شناسایی و پاسخ مدیریتشده (MDR) یک سرویس امنیت سایبری است که تکنولوژی و تخصص انسانی را با هم ترکیب میکند تا هوش تهدید، مانیتورینگ و پاسخ انجام شوند. مزیت اصلی سرویس MDR این است که بدون نیاز به استخدام کارمندان جدید، کمک میکند که تهدیدات به سرعت شناسایی و محدود شود.
چالشهای کسبوکارها برای استفاده از سرویس شناسایی و پاسخ مدیریتشده
چالش اول: کارمندان/منابع
سازمانهایی که قبلاً درگیر استخدام کارمندان برای تیمهای امنیتی خود بودند، اکنون که برای پاسخ به چشمانداز رو به تکامل تهدیدات، تکنولوژیهای امنیتی نوآورانهای را اتخاذ میکنند، با چالشهای بزرگتری مواجه شدهاند.
امروز، اکثر سازمانها دارای ابزارهای امنیتیای هستند که زمان کافی برای مدیریت آنها ندارند. اگر آنها زمان و منابع کافی برای پیادهسازی و بهینهسازی راهکارهای خود در مقابل تهدیدات پیچیده نداشته باشند، سرمایهگذاری آنها در ابزار پیشرو میتواند به جای کمک، به آنها ضرر برساند.
چالش دوم: خستگی از هشدارهای متعدد
یکی دیگر از چالشها مدیریت تعداد هشدارها از تکنولوژیهای امنیتی جدید است. این مشکل تازهای نیست، اما با تکثیر Endpointها به شکلهای IoT، کارمندان از راه دور، شرکای زنجیرهی تأمین متصل و شبکههای Hybrid، این مشکل رو به وخامت رفته است.
مشخص کردن اینکه چطور باید به هر هشدار پاسخ دهیم به نیروی انسانی و تخصص بیشتری از آنچه معمولاً درون شرکت وجود دارد، نیاز است و وقتی که تهدید بزرگی وجود داشته باشد، سازمان باید مهارتهای لازم را برای اصلاح آن و بازگردانی Endpoint به وضعیت ایمن پیدا کند و بهسرعت، قبل از اینکه نفوذ به یک نقض امنیتی بزرگ تبدیل شود این کار را بکند.
سرویس شناسایی و پاسخ مدیریتشده یا MDRها برای پر کردن همین شکافها ساخته شدهاند. سازمانها میتوانند بهسرعت یک راهکار MDR را برقرار کنند که از راه دور به یک شبکه دسترسی پیدا میکند تا پوششی ۲۴ ساعته و دسترسی به تخصص لازم را ارائه دهد؛ تخصصی که پیدا کردن کارمندان مستقل برای آن بسیار دشوار خواهد بود. این متخصصان همواره آمادهبهخدمت هستند، پس میتوانند بهسرعت براساس دانش خود از تمام جوانب امنیت Endpoint، کارهایی از شناسایی گرفته تا بازگردانی Endpoint به وضعیتی مناسب و پیشگیری از نقض امنیتی بیشتر را انجام دهند.
نحوهی کار سرویس شناسایی و پاسخ مدیریتشده
سرویس شناسایی و پاسخ مدیریتشده از راه دور تهدیدات را مانیتور و شناسایی میکند و به تهدیدات شناساییشده در سازمان پاسخ میدهد. یک ابزار شناسایی و پاسخ Endpoint معمولاً قابلیت دید ضروری به رویدادهای امنیتی روی Endpoint را فراهم میکند.
هوش تهدیدات مرتبط، تجزیهوتحلیل پیشرفته و دادههای فارنزیک به تحلیلگران انسانی منتقل میشوند که روی هشدارها تریاژ انجام میدهند و پاسخ مناسب را برای کاهش تأثیرگذاری و ریسک حوادث مشخص میکنند. در نهایت، با ترکیب قابلیتهای انسانی و ماشین، تهدید از بین میرود و Endpoint تحت تأثیر، به وضعیت پیش از آلودگی برمیگردد.
قابلیتهای اصلی سرویس شناسایی و پاسخ مدیریتشده
۱. اولویتبندی
اولویتبندی مدیریتشده به سازمانهایی که روزانه درگیر بررسی هشدارهای متعدد خود هستند برای تصمیمگیری در خصوص اولویت بندی پاسخ به هشدارها کمک میکند. اولویتبندی مدیریتشده که معمولاً تحت عنوان «Managed EDR» شناخته میشود قواعد خودکار و بررسی انسانی را اعمال میکند تا رویدادهای بیخطر و مثبتهای کاذب از تهدیدات واقعی جدا شوند. نتایج با دادههای بیشتری غنی شده و به جریانی از هشدارهای باکیفیت تقطیر میشوند.
۲. شکار تهدیدات
پشت هر تهدید انسانی قرار دارد که فکر میکند چطور میتواند از گرفتار شدن توسط اقدامات متقابل هدف خود اجتناب کند. ماشینها بسیار هوشمند هستند اما باهوش نیستند؛ بنابراین به یک ذهن انسانی نیاز است تا عنصری را اضافه کند که هیچ سیستم شناسایی خودکاری توانایی آن را ندارد. شکارچیان تهدید انسانی با مهارت و تخصص بالا مخفیترین و فرارترین تهدیدات را شناسایی کرده و درموردشان هشدار میدهند تا مشخص شود که چه چیزی از دید خطوط دفاعی خودکارسازیشده مخفی مانده است.
۳. تحقیق و بررسی
خدمات بررسی مدیریتشده با غنیسازی هشدارهای امنیتی با دادههای بیشتر به سازمانها کمک میکند سریعتر تهدیدات را شناسایی کنند. سازمانها میتوانند درک کاملتری از اتفاقات، زمان اتفاقات، افراد تحت تأثیر و میزان پیشروی مهاجم داشته باشند. با این اطلاعات میتوانند برای یک پاسخ کارآمد برنامهریزی کنند.
۴. پاسخ هدایتشده
پاسخ هدایتشده توصیههایی کاربردی را در مورد بهترین راه برای کنترل و اصلاح یک تهدید بهخصوص ارائه میدهد. به سازمانها در مورد فعالیتهایی ساده مثل اینکه آیا باید یک سیستم را از شبکه جدا کنند یا نه و همچنین فعالیتهای پیچیده مثل نحوهی حذف یک تهدید یا بازیابی از یک حمله بهصورت قدمبهقدم توصیههایی ارائه میشود.
۵. اصلاح
در هر حادثهای، آخرین قدم بازیابی است. اگر این قدم به درستی اجرا نشود، کل سرمایهگذاری سازمان در برنامهی حفاظت از Endpoint به هدر میرود. اصلاح مدیریتشده با حذف بدافزار، پاکسازی رجیستری، بیرون راندن مهاجمین و حذف مکانیزمهای مقاومتی آنها، سیستمها را به وضعیت قبل از حمله باز میگرداند. اصلاح مدیریتشده اطمینان حاصل میکند که شبکه به وضعیت خوبی بازگردد و از نقض امنیتی بیشتر پیشگیری شود.
مزایای شناسایی و پاسخ مدیریتشده (MDR)
سازمانهایی که از راهکار MDR استفاده میکنند میتوانند فورا زمان شناسایی خود (و در نتیجه زمان پاسخگویی خود) را از ۲۸۰ روز به چند دقیقه کاهش دهند و اینگونه تأثیرگذاری یک رویداد بهشدت کاهش پیدا میکند.
اما کاهش زمان شناسایی از چندین ماه به چند دقیقه، تنها مزیت سرویس شناسایی و پاسخ مدیریتشده نیست. سازمانها همچنین میتوانند:
- وضعیت امنیتی را بهبود بخشند و با بهینهسازی پیکربندی امنیتی و حذف سیستمهای سرکش، نسبت به حملات احتمالی مقاومت بیشتری بدست آورند.
- تهدیدات پیچیده و مخفی را از طریق شکار تهدید مدیریتشدهی مداوم شناسایی و متوقف کنند.
- با کارآمدی بیشتری به تهدیدات پاسخ دهند و از طریق یک پاسخ هدایتشده و اصلاح مدیریتشده، Endpointها را به وضعیت خوبی بازگردانند.
- راهنمایی کارمندان برای تغییر مسیر از پاسخ به حادثهی واکنشی و تکراری به سمت پروژههای استراتژیکتر.
تفاوت بین خدمات MDR و دیگر راهکارهای حفاظت از Endpoint چیست؟
شناسایی و پاسخ مدیریتشده (MDR) یا شناسایی و پاسخدهی تهدیدات نقاط پایانی (EDR)
شناسایی و پاسخدهی تهدیدات Endpoint یا EDR بخشی از مجموعه ابزار مورداستفادهی ارائهدهندگان MDR است. EDR رفتارها را روی Endpointها ثبت و ذخیره میکند و آنها را به سیستمهای پاسخ و تجزیهوتحلیل مبتنی بر قواعد ارائه میدهد. وقتی که ناهنجاری شناسایی شود، برای بررسی انسانی به تیم امنیتی فرستاده میشود. EDR به تیمهای امنیت قابلیت دیدن موارد بیشتری از نشانههای تهدیدات امنیتی (IOCها) یا Signatureها را میدهد تا درک بهتری از اتفاقات در شبکه پیدا کنند.
در طول زمان، ارائههای EDR پیچیدهتر شدهاند و تکنولوژیهایی مثل یادگیری ماشین و تجزیهوتحلیل رفتاری و همچنین قابلیت یکپارچهسازی با ابزار پیچیده دیگر را ارائه میدهند. بسیاری از تیمهای داخلی دارای منابع و زمان لازم برای استفادهی کامل از سیستمهای EDR خود نیستند و همین امر میتواند موجب شود سازمان نسبت به قبل از خرید راهکار EDR ایمنی کمتری داشته باشد.
MDR با معرفی تخصص انسانی، فرایندهای بالغ و هوش تهدید این مشکل را برطرف میکند. MDR برای این طراحی شده است که به سازمانها کمک کند حفاظت از Endpoint را در سطح سازمانی بدست آورند، بدون اینکه هزینهی کارمندان امنیتی یا مرکز عملیات امنیت (SOC) را متحمل شوند.
MDR یا MSSP
مرکز عملیات امنیت مدیریتشده یا MSSPها نسل قبل MDR هستند. MSSPها معمولاً مانیتورینگ گستردهای را برای رویدادها فراهم کرده و همراه با گسترهای از خدمات دیگر مثل مدیریت تکنولوژی، ارتقاها، تطبیقپذیری و مدیریت آسیبپذیری، هشدارهای تأییدشده را به ابزار دیگر یا به تیم امنیتی میفرستند اما معمولاً فعالانه به تهدیدات پاسخ نمیدهند. مشتری مسئول انجام آن فعالیتها است که میتواند نیازمند تخصص ویژهای باشد که معمولاً بهصورت داخلی در شرکت وجود ندارد. در نتیجه، مشتریان MSSP همچنین باید از مشاوران یا Vendorهای دیگری برای انجام اصلاح و رفع مشکل استفاده کنند.
خدمات شناسایی و پاسخ مدیریتشده تمرکز دقیقی روی شناسایی و پاسخ سریع به تهدیدات نوظهور دارند. بهعلاوه، MDR قابلیتهای کاهش خطر و اصلاح را فراهم میکند و میتواند با حداقل سرمایهگذاری تأثیرگذاری سریعی داشته باشد.
MDR یا SIEM مدیریتشده
مدیریت وقایع و امنیت اطلاعات یا SIEM یک دستهی کلی از تکنولوژی است. همهی SEIMها با تجمیع داده از چندین منبع شبکه و دستگاههای امنیتی دیگر شروع به کار میکنند و سپس آن داده را تجزیهوتحلیل میکنند تا ناهنجاریهایی را که ممکن است نشانگر فعالیت مخرب باشند پیدا کنند. اما بعد از این مرحله، قابلیت SIEMها با هم متفاوت است. برخی از آنها راهکارهایی محدود به تکنولوژی هستند، درحالیکه بعضی دیگر، بیشتر شبیه به خدمات پردازش رویداد و هشداردهی هستند.
یکی از ویژگیهای مشترک تمام SIEMها این است که گزارش مشتری آنها در حل مشکلاتِ مشخص شده از دادههای SIEM با چالش مواجه میشود، زیرا در درک نتایج به مشکل برمیخورند. تقریباً ۴۵ درصد از کاربران SIEM میگویند که تخصص لازم را برای استفادهی کامل از راهکار SIEM ندارند. SIEMها میتوانند گران قیمت باشند و استفادهی زیادی از منابع ببرند. اما MDRها تأثیر اندکی روی شبکه دارند و مشکل را با سرعت زیادی حل میکنند.
چگونه یک سرویس شناسایی و پاسخ مدیریتشده انتخاب کنیم؟
راهکارهای MDR شامل انواع مختلفی از خدمات هستند، پس حتماً باید قبل از شروع تحقیق در مورد آنها که قرار است سرمایهگذاری امنیتی سازمان را تکمیل کند، در مورد قابلیتهای سازمان خود آگاهی کافی داشته باشیم. در ادامه پنج سؤال اساسی مطرح میشود که باید در ابتدای مسیر از ارائهدهندهی شناسایی و پاسخ مدیریتشده بپرسیم:
سؤال ۱: تحلیلگرانی که در MDR کار میکنند چه تخصصهایی دارند؟
بدون اینکه لازم باشد کارمندان بیشتری در شرکت استخدام شوند، راهکار انتخابی باید مهارتها و بلوغ جدیدی را معرفی کند. باید به دنبال ارائهدهندهای باشیم که حاضر باشد دانش خود را منتقل کند.
سؤال ۲: آیا سرویس MDR در زمان لازم برای کارآمدی، به دادهها و سیستمهای مورد نیاز دسترسی دارد؟
کارآمدی سرویس شناسایی و پاسخ مدیریتشده تا حد زیادی به دسترسی این راهکار و به وسعت و عمق دادههای لازم برای انجام کار بستگی دارد و باید این دادهها را بهصورت Real-Time داشته باشد. یک راهکار Cloud-Native بهاحتمالزیاد بهترین دسترسی به داده را داشته باشد.
سؤال ۳: تیم MDR چگونه از آخرین تهدیداتی که سازمانها را هدف قرار میدهند با خبر میشود؟
تحلیلگران امنیتی فقط به تواناییهای مربوط به تکنولوژی مهاجمین توجه نمیکنند. آنها فاکتورهای فرهنگی، ژئوپلیتیک و زبانی را بررسی میکنند تا درک کاملی از تکنیکها، تاکتیکها و فرایندهای کنونی مورد استفادهی کسبوکارها بدست آورند. سازمانهای اندکی هستند که این مهارتها را دارند، پس باید یک MDR را انتخاب کنید که دارای این مهارتها باشد.
سؤال ۴: ارائهدهندهی MDR چگونه با تیم ارتباط برقرار میکند؟
زمانی میرسد که تیم MDR باید جریان کاری را به تیم شرکت تحویل دهد. این اتفاق باید از طریق یک Hub ارتباطی مرکزی مثل یک کنسول واحد رخ دهد تا اطمینان حاصل گردد که هیچ نقطهی اصطکاکی وجود ندارد یا نیازی به یادگیری سیستمهای جدید نیست. تحویل دادن کار باید بدون کاهش سرعت پاسخ تیم انجام گیرد.
سؤال ۵: آیا سرویس ۲۴ ساعته است؟
اکثریت سازمانها از کارمندان امنیتی خود نمیخواهند که شبانهروزی کار کنند. پوشش MDR باید بهطور شبانهروزی باشد، زیرا وقتی که شهروندان قانونمند خواب هستند، مهاجمین بهسختی مشغول کارند.