شرکتهای ارایه دهنده خدمات امنیتی مدیریت شده (MSSP[1]) میتوانند موجب افزایش قابلیت تشخیص و واکنش به حوادث امنیتی را در محیطهای پیچیده و توزیع شده شوند. با این حال، بسیاری از شرکتهای قدیمی ارایه دهنده خدمات امنیتی مدیریت شده صرفاً به شکل یک هشداردهنده عمل میکنند که فقط فایلهای گزارش (یا لاگ) را جمعآوری کرده و هشدارهایی کم ارزش صادر می نمایند. این هشدارها به جای کمک به تیم امنیت و تقویت وضعیت امنیتی سازمان، فقط بار کاری این تیم را افزایش میدهند. همچنین این کار به جز خستگی تیم امنیت به دلیل نیاز به رسیدگی به هشدارهای پی در پی باعث گسترش سطح حمله و پیچیدگی واکنش به تهدیدها نیز میشود. در حالی که یک راهکار MSSP باکیفیت میتواند به روانتر شدن کل این فرایند کمک به سزایی کند.
شرکت تحقیقاتی Forrester در گزارش جدیدی که برای سه ماهه سوم سال 2020 منتشر کرده است، اعلام نموده: «MSSPها سعی کردند مشکل هشدارهای پی در پی را با این فلسفه که مشکلات را می توان با کمک راهکارهای تشخیص و واکنش مدیریت شده (MDR[2]) حل کرد، برطرف کنند».
امروزه بسیاری از شرکتها متکی به قابلیتهای تشخیص و واکنش مدیریت شده هستند. در واقع این تکنیکها بسیار فراتر از جمعآوری، گزارش و هشدار دادن می باشند. همچنین رویکرد آنها پیشگیرانهتر بوده و به شناسایی تهدیدات سایبری کمک زیادی میکنند. هدف این راهکارها شناسایی تهدیدهای سایبری در اسرع وقت است تا بتوان پیامد حوادث امنیتی را کمتر کرد.
افزایش سرعت و دقت با استفاده از یک راهکار MSSP
با وجود راهکارهای امنیتی غیریکپارچه و مجزا از هم، بعید نیست که پیچیدگی و عدم بهره وری در کل چرخه مدیریت تهدیدات سایبری افزایش پیدا کند. تحلیلگران امنیتی اغلب از ابزارهای زیادی برای شناسایی و واکنش به حوادث استفاده میکنند. مؤسسه Ponemon پس از انجام مطالعات و بررسیهای لازم در سال 2020 میلادی به این نتیجه رسیده است که به طور میانگین، سازمانها 45 راهکار امنیتی و 19 ابزار مختلف برای واکنش به حوادث امنیت سایبری دارند. همچنین این مطالعه نشان داد که استفاده از فناوریها و راهکارهای مختلف برای شناسایی، پیشگیری و واکنش به حوادث سایبری نتیجهای معکوس دارد. استفاده از ابزارهای مختلف باعث میشود تحلیلگران امنیتی برای اداره هر مرحله از چرخه مدیریت تهدیدات سایبری وقت بیشتری صرف کنند.
تحلیلگران باید پیچیدگیهای چنین محیطهایی را با سرعت و دقت بررسی و مدیریت کنند. انجام این کار در محیط امنیت سایبری امروزی که بسیار پویا بوده و دایماً نیز در حال تغییر است، کار سختی محسوب میشود. با استفاده از یک راهکار MSSP مناسب میتوان بهترین فناوریها و پلتفرمها را برای مدیریت یکپارچه امنیت در اختیار داشت.
پرسشهای مهم
شاید در حال حاضر از خدمات یک شرکت برای تشخیص آسیبپذیری، از یک ابزار دیگر برای مدیریت رویداد و اطلاعات امنیتی و از راهکاری دیگر برای مدیریت دسترسی و هویت استفاده کنید. معمولاً این ابزارها و سیستمها به ندرت میتوانند با یکدیگر ارتباط برقرار کنند. بنابراین مدیران امنیت باید به این پرسشها پاسخ دهند که:
- آیا در همه ابزارها و سیستمها به دادهها و آمار درستی دسترسی داریم؟
- آیا این راهکارها وضعیت امنیتی سازمان را به طور کلی بهبود میبخشند؟
- چگونه میتوانیم از ادغام و هماهنگ سازی برای یکپارچه کردن همه سازوکارهای دفاعی خودمان استفاده کنیم؟
- آیا همه محیطها و نقاط انتهایی تحت پوشش قرار دارند؟
مدیران امنیت و تیم آنها باید برای درک وضعیت امنیتی سازمان، مجموعهای از اجزای مختلف را در نظر بگیرند. بدون داشتن این چشمانداز بزرگ نمیتوان درک خوبی از شرایط امنیتی سازمان کسب کرد.
ترکیب بهترین راهکارها در یک راهکار MSSP
راهکارهای MSSP میتوانند ترکیبی از بهترین ابزارها را در اختیار شما قرار دهند. این راهکارها توانایی آن را دارند که چندین راهکار امنیتی را در قالب یک کنسول یکپارچه برای شما ادغام کنند. چنین راهکاری باید خدمات هوش تهدید، واکنش به حوادث، هوش مصنوعی، یادگیری ماشینی و تشخیص آسیبپذیری را هم برای محیط درون سازمان و هم برای امنیت ابری در اختیار شما قرار دهد.
این رویکرد باعث میشود که تیم امنیت، هنگام مدیریت حوادث فقط یک منبع برای تشخیص حقایق داشته باشد و به جای بررسی برنامههای امنیتی مختلف بتواند با یک رابط کاربری و اکوسیستم یکپارچه کار کند.
مزایای راهکار MSSP
بر اساس گزارش شرکت Forrester، «مدیران امنیت نمیتوانند تیمهایی متمرکز بر تشخیص و بررسی تهدیدات، رعایت استانداردهای قانونی، مدیریت مخاطره و غیره تشکیل دهند. راهکارهای MSSP به سبکتر شدن این حجم کار کمک کرده و مدیران باید برای موفقیت طرحهای خودشان از آنها استفاده کنند». برای مثال بحث مدیریت آسیبپذیری و تهدیدات امنیتی را می توان به یک شرکت امنیت سایبری واگذار کرد، در حالی که منابع داخلی سازمان برای اهداف راهبردی استفاده می شوند.
به کارگیری یک پلتفرم امنیت سایبری مدیریت شده چند در یک، ابزارهایی مثل هوش مصنوعی و یادگیری ماشینی را در اختیار شما قرار میدهد تا نواقص و خطاها کاهش پیدا کنند. همچنین این راهکارها فرصت لازم برای سرعت بخشیدن به تشخیص و واکنش را نیز فراهم می نمایند. با وجود چنین راهکارهایی میتوان به تیم امنیت سایبری برای تصمیم گیری هر چه بهتر کمک کرد. بعضی از این راهکارها شامل بستههای مشارکتی هستند که خدمات مشاوره و فناوریهایی را در اختیار شما قرار میدهند و به افزایش سرعت کار در محیطهای مختلف مثل انواع شبکهها، ابر ترکیبی، دادهها و برنامههای کاربردی مختلف و غیره کمک میکنند.
این راهکارها امکان ارایه خدمات به صورت جهانی و منطقهای را هم دارند. به این ترتیب تیم شما از خدماتی با مقیاس جهانی، مدیریت بهتر دادهها و معماریهای منطقهای مراکز عملیات امنیتی محلی بهرهمند میشود. همچنین یک مدل MSSP چند در یک به آموزش کارمندان و ارتقای مهارتهای آنها کمک میکند.
عدم تناسب راهکارهای MSSP سنتی با شرایط دنیای امروزی
توصیه می شود از راهکار MSSP چند در یک، از یک شرکت امنیت سایبری که حداقل 10 سال در این زمینه فعالیت داشته، شناخته شده و معتبر است، استفاده نمایید. بعید است چنین شرکتی در آینده نزدیک توسط یک شرکت بزرگ خریداری شده یا خدمات آن خاتمه پیدا کند. چنین سازمانی به احتمال زیاد به ده ها مشتری سرویس دهی میکند و میلیون ها رویداد امنیتی را در صنایع مختلف تحلیل و بررسی میکند.
بنابراین از طریق همکاری با چنین شرکتی می توانید اطلاعات بیشتری را در خصوص وضعیت فعلی تهدیدات سایبری در سطح جهان و راهکارهای مقابله با آنها کسب کنید. همچنین چنین شرکتهایی تخصص و تجربه بی نظیری از کار بر روی آسیبپذیریهای روز صفر (ناشناخته) و نقصهای امنیتی بزرگ دارند که در چند دهه اخیر بر مشتریان آنها اثرگذار بودهاند. این تخصص و تجربه میتواند ارزش بسیار زیادی برای تصمیم گیری در مرکز عملیات داشته باشد.
IBM، پیشگامی جدید در زمینه ارایه خدمات امنیتی مدیریت شده
Forrester در گزارش جدید خود از شرکت IBM به عنوان پیشگام جدید در این عرصه نام برده است. از بین 15 شرکت ارزیابی شده در حوزه MSSP، تنها 4 مورد به عنوان پیشگام در این عرصه انتخاب شدهاند.
ارزیابی Forrester متناسب با هدف مدنظر برای معرفی راهکارهای MSSP همه منظوره است. این راهکار ترکیبی از بهترین فناوریهای اختصاصی شرکت IBM (هوش مصنوعی و یادگیری ماشینی) و اکوسیستمی متشکل از بهترین فناوریها است. همچنین این راهکار قادر است قابلیتهای تشخیص و واکنش به حوادث را در محیطهای توزیع شده امروزی که با رشد زیادی در حال تحول هستند ارایه کند.
[1] Managed Security Service Provider
[2] Managed Detection And Response
منبع: securityintelligence