چرا سازمان‌ها به یک راهکار MDR نیاز دارند؟

راهکار MDR یا شناسایی و پاسخ مدیریت‌شده چیست؟

راهکار MDR یا  شناسایی و پاسخ‌ مدیریت‌شده به سازمان‌ها راهکارهای کاهش خطر و مانیتورینگ امنیتی عرضه می‌کنند. عرضه‌کنندگان سرویس MDR نقاط پایانی، شبکه‌ها و منابع IT گوناگون مشتریان خود را مانیتور می‌کنند تا رویدادهای امنیتی را شناسایی کنند. زمانی که تهدیدی شناسایی شود، عرضه‌کننده‌ی MDR آن را بررسی کرده و بدون پاسخ‌دهی مستقیم مشتری مسائل را حل می‌کند. سازمان‌ها از راهکار MDR برای محافظت از خود در برابر تهدیدهای مبتنی بر وب، بدون نیاز به حضور کارکنان امنیتی تمام وقت استفاده می‌کنند.

راهکار MDR هم نرم‌افزارهای پاسخ به رخداد و هم نرم‌افزارهای شناسایی و پاسخ‌ به نقاط پایانی (Endpoint) را شامل می‌شود و در قالب سرویسی مدیریت‌شده به این کارکردها رسیدگی می‌کند. خدمات MDR کار عملی کمتری از سازمان‌ها می‌طلبند و بدون نیاز به راهکارها و کارکنان امنیتی اضافه، اطمینان خاطر ایجاد می‌کنند.

اهمیت راهکار MDR در امنیت سایبری

چشم‌انداز تهدید امنیت سایبری مدام در حال تکامل یافتن است و تأثیر و تعدد تهدیدهایی مانند باج‌افزارها و بدافزارها هرساله افزایش می‌یابد. امروزه، سازمان‌های بزرگ و کوچک باید پیش از وقوع، به‌دنبال تهدیدهای نوظهور باشند و خطرهای امنیتی را مانیتور کنند تا از عملیات کسب و کار و مصرف‌کنندگان خود محافظت کنند. مسلماً برای رسیدن به این هدف باید بتوانند پس از شناسایی هدف، به سرعت پاسخ دهند.

در چنین چشم‌انداز تهدید پیچیده‌ای، سازمان‌ها برای یافتن پرسنل امنیت سایبری کافی جهت تأمین نیروی تیم‌های خود به مشکل برمی‌خورند. در سرتاسر جهان، کمبود کارکنان امنیت سایبری معادل حدود ۴ میلیون نفر است. راهکار MDR به سازمان‌ها این امکان را می‌دهد که باوجود کمبود نیروی ماهر، از شناسایی و پاسخ‌دهی آینده‌نگرانه به تهدیدات بهره‌مند شوند.

بسیاری از سازمان‌ها بر راهکارهایی همچون این موارد تکیه می‌کنند:

• مدیریت وقایع و امنیت اطلاعات (SIEM)
• شناسایی و پاسخ‌ توسعه‌یافته (XDR)

تکنولوژی‌هایی مانند SIEM و XDR می‌توانند داده‌های منابع مختلف را همبسته کنند و به شناسایی تهدیدها کمک کنند، اما برای بهره‌بری حداکثری از آن‌ها نیاز به تخصص مناسب دارید.

امنیت سایبری محدود به حفاظت از نقاط پایانی و به کار بستن فایروال حول یک سازمان نیست. امروزه سازمان‌ها باید فعالانه تهدیدها را مانیتور و جستجو کنند. به همین دلیل راهکار MDR یکی از حوزه‌های امنیت سایبری است که با بیشترین سرعت در حال پیشرفت و تکامل است. طبق براوردهای Gartner 50 درصد سازمان‌ها تا سال ۲۰۲۵ سرویس MDR را به خدمت خواهند گرفت.

راهکار MDR چه مشکلاتی را حل می‌کند؟

خدمات MDR بخشی اساسی از راهبرد تقویت امنیت اطلاعاتی سازمان هستند. این خدمات به شناسایی تهدید، تجزیه و تحلیل و مانیتورینگ مداوم منابع IT و پاسخ‌دهی به رخداد می‌پردازند.

خدمات MDR این اقدامات را انجام می‌دهند تا مسائلی که واحدهای IT معمولاً با آن‌ها مواجه می‌شوند را تعدیل کنند، این مسائل شامل موارد زیر هستند:

• تعداد زیاد هشدارها: MDRها می‌توانند به هشدارهای امنیت سایبری زیادی که لازم است تک تک بررسی شوند، رسیدگی کنند. این هشدارها می‌توانند تیم‌های امنیتی کوچک را تحت فشار قرار داده و باعث شوند آن‌ها از سایر وظایف خود دست بکشند.
• تجریه و تحلیل تهدید: هشدارها اغلب از ابتدا خود را به‌عنوان تهدید نمایان نمی‌کنند و باید کامل تجزیه و تحلیل شوند تا موقعیت‌شان مشخص شود. راهکار MDR جهت کمک به این امر، دسترسی به متخصصان امنیت و ابزارهای تحلیل پیشرفته ایجاد کرده و رویدادها را رمزگشایی کرده و پیشنهاداتی برای بهبود ارائه می‌کنند.
• کمبود مهارت: بر اساس گزارش Frost and Sullivan، تا سال ۲۰۲۲ کمبود نیروی کار امنیتی به ۱.۸ میلیون خواهد رسید. تیم‌های امنیتی درون سازمانی تحت فشار قرار گرفته و دچار خستگی و فرسودگی می‌شوند. راهکار MDR می‌توانند با ایجاد دسترسی به تیمی متخصص که معمولاً ۲۴ ساعت در روز و ۷ روز در هفته کار می‌کنند و شبکه را مانیتور کرده و برای ارائه‌ی مشاوره در دسترس هستند، به این امر کمک کنند.
• شناسایی و پاسخ‌دهی نقاط پایانی (EDR): سازمان ممکن است زمان، مهارت یا بودجه‌ی کافی برای تعلیم کارکنان، جهت استفاده از ابزارهای EDR نداشته باشد. راهکار MDR برای شناسایی، تجزیه و تحلیل و پاسخ‌ به تهدیدها دارای ابزارهای EDR هستند که نیاز به تیم امنیت نقاط پایانی داخل سازمانی را برطرف می‌سازد.
• مانند بسیاری از خدمات تکنولوژی دیگری که کارها را برون‌سپاری می‌کنند، راهکار MDR نیازمند این است که سازمان به منظور انعطاف و سهولت بیشتر، بخشی از کنترل را به دست این سرویس دهد. خدمات MDR بسته به نیازهای مشتری، در مقایسه با محصولات امنیت مدیریت‌شده مرسوم معایبی نیز دارند. با این حال به تناسب مسائل جاری و نوظهوری تنظیم شده‌اند که شرکت‌های IT تجربه می‌کنند و باعث می‌شود برای بسیاری از سازمان‌ها کارامد باشند.

راهکار MDR چه قابلیت‌هایی دارد؟

MDR چترواژه‌ای است که گستره‌ای از خدمات امنیتی را دربرمی‌گیرد. عرضه‌کنندگان راهکار MDR به سازمان‌ها این امکان را می‌دهند که بخشی از برنامه‌های امنیت سایبری خود را برون‌سپاری کنند و معمولاً خودکارسازی نرم‌افزاری را با تخصص انسانی ترکیب می‌کنند.

خدمات MDR دست کم باید این امکانات را فراهم کنند:

• شناسایی تهدید: هدف متخصصان امنیت شناسایی آینده‌نگرانه‌ی تهدیدها، پیش از ایجاد مشکل است. برخلاف تیم‌های پاسخ‌دهی به رخداد که باید با دریافتن دلیل بنیادی یک هشدار، آن را برای یک SIEM یا مرکز عملیات امنیتی تایید کنند، جستجوگران تهدید نشانه‌های حمله یا تهدید را پیش از پدیدار شدن هشدار در SOC شناسایی می‌کنند.
• هوش تهدید: داده‌های مربوط به تهدیدها گردآوری، تجزیه و تحلیل و توزیع می‌شوند تا به تیم‌ها در ایزوله‌سازی و پاسخ‌دهی به حمله‌ها پیش از آسیب یا بازیابی هرچه سریع‌تر کمک کنند.
• پاسخ‌دهی به تهدید: پس از اینکه تهدید شناسایی شد، باید اقداماتی جهت خنثی‌سازی آن انجام شود. پاسخ باید ترکیبی از مداخله‌ی خودکار و انسانی باشد. معمولاً کارهایی همچون Patching یا از میان برداشتن بدافزار خودکار انجام می‌شوند، اما امور پیچیده‌تر مانند ارزیابی جرم‌شناسی یک اندپوینت آسیب‌دیده نیازمند مداخله‌ی انسانی است.

معرفی و بررسی ۴ نوع راهکار MDR

عرضه‌کنندگان MDR ممکن است تکنولوژی‌های اختصاصی خود را داشته باشد. به طور کلی، پلتفرم تحویل به‌شکل مرکزی و Multitenant مدیریت می‌شود که به مشتریان کارکردهایی همچون مدیریت داده و Log، تنظیم و خودکارسازی، تجزیه و تحلیل و واسط کاربری (UI) ارائه می‌کند.

برخی عرضه‌کنندگان MDR ممکن است بتوانند از هر تکنولوژی امنیتی که مشتری از پیش تدارک دیده پشتیبانی کنند، اما اغلب آن‌ها سازگار با تکنولوژی (Technology-agnostic) نیستند. عرضه‌کنندگان این خدمات معمولاً مجموعه‌ای قطعی از شرکت‌های عرضه‌کننده و تکنولوژی‌ها ارائه می‌کنند که پشتیبانی می‌شوند و معمولاً به ادغام و کارایی بدون اشکال یک تکنولوژی (مثلاً توانایی بررسی انتقال داده از راه دور (Telemetry)، پشتیبانی از فعالیت‌های پاسخ به رخداد، و شناسایی تهدیدها) وابسته هستند.

پشته‌ی Bring-Your-Own Technology

برخی عرضه‌کنندگان راهکار MDR کارکردهای مرکز عملیات امنیت (SOC) مدرنی برای تکمیل تکنولوژی‌های موجود مشتری ارائه می‌کنند. با این حال، این عرضه‌کنندگان هشدار می‌دهند که سازگار با منبع داده (Data-source-agnostic) نیستند و اجرای آماده‌به‌کار را توصیه می‌کنند. عرضه‌کنندگان اغلب به‌دقت تکنولوژی‌ها و شرکت‌های عرضه‌کننده‌ی گوناگونی را که تحت پشتیبانی هستند گزینش می‌کنند و گاهی تکنولوژی‌های حداقلی را لازم می‌دانند.

این محدودیت‌ها به MDR این امکان را می‌دهند که  بدون مشکل تکنولوژی BYO را تعبیه کرده (مثلاً با اتصال API)، شناسایی دارای دقت کافی ایجاد، و اطلاعات ساختاری و فارنزیک کافی برای بررسی رخدادها ارائه کند. مشتری تکنولوژی‌ها را فراهم می‌کند، درحالی که عرضه‌کننده پاسخ‌های فعال (مانند سد کردن نفوذ) را از طرف مشتری اجرا می‌کند.

راهکارهای Endpoint مدیریت‌شده

EDR مدیریت‌شده معمولاً به جای راهکار MDR به کار می‌رود، با اینکه در واقع تنها یک جنبه از MDR است. EDR مدیریت‌شده، بسته به محیط‌ها و منابعی که نیازمند مانیتورینگ هستند، ممکن است دید تهدید را در یک سازمان محدود کند.. برای مثال، نمی‌توانید روی یک PLC یا یک دستگاه چندکاره‌ی پرینتر-اسکنر یک EDR Agent نصب کنید. EDR مدیریت‌شده یک سرویس تک حالتی است.

پشته‌ تکنولوژی کامل

در این رویکرد، عرضه‌کننده کل پشته تکنولوژی را ارائه می‌کند که معمولاً شامل دو یا چند تکنولوژی مبتنی بر شناسایی تهدید جهت تسهیل خدمات MDR است. عرضه‌کننده این تکنولوژی‌ها را گزینش کرده و آن‌ها را در قالب یک سرویس ارائه می‌کند، بنابراین مشتری نمی‌تواند تکنولوژی‌های که به کار می‌روند را انتخاب کند (یا انتخابشان محدود است).

عرضه‌کنندگان معمولاً این اجزا را به کار می‌گیرند:

• یک EDR Agent
• حسگرها یا تجهیزات مانیتورینگ امنیتی شبکه‌ی چندکاره (NSM)

این تکنولوژی‌ها شناسایی سریع تهدیدات را ممکن می‌سازند و برای بررسی فارنزیک داده فراهم می‌کنند. برخی عرضه‌کنندگان، تکنولوژی‌های اضافه نیز ارائه کرده و مسیرهای حمله مانند ایمیل، خدمات Cloud و DNS را مانیتور می‌کنند. چنین پیشنهاداتی جزو خدمات چند حالتی هستند.

یک سرویس MDR کارآمد چه ویژگی‌هایی دارد؟

یک عرضه‌کننده‌ی سرویس MDR کارامد باید این ویژگی‌ها را در قالب یک مدل تحویل پکیجی ارائه کند:

• تأکید بر شناسایی تهدید با دقت بالا با هدف قرار دادن حمله‌هایی که ممکن است از سد اقدامات امنیتی پیشگیرانه عبور کنند.
• پاسخ‌گویی به رخداد از راه دور، سد کردن نفوذ و فعالیت‌های تحقیقی فراتر از اطلاع‌رسانی و هشداردهی. امروزه تهدیدها از نظر بسیاری سازمان‌ها بیش از حد سریع جابجا می‌شوند. این امر می‌تواند بر اساس محیطی که هدف قرار گرفته و نوع تهدید، دسترس‌پذیری (مثلاً در مورد یک حمله‌ی باج‌افزاری مخرب)، ایمنی فیزیکی، یا محرمانه بودن داده (مثلاً در مورد درز کردن اطلاعات مشتری) را تحت تأثیر قرار دهد.
• استفاده‌ی گزینشی از مدل و تکنولوژی‌های آماده به کار برای کمک به تیم ارائه‌کننده راهکار MDR جهت تحویل و اجرای سرویس با سرعت بالا. اغلب برای پشتیبانی از برخی فعالیت‌ها و پیامدها، به تکنولوژی‌های خاصی نیاز است.
• یک پلتفرم تحویل مشترک برای هر مشتری. این پلتفرم از تجزیه و تحلیل‌های سفارشی و IT استفاده می‌کند. در برخی موارد، پلتفرم ممکن است از تجزیه تحلیل‌های رفتاری مبتنی بر یادگیری ماشین استفاده کند.
• عرضه‌کننده مسئول تعیین تهدیدهای شناسایی شده و نحوه‌ی شناسایی آن‌ها است. سازمان‌ها ممکن است فرصت زیادی برای سفارشی‌سازی موارد کاربرد شناسایی تهدید مرتبط با محیط خود نداشته باشند. برای مثال، عرضه‌کنندگان MDR ممکن است به دنبال TTP خاصی باشند که نشان دهد یک تهدید در محیط سازمان فعال است. اگر سازمان خواستار قوانین خاص مختص به محیط خود باشد، ممکن است از این نوع سفارشی‌سازی پشتیبانی نشود.

موارد زیر امکانات منحصربه‌فردی هستند که برخی عرضه‌کنندگان MDR ارائه می‌کنند:

• امکانات مدیریت آسیب‌پذیری که می‌توانند برای رسیدگی به الزامات تطبیق‌پذیری به کار بسته شوند. این ویژگی می‌تواند میزان قرار گرفتن در معرض حملات سایبری را پیش از وقوع به حداقل رساند و راهنمایی پاسخ‌دهی و توانمندسازی رخداد فراهم کند.
• امکانات تنظیم و خودکارسازی امنیتی (SOA) که به سازمان‌ها اجازه می‌دهد علاوه بر استفاده از SOA برای بهبود عملیات‌ها در داخل، فعالیت‌های پاسخ‌دهی و گردش کار خود را مشخص کنند.
• ممکن ساختن شناسایی و تعدیل تهدیدها در اوایل Kill chain سایبری. برای مثال با استفاده از مانیتورینگ DNS و ایمیل.