MDR چیست؟

شناسایی و پاسخ مدیریت شده یا همان MDR که تشکیل شده از کلمات Managed Detection And Response است یکی از فرآیند های امنیتی مورد استفاده برای سازمان ها است که امنیت و حفظ داده های خود را برون سپاری میکنند.
به معنای ساده تر سازمان ها برای محافظت از خود و داده های خود و کشف و نظارت بر تهدیدات درون سازمانی به جای راه اندازی مرکز عملیات امنیتی، استخدام و ایجاد تیم امنیت / تیم پاسخگویی به حوادث / تیم شکار تهدیدات و مدیریت امنیت اطلاعات خود به سراغ شرکت های میروند که به عنوان MDR شناخته میشوند و به اصطلاح این شرکت ها وظیفه محافظت از داده ها و امنیت سازمان را به صورت بازه ۲۴/۷ (۲۴ ساعت هر روز هفته) فراهم سازی میکنند.

به اصطلاح دیگر MDR را میتوانیم به عنوان یک پلتفروم و مجموعه ای از خدمات امنیتی و افراد متخصص و راهکار های امنیتی میباشد به شکل دقیق تر MDR تشکیل شده از فرآیند های متنوعی از جمله CTI ( هوش تهدیدات سایبری )، تجزیه و تحلیل پیشرفته و نیرو و تخصص انسانی برای پاسخگویی سریع به حوادث و نیروی حوزه جرم شناسی دیجیتال درنظر بگیریم.

در گذشته سازمان های نیز وجود داشتند که به اصطلاح فرآیند های امنیتی این چنینی ارایه می‌کردند اما با گذشت زمان پیچیدگی و راهکارهای مورد استفاده در اینجور پلتفروم ها و سازمان ها افزایش پیدا کرد. درگذشته این سازمان ها یا به اصطلاح این برون سپاری امنیت اطلاعات با عنوان MSP یا Managed Security Provider شناخته میشدند که اغلب صرفا Log ها و رخداد هارا جمع آوری میکردند و آنهارا مورد تجزیه و تحلیل قرار میدادند.
اما با پیشرفت تکنولوژی و ارائه راهکارهای نوین امنیتی MSP ها کنار رفتند و جای خود را به MSSP ها دادند و بعد از آن نیز نوبت به روی کار آمدن MDR ها شد.

نحوه کار MDR چگونه است؟

توجه داشته باشید که سرویس MDR به صورت از راه دور فرآیند تحلیل، شناسایی و شکارت تهدیدات را برای شما انجام میدهد بدین شکل که که اطلاعات مربوط به تهدیدات و حوادث پیش و اطلاعات مربوط به جرم شناسی دیجیتال در اختیار متخصصین قرار میگیرد و پاسخ و راهکار نهایی مشخص و با استفاده از ترکیب راهکارهای ماشینی و انسانی تهدید برطرف میشود و ماشین آسیب دیده به حالت قبل خود برمی‌گردد.

قابلیت های اصلی یک MDR چیست؟

قابلیت های اصلی یک MDR عبارتند از:

اولویت بندی – جهت بررسی و تحلیل سریع تر داده ها نیاز است که اولویت بندی جهت اینکه کدام داده ها و رخداد اول مورد بررسی قرار بگیرند تعیین شود و سطح اولویت رخداد های هربخش مشخص باشد. برای مثال داده های که مربوط به دسترسی به یک زیرساختی میباشند که در محیط اینترنت قابل دسترس است اولویت دارد نسبت به زیرساختی که صرفا فقط و فقط از طریق یکی از بخش های سازمان به صورت درون سازمانی قابل دسترس میباشد.

شکار تهدیدات – بسنده کردن به پلتفروم های شکار تهدیدات در شکار کردن تهدیدات یا فرآیند Threat Hunting کار زیاد جالبی نیست زیرا که پشت هر تهدید یک انسان نشسته است مدام به این‌ فکر میکند که چگونه یک ماشین برنامه ریزی شده یا به اصطلاح یک پلتفروم شکار تهدیدات را دور بزند از همین بابت توانایی این را دارد که با یک تغییر کوچک در تهدید خود از دست ماشین ها فراری دهد پس از همین جهت صکارچیان تهدیدات انسانی نیز باید حضور داشته باشند که تهدیدات فرار کرده و از دست رفته توسط ماشین هارا تشخیص دهند.

تحقیق و بررسی – پس از رخدادن حملات پاسخگویی به چندسوال کلیدی و مهم و تحقیق و بررسی آنها میتواند به راحتی این امکان را به ما بدهد که پاسخگویی به تهدیدات را انجام بدهیم از همین جهت پاسخگویی به سوالات و درک عمیق آنها به ما کمک زیادی میکند از جمله این سوال ها میتوانیم به موارد زیر اشاره کنیم

  • چه اتفاقی رخ داده است؟
  • چه زمانی اتفاق رخ داده است؟
  • توسط چه کسی این اتفاق رخ داده است؟
  • میزان تاثیر این اتفاق بر روی کدام یک از دارای ها ما میباشد؟
  • این اتفاق در کجا رخ داده است؟
  • چه سیستم های در معرض این رخ داد هستند؟
  • مهاجم تا کجا پیش رفته است؟

پاسخ هدایت شده ( Guided Response ) – این اصطلاح دراصل به بهترین راهکار برای پاسخگویی و مهار یک حادثه اشاره دارد که آن را با عنوان پاسخ هدایت شده یا همان Guided Response میشناسیم که این فرآیند از ساده ترین نکات پاسخگویی به حوادث مانند جداسازی سیستم آلوده از دیگر سیستم ها تا مراحل پیشرفته و پیچیده حذف تهدید را شامل میشود.

بهبودی – مرحله آخر از کار ما بهبودی و رفع تمام مشکلات و حذف بد افزارها و اعمال مکانیزم های امنیتی و بازگردانی شبکه به حالت اولیه خود بازگرداند؛ این بخش نه تنها در MDR بلکه در تمامی فرآیند های پاسخگویی به حوادث باید به شکل کامل انجام شود زیرا که تمامی سرمایه گذاری های امنیتی را هدر میدهد درصورت اعمال نادرست این فرآیند یعنی بهبود یا همان Remediation

تفاوت EDR و MDR در چیست؟

توجه داشته باشید که EDR بخشی از MDR میباشد و از همین بابت MDR نظارت بر روی کل سازمان را دارد اما EDR ها صرفا نگاه خود را بر روی سیستم ها یا همان EndPoint ها قرار میدهند.

تفاوت MDR و MSSP چیست؟

دراصل MDR را میتوانیم سرویسی بعد از MSSP درنظر بگیریم اما از لحاظ تفاوت این دو شبیه به هم میباشند اما اگر‌ به صورت دقیق تر بخواهیم بررسی کنیم متوجه میشویم که این دو تفاوت های نیز نسبت به یک دیگر دارند.
برای مثال MDR ها به صورت کاملا فعال هستند و بر روی شکارت تهدیدات تمرکز دارند اما MSSP ها واکنشی هستند و بر روی Alert ها و آسیب پذیری ها تمرکز دارند.

از جهت دیگر MSSP ها فایروال و تجهیزات امنیتی را مدیریت میکنند اما به اندازه MDR ها تجزیه و تحلیل بر روی رخداد ها و ارائه مستندات و جزئیات از تهدیدات را ارائه نمیکنند و مانند MDR ها تجزیه و تحلیل پزشکی قانونی دیجیتال ( Digital Forensic ) را ارائه نمیکنند.

اغلب MSSP ها با بکارگیری SIEM ها و سیستم های مدیریت Log و بسترهای کشف آسیب پذیری جلو میروند اما MDR ها به صورت پیشرفته فرآیند تحلیل و بررسی و نظارت و کشف تهدیدات را انجام میدهند و توانایی بالاتری دارند.

شرکت های معروف ارائه دهنده MDR کدامند؟

شاید برایتان سوال شود که نمونه های از شرکت های ارائه دهنده MDR که صورت سرشناس و فعال در دنیا میباشند کدامند؟
از جمله این شرکت ها میتوانیم به شرکت های پرطرفدار و قدرتمندی مثله SentinelOne و Crowdstrike اشاره کرد هرچند ما نمونه های دیگری راهم نیز داریم که رقبای بسیار خوبی برای این شرکت ها هستند که عبارتند از

  • Cynet
  • SecurityHQ
  • Rapid7
  • Cybereason
  •  eSentire

دیدگاه‌ خود را بنویسید

اسکرول به بالا