چرا نباید از عملکرد MSSPها غافل شد!
با شیوع ناگهانی بیماری کرونا فعالیتهای زیادی از جمله دورکاری کارمندان، برگزاری جلسات، انجام تراکنشها، مصاحبه با کارمندان و استخدام نیروهای جدید به صورت آنلاین، دیگر تبدیل به رویدادهای عادی و همیشگی شده اند. با توجه به افزایش میزان استفاده از خدمات ابری برای اجرای فرایندهای کسبوکاری، استفاده از مفهوم «نرم افزار به عنوان سرویس-Software as a Service» نیز در تمام جنبههای فناوری از جمله امنیت سایبری افزایش چشمگیری یافته است.
اگرچه حرکت به سوی سرویسهای امنیتی مدیریت شده (MSSP[1]) مزایای زیادی دارد اما ممکن است برای سازمانهایی که جهت حفاظت از دادههایشان هنوز متکی به یک شرکت خاص هستند، مشکلات امنیتی ایجاد شود. با وجود آنکه ارایهدهندگان سرویسهای امنیتی مدیریت شده در صورت وقوع حمله، وظیفه شناسایی و مقابله با تهدید را بر عهده دارند ولی احتمال دارد آنها نتوانند دلایل انگیزه حمله و هدف گرفتن یک ماشین خاص یا برنامه ریزی برای جلوگیری از وقوع این حملات در آینده را به صورت دقیق شناسایی و بررسی کنند.
معمولاً در این راهکارها خدمات پیشگیرانه در خصوص شکار تهدید و به اشتراکگذاری اطلاعات که البته به اندازه تشخیص و واکنش برای امن سازی دادههای سازمان اهمیت دارند، ارایه نمیشوند.
تلاش برای شکار تهدید
شکار تهدید به فرایند جستجوی فعالانه جهت شناسایی بدافزارها یا سایر ابزارهای حمله و تهدیداتی که موفق به عبور از سیستمهای حفاظتی معمول و حضور در شبکه شدهاند، گفته میشود. ممکن است این بدافزارها در پی تلاش برای دسترسی به زیرساختهای سازمان، جمعآوری اطلاعات حسابهای کاربری و انتظار برای استخراج حساس از شبکه باشند. هر چند فایروالها، نرمافزارهای ضدویروس و دیگر ابزارها و راهکارهای امنیتی میتوانند با بسیاری از این حملات مقابله کنند اما به صورت میانگین، مهاجمانی که از چنین راهکارهای دفاعی عبور میکنند حداقل تا 197 روز شناسایی نمیشوند.
بر اساس بررسیهای اخیر، بین انتظارات یک سازمان از ابزارهای امنیتی مورد استفاده آن و عملکرد حقیقی این ابزارها اختلاف قابل توجهی وجود دارد. مطالعات اخیر بیانگر آن است که راهکارهای کنترل امنیت سازمانها تنها 26 درصد از حملات را شناسایی و از 33 درصد از آنها جلوگیری میکنند. 53 درصد از این حملات نیز بدون آنکه شناسایی شوند به شبکههای سازمانی نفوذ میکنند و فقط در 9 درصد از مواقع برای حملات هشدار صادر میشود.
سازمانهایی که به جای راه اندازی و نگهداری از مرکز عملیات امنیتی خودشان این اقدامات را از طریق سرویسهای مدیریت شده انجام میدهند، مزایای خاصی مثل کاهش زمان تشخیص و مقابله با حمله را به دست میآورند اما از طرفی دیگر ممکن است هر آنچه برای حفاظت کامل از دادههایشان نیاز دارند را دریافت نکنند. این سازمانها باید خدمات سرویسهای امنیتی مدیریت شده را بررسی کنند تا مطمئن شوند که قابلیتهایی مثل شکار تهدید و به اشتراکگذاری اطلاعات را در اختیار آنها قرار میدهند.
نکتههای مهم برای انتخاب سرویس امنیتی مدیریت شده
علاوه بر مدل تحویل سرویس و پلتفرم فناوری، سازمانها باید ویژگیهای کلیدی ارایهدهنده سرویسهای امنیتی مدیریت شده را در نظر داشته باشند. MSSP انتخابی باید رویکردی جامع نسبت به امنیت داشته باشد و علاوه بر خدمات نظارت بر لاگ معمولی، مجموعهای کامل از تجربیات، ابزارها و فنون مختلف را در اختیار مشتریانش قرار دهد. همچنین باید بتواند هنگام کمک به سازمان برای تعریف راهکار امنیت دادههای آن، مخاطرات سازمان را به خوبی تشخیص داده و ارزیابی کند.
ارایهدهنده خدمات امنیتی مدیریت شده باید بتواند انبوهی از دادههای تهدیدات سایبری را جمعآوری و پردازش نموده و تبدیل به اطلاعات جامعی کند که به سازمان درباره آنچه در چشمانداز تهدید میگذرد، اطلاعرسانی نماید. علاوه بر این، ارایهدهنده چنین راهکاری به قابلیتهای خودکارسازی و تحلیل پیشرفته که قادر به تحلیل حملات سایبری و رفتار ناهنجاری که نشان دهنده وقوع حمله است، نیاز دارد. معمولاً تحلیلگر مرکز عملیات امنیت باید اقدامات دستی زیادی انجام دهد به خصوص هنگامی که در حال بررسی یک حمله یا شکار تهدید است. این امر میتواند سرعت تفسیر حملات و واکنش به آنها را به شدت کاهش دهد.
یک سیستم استخراج و تحلیل خودکار داده علاوه بر اینکه مسئولیت کاری تحلیلگران را کاهش میدهد، سرعت و عملکرد آنها برای واکنش به حملات سایبری را نیز بهبود میبخشد. چنین سیستمی اطمینان میدهد که هشدارهای ایجاد شده نشان دهنده وقوع حملات واقعی هستند نه تشخیصهای مثبت کاذب. قابلیت ادغام با سیستمهای سازمان هم اهمیت ویژهای برای هماهنگ کردن عناصری مثل فایروالها، سیستمهای مدیریت رویداد و اطلاعات امنیتی و همچنین سیستمهای تشخیص و واکنش به تهدید دارد.
در نهایت اینکه ارایهدهنده خدمات امنیتی مدیریت شده باید با سازمان همکاری داشته و برای ارزیابی مخاطرات امنیتی درک کاملی از محیط داخلی سازمان، چگونگی فرایندهای کاری آن، نحوه پیادهسازی معماری فناوری اطلاعات و ویژگیهای خاص این محیط داشته باشد. امنیت سایبری فرایندی مستمر است که سازمان و MSSP باید بتوانند در طی آن با یکدیگر همکاری کنند.
همکاری با ارایهدهنده خدمات امنیتی مدیریت شده میتواند به صرفهجویی در وقت و هزینهها، کاهش فعالیت های کاری کارمندان و افت هزینههای راه اندازی و مدیریت مرکز عملیات امنیت کمک کند اما نباید باعث ایجاد مخاطره برای امنیت دادهها شود. به همین دلیل بررسی عملکرد شرکتهای مختلف ارایهدهنده خدمات امنیتی مدیریت شده باعث میشود که از دریافت ابزارهای مورد نیاز برای حفاظت از سازمان تان مطمئن شوید.
[1] Managed Security Service Provider
منبع: helpnetsecurity
