چرا نباید از عملکرد MSSPها غافل شد!

با شیوع ناگهانی بیماری کرونا فعالیت‌های زیادی از جمله دورکاری کارمندان، برگزاری جلسات، انجام تراکنش‌ها، مصاحبه‌ با کارمندان و استخدام نیروهای جدید به صورت آنلاین، دیگر تبدیل به رویدادهای عادی و همیشگی شده اند. با توجه به افزایش میزان استفاده از خدمات ابری برای اجرای فرایندهای کسب‌وکاری، استفاده از مفهوم «نرم افزار به عنوان سرویس-Software as a Service» نیز در تمام جنبه‌های فناوری از جمله امنیت سایبری افزایش چشمگیری یافته است.

اگرچه حرکت به سوی سرویس‌های امنیتی مدیریت شده (MSSP[1]) مزایای زیادی دارد اما ممکن است برای سازمان‌هایی که جهت حفاظت از داده‌هایشان هنوز متکی به یک شرکت خاص هستند، مشکلات امنیتی ایجاد شود. با وجود آنکه ارایه‌دهندگان سرویس‌های امنیتی مدیریت شده در صورت وقوع حمله، وظیفه شناسایی و مقابله با تهدید را بر عهده دارند ولی احتمال دارد آنها نتوانند دلایل انگیزه حمله و هدف گرفتن یک ماشین خاص یا برنامه ریزی برای جلوگیری از وقوع این حملات در آینده را به صورت دقیق شناسایی و بررسی کنند.

معمولاً در این راهکارها خدمات پیشگیرانه در خصوص شکار تهدید و به اشتراک‌گذاری اطلاعات که البته به اندازه تشخیص و واکنش برای امن سازی داده‌های سازمان اهمیت دارند، ارایه نمی‌شوند.

تلاش برای شکار تهدید

شکار تهدید به فرایند جستجوی فعالانه جهت شناسایی بدافزارها یا سایر ابزارهای حمله و تهدیداتی که موفق به عبور از سیستم‌های حفاظتی معمول و حضور در شبکه شده‌اند، گفته می‌شود. ممکن است این بدافزارها در پی تلاش برای دسترسی به زیرساخت‌های سازمان، جمع‌آوری اطلاعات حساب‌های کاربری و انتظار برای استخراج حساس از شبکه باشند. هر چند فایروال‌ها، نرم‌افزارهای ضدویروس و دیگر ابزارها و راهکارهای امنیتی می‌توانند با بسیاری از این حملات مقابله کنند اما به صورت میانگین، مهاجمانی که از چنین راهکارهای دفاعی عبور می‌کنند حداقل تا 197 روز شناسایی نمی‌شوند.

بر اساس بررسی‌های اخیر، بین انتظارات یک سازمان از ابزارهای امنیتی مورد استفاده آن و عملکرد حقیقی این ابزارها اختلاف قابل توجهی وجود دارد. مطالعات اخیر بیانگر آن است که راهکارهای کنترل امنیت سازمان‌ها تنها 26 درصد از حملات را شناسایی و از 33 درصد از آنها جلوگیری می‌کنند. 53 درصد از این حملات نیز بدون آنکه شناسایی شوند به شبکه‌های سازمانی نفوذ می‌کنند و فقط در 9 درصد از مواقع برای حملات هشدار صادر می‌شود.

سازمان‌هایی که به جای راه اندازی و نگهداری از مرکز عملیات امنیتی خودشان این اقدامات را از طریق سرویس‌های مدیریت شده انجام می‌دهند، مزایای خاصی مثل کاهش زمان تشخیص و مقابله با حمله را به دست می‌آورند اما از طرفی دیگر ممکن است هر آنچه برای حفاظت کامل از داده‌هایشان نیاز دارند را دریافت نکنند. این سازمان‌ها باید خدمات سرویس‌های امنیتی مدیریت شده را بررسی کنند تا مطمئن شوند که قابلیت‌هایی مثل شکار تهدید و به اشتراک‌گذاری اطلاعات را در اختیار آنها قرار می‌دهند.

نکته‌های مهم برای انتخاب سرویس امنیتی مدیریت شده

علاوه بر مدل تحویل سرویس و پلتفرم فناوری، سازمان‌ها باید ویژگی‌های کلیدی ارایه‌دهنده سرویس‌های امنیتی مدیریت شده را در نظر داشته باشند. MSSP انتخابی باید رویکردی جامع نسبت به امنیت داشته باشد و علاوه بر خدمات نظارت بر لاگ معمولی، مجموعه‌ای کامل از تجربیات، ابزارها و فنون مختلف را در اختیار مشتریانش قرار دهد. همچنین باید بتواند هنگام کمک به سازمان برای تعریف راهکار امنیت داده‌های آن، مخاطرات سازمان را به خوبی تشخیص داده و ارزیابی کند.

ارایه‌دهنده خدمات امنیتی مدیریت شده باید بتواند انبوهی از داده‌های تهدیدات سایبری را جمع‌آوری و پردازش نموده و تبدیل به اطلاعات جامعی کند که به سازمان درباره آنچه در چشم‌انداز تهدید می‌گذرد، اطلاع‌رسانی نماید. علاوه بر این، ارایه‌دهنده چنین راهکاری به قابلیت‌های خودکارسازی و تحلیل پیشرفته که قادر به تحلیل حملات سایبری و رفتار ناهنجاری که نشان دهنده وقوع حمله است، نیاز دارد. معمولاً تحلیلگر مرکز عملیات امنیت باید اقدامات دستی زیادی انجام دهد به خصوص هنگامی که در حال بررسی یک حمله یا شکار تهدید است. این امر می‌تواند سرعت تفسیر حملات و واکنش به آنها را به شدت کاهش دهد.

یک سیستم استخراج و تحلیل خودکار داده علاوه بر اینکه مسئولیت کاری تحلیلگران را کاهش می‌دهد، سرعت و عملکرد آنها برای واکنش به حملات سایبری را نیز بهبود می‌بخشد. چنین سیستمی اطمینان می‌دهد که هشدارهای ایجاد شده نشان دهنده وقوع حملات واقعی هستند نه تشخیص‌های مثبت کاذب. قابلیت ادغام با سیستم‌های سازمان هم اهمیت ویژه‌ای برای هماهنگ کردن عناصری مثل فایروال‌ها، سیستم‌های مدیریت رویداد و اطلاعات امنیتی و همچنین سیستم‌های تشخیص و واکنش به تهدید دارد.

در نهایت اینکه ارایه‌دهنده خدمات امنیتی مدیریت شده باید با سازمان همکاری داشته و برای ارزیابی مخاطرات امنیتی درک کاملی از محیط داخلی سازمان، چگونگی فرایندهای کاری آن، نحوه پیاده‌سازی معماری فناوری اطلاعات و ویژگی‌های خاص این محیط داشته باشد. امنیت سایبری فرایندی مستمر است که سازمان و MSSP باید بتوانند در طی آن با یکدیگر همکاری کنند.

همکاری با ارایه‌دهنده خدمات امنیتی مدیریت شده می‌تواند به صرفه‌جویی در وقت و هزینه‌ها، کاهش فعالیت های کاری کارمندان و افت هزینه‌های راه اندازی و مدیریت مرکز عملیات امنیت کمک کند اما نباید باعث ایجاد مخاطره برای امنیت داده‌ها شود. به همین دلیل بررسی عملکرد شرکت‌های مختلف ارایه‌دهنده خدمات امنیتی مدیریت شده باعث می‌شود که از دریافت ابزارهای مورد نیاز برای حفاظت از سازمان تان مطمئن شوید.

 

[1] Managed Security Service Provider

 

منبع: helpnetsecurity