPها نسل قبل MDR هستند. MSSPها معمولاً مانیتورینگ گسترده‌ای را برای رویدادها فراهم کرده و همراه با گستره‌ای از خدمات دیگر مثل مدیریت تکنولوژی، ارتقاها، تطبیق‌پذیری و مدیریت آسیب‌پذیری، هشدارهای تأییدشده را به ابزار دیگر یا به تیم امنیتی می‌فرستند اما معمولاً فعالانه به تهدیدات پاسخ نمی‌دهند. مشتری مسئول انجام آن فعالیت‌ها است که می‌تواند نیازمند تخصص ویژه‌ای باشد که معمولاً به‌صورت داخلی در شرکت وجود ندارد. در نتیجه، مشتریان MSSP همچنین باید از مشاوران یا Vendorهای دیگری برای انجام اصلاح و رفع مشکل استفاده کنند.

خدمات شناسایی و پاسخ مدیریت‌شده تمرکز دقیقی روی شناسایی و پاسخ سریع به تهدیدات نوظهور دارند. به‌علاوه، MDR قابلیت‌های کاهش خطر و اصلاح را فراهم می‌کند و می‌تواند با حداقل سرمایه‌گذاری تأثیرگذاری سریعی داشته باشد.

MDR یا SIEM مدیریت‌شده

مدیریت وقایع و امنیت اطلاعات یا SIEM یک دسته‌ی کلی از تکنولوژی است. همه‌ی SEIMها با تجمیع داده از چندین منبع شبکه و دستگاه‌های امنیتی دیگر شروع به کار می‌کنند و سپس آن داده را تجزیه‌وتحلیل می‌کنند تا ناهنجاری‌هایی را که ممکن است نشانگر فعالیت مخرب باشند پیدا کنند. اما بعد از این مرحله، قابلیت SIEMها با هم متفاوت است. برخی از آن‌ها راهکارهایی محدود به تکنولوژی هستند، درحالی‌که بعضی دیگر، بیشتر شبیه به خدمات پردازش رویداد و هشداردهی هستند.

یکی از ویژگی‌های مشترک تمام SIEMها این است که گزارش مشتری آن‌ها در حل مشکلاتِ مشخص شده از داده‌های SIEM با چالش مواجه می‌شود، زیرا در درک نتایج به مشکل برمی‌خورند. تقریباً ۴۵ درصد از کاربران SIEM می‌گویند که تخصص لازم را برای استفاده‌ی کامل از راهکار SIEM ندارند. SIEMها می‌توانند گران قیمت باشند و استفاده‌ی زیادی از منابع ببرند. اما MDRها تأثیر اندکی روی شبکه دارند و مشکل را با سرعت زیادی حل می‌کنند.

چگونه یک سرویس شناسایی و پاسخ مدیریت‌شده انتخاب کنیم؟

راهکارهای MDR شامل انواع مختلفی از خدمات هستند، پس حتماً باید قبل از شروع تحقیق در مورد آنها که قرار است سرمایه‌گذاری امنیتی سازمان را تکمیل کند، در مورد قابلیت‌های سازمان‌ خود آگاهی کافی داشته باشیم. در ادامه پنج سؤال اساسی مطرح می‌شود که باید در ابتدای مسیر از ارائه‌دهنده‌ی شناسایی و پاسخ مدیریت‌شده بپرسیم:

سؤال ۱: تحلیلگرانی که در MDR کار می‌کنند چه تخصص‌هایی دارند؟

بدون اینکه لازم باشد کارمندان بیشتری در شرکت استخدام شوند، راهکار انتخابی باید مهارت‌ها و بلوغ جدیدی را معرفی کند. باید به دنبال ارائه‌دهنده‌ای باشیم که حاضر باشد دانش خود را منتقل کند.

سؤال ۲: آیا سرویس MDR در زمان لازم برای کارآمدی، به داده‌ها و سیستم‌های مورد نیاز دسترسی دارد؟

کارآمدی سرویس شناسایی و پاسخ مدیریت‌شده تا حد زیادی به دسترسی این راهکار و به وسعت و عمق داده‌های لازم برای انجام کار بستگی دارد و باید این داده‌ها را به‌صورت Real-Time داشته باشد. یک راهکار Cloud-Native به‌احتمال‌زیاد بهترین دسترسی به داده را داشته باشد.

سؤال ۳: تیم MDR چگونه از آخرین تهدیداتی که سازمان‌ها را هدف قرار می‌دهند با خبر می‌شود؟

تحلیلگران امنیتی فقط به توانایی‌های مربوط به تکنولوژی‌ مهاجمین توجه نمی‌کنند. آن‌ها فاکتورهای فرهنگی، ژئوپلیتیک و زبانی را بررسی می‌کنند تا درک کاملی از تکنیک‌ها، تاکتیک‌‌ها و فرایندهای کنونی مورد استفاده‌ی کسب‌و‌کارها بدست آورند. سازمان‌های اندکی هستند که این مهارت‌ها را دارند، پس باید یک MDR را انتخاب کنید که دارای این مهارت‌ها باشد.

سؤال ۴: ارائه‌دهنده‌ی MDR چگونه با تیم ارتباط برقرار می‌کند؟

زمانی می‌رسد که تیم MDR باید جریان کاری را به تیم شرکت تحویل دهد. این اتفاق باید از طریق یک Hub ارتباطی مرکزی مثل یک کنسول واحد رخ دهد تا اطمینان حاصل گردد که هیچ نقطه‌ی اصطکاکی وجود ندارد یا نیازی به یادگیری سیستم‌های جدید نیست. تحویل دادن کار باید بدون کاهش سرعت پاسخ تیم انجام گیرد.

سؤال ۵: آیا سرویس ۲۴ ساعته است؟

اکثریت سازمان‌ها از کارمندان امنیتی خود نمی‌خواهند که شبانه‌روزی کار کنند. پوشش MDR باید به‌طور شبانه‌روزی باشد، زیرا وقتی که شهروندان قانون‌مند خواب هستند، مهاجمین به‌سختی مشغول کارند.