در این مقاله قصد داریم به بررسی سه مفهوم مهم در حوزه امنیت سایبری پرداخته و از ابعاد مختلف به ضرورت توجه و به کارگیری هر یک از این موارد بپردازیم. اصلی ترین پارامتری که ضرورت بکارگیری ابزارهای پیشرفته منطبق بر تکنولوژی روز حوزه سایبری را تقویت مینماید این است که امروز همگام با رشد تکنولوژی حملات و مخاطرات نیز پیچیده تر و اثرگذاری آن بر روی قربانی به مراتب پرهزینه تر و با آسیب بیشتری رخ خواهد داد. در نتیجه علاوه بر اینکه ابزارهای سنتی پاسخگوی نیاز دفاع سایبری سازمان نیستند، جذب نیروی مختصص و هزینه نگهداری آن جهت راهبری محصولات پیشرفته نیز از دیگر معضلات این حوزه میباشد.
لذا بررسی و تشخیص دقیق نیاز سازمان و شناخت راهکارهای متناسب با آن میتواند ما را در رسیدن به بهترین و اثرگذارترین راه حل یاری نماید. یکی از حوزه هایی که میتواند منشع نفوذ و حمله واقع شود، نقاط پایانی(سرور، کلاینت، موبایل و …) با هر نقشی است.
در ادامه به بررسی ابزار و خدمات اثر گذار حوزه امنیت سایبری میپردازیم:
Endpoint Detection and Response (EDR)
Extended Detection and Response (XDR)
Managed Detection and Response (MDR)
امنیت سایبری به سمت تهدیداتی پیش میرود که پنهانتر، مخربتر، پیچیدهتر و پایدارتر هستند. بسیاری از تهدیدات و حملات سایبری ماهها مخفی مانده و تنها زمانی کشف میشوند که کار از کار گذشته است. از طرفی به دلایل زیر ابزارهای امنیتی سنتی کارائی لازم را شناسایی و پاسخ به این رخداد های امنیتی ندارند:
* ضد بدافزارها عموما بدافزارهای عمومی را شناسائی می کنند.(مبتنی بر امضاء)
* حملات بدون فایل و حملات مبتنی بر مرورگرهای وب، بدون وجود هیچ فایل مخربی شروع به اقدامات خود کرده و منجر به حملات پیچیده و چندمرحله ای میگردد.
* عدم شناسایی اقدامات پیش از حمله توسط مهاجمان و عدم قدرت تشخیص فرآیندهای منتهی به حمله.
در این راستا ابزار پیشرفته EDR در قالب فرآینده پایش، تحلیل و در نهایت پاسخ به تهدیدات، نقاط پایانی را برای مقابله با تعدیدات پیشرفته مجهز مینماید.
در فرآیند پیاده سازی و راهبری EDR با محدودیتی مواجه هستیم که متخصصین امنیت را ترقیب به توسعه این محصول نمود. در EDR مراحل پایش، تحلیل و واکنش به رخداد صرفا در شبکه تحت مدیریت کنسول سامانه EDR انجام میگرفت، در نتیجه اگر تهدید از منبع دیگری در سطح شبکه به وقوع می پیوست، امکان شناسایی و مقابله با آن از طریق این سامانه فراهم نمیشد. پلتفرم XDR امکان جمع آوری لاگ های امنیتی را در سراسر شبکه و زیر ساخت آن فراهم مینماید.
یک پلتفرم XDR دادهها را از سراسر زیرساخت جمعآوری و مرتبط میکند تا بتواند دید کاملی را نسبت به رصد تهدیدات را در سراسر سازمان ایجاد نموده و عملیات امنیتی را تسریع کند و خطر را کاهش دهد. XDR این دادهها را تجزیه و تحلیل، اولویتبندی و نرمال سازی کرده، بنابراین میتوان آنها را در قالبی آماده از طریق یک کنسول واحد و یکپارچه به تیمهای امنیتی جهت بررسی و تریاژ تحویل دهد.
سرویسی امنیتی شبانه روزی (24*7) کشف و پاسخ به تهدیدات MDR با بکارگیری تکنولوژیهای پیشرفته و خودکار فرآیند مانیتورینگ، شناسایی و پاسخ به تهدید را مدیریت مینماید. هدف از سرویس MDR کمک به سازمان ها در راستای مقابله با تهدیدات سایبری و پاسخ به رخداد (Incident Response) صورت میپذیرد. سرویس MDR ترکیبی از هوش تهدید و تجزیه و تحلیلهای پیشرفته با بررسی انسانی رخدادها و متخصصان پاسخ به رخداد میباشد.
در نتیجه به صورت کلی MDR یک راهکار امن متمرکز، بر پایه اطلاعات دقیق و عمیق جمعآوری شده توسط سنسورها از سیستمهای شبکه طراحی شده است به گونه ای که با تگگذاری، تجمیع، تولید هشدار و دادهنمایی آنها مطابق تجربیات و دانش کسب شده از حملات قبلی سایبری نفوذ را کشف نموده و از ادامه فعالیت نفوذگر در شبکه جلوگیری می نماید.
* شناسایی و پاسخ به تعدیدات در حوزه نقاط پایانی
* قابل ادغام با راهکارهای دیگر امنیتی
* شناسایی و پاسخ به تعدیدات در تمام سطوح
* بهره گیری از ابزارهای پیشرفته در هر لایه برای بهبود عملکرد
* شناسایی و پاسخ به تعدیدات مبتنی بر سرویس به صورت 7*24
* تنوع ارائه سرویس در سطوح مختلف
* نقاط پایانی، تجهیزات شبکه، ابر
* متناسب با ارائه دهنده سرویس متغیر میباشد.
(در سطح نقاط پایانی یا بیشتر)
* محافظت در مقابل بدافزارها و حملات APT
* دید کامل بر روی نقاط پایانی
* موثر در شناسایی تهدیدات ناشناخته
* محافظت در مقابل بدافزارها و حملات APT
* دید کامل در تمام سطوح
* جمع آوری، شناسایی و پاسخ به تهدیدات به صورت متمرکز
* کاهش هزینه در قیاس با راهکارهای غیر متمرکز
* محافظت در مقابل بدافزارها و حملات APT
* مقیاس پذیری بالا
* صرفه جویی در هزینه و زمان راهبری و نگهداری
* عدم وابستگی به برند
* در اختیار داشتن تخصص بدون نیاز به استخدام نیروی متخصص
* عدم توانایی در شناسایی تهدیدات خارج از دامنه کنسول EDR
* جمع آوری لاگ و انجام تحلیل حجیم
* پیاده سازی پیچیده
* نیاز به نیروی متخصص
* هزینه بالا
* سرویس های امنیتی MDR یکسان نیستند.
* متناسب با عملکرد و دامنه سرویس متغیرند.