خدمات الكشف والاستجابة المُدارة (MDR) هي عبارة عن مجموعة من تقنيات الأمن السيبراني المستندة إلى الشبكة والمضيف ونقطة النهاية والتي يديرها موفر طرف ثالث لمؤسسة عميل. عادةً ما يقوم الموفر بتثبيت التكنولوجيا في أماكن العمل في مؤسسة العميل ويوفر خدمات خارجية و الخدمات الآلية من خلال البرمجيات.
تعمل أجهزة MDRs على تحسين الأمن السيبراني من خلال البحث عن التهديدات والاستجابة لها بمجرد اكتشافها. كما أنها تمكن المستخدمين من التواصل مع خبراء الأمان لدى الموفر، الذين يمكنهم المساعدة في تعزيز المهارات الأمنية لقسم تكنولوجيا المعلومات في الشركة العميلة. وهذا يجعلها مثالية للشركات التي ليس لديها فريق مخصص للكشف عن التهديدات داخل الشركة.
تزداد شعبية خدمات الكشف والاستجابة المُدارة، ويرجع ذلك جزئيًا إلى الفجوة المتزايدة في المهارات في مجال الأمن السيبراني. وتوقعت شركة جارتنر في عام 2018 أن 15% من الشركات المتوسطة والكبيرة الحجم ستستخدم خدمات MDR في عام 2020، مقارنة بنسبة 1% التي استخدمتها في عام 2018.
ما هي المشاكل التي يحلها MDR؟
تلعب خدمات MDR دورًا نشطًا في تحسين استراتيجية أمن المعلومات الخاصة بالشركة. إنهم يتعاملون مع اكتشاف التهديدات والاستجابة للحوادث والمراقبة المستمرة وتحليل أصول تكنولوجيا المعلومات.
تتعامل خدمات MDR مع هذه المهام بطريقة تخفف من المشكلات الشائعة التي تواجهها عادةً أقسام تكنولوجيا المعلومات الحديثة، مثل:
- حجم التنبيهات المرتفع – يمكن أن تساعد أجهزة التنبيه المتعددة الأطراف الشركات على إدارة الحجم الهائل لتنبيهات الأمن السيبراني التي يجب التحقق منها على أساس فردي. قد يؤدي وجود عدد كبير جدًا من التنبيهات إلى إرباك فرق الأمان الأصغر حجمًا وتسبب إهمالهم لمسؤوليات أخرى.
- تحليل التهديدات – العديد من التنبيهات لا تقدم نفسها على الفور كتهديد وتتطلب تحليلاً شاملاً لتحديد حالتها. توفر خدمات MDR أدوات تحليلية متقدمة وإمكانية الوصول إلى خبراء الأمان للمساعدة في ذلك، وتفسير الأحداث وتقديم توصيات للتحسين.
- نقص المهارات – قدرت وكالة المخابرات المركزية ذلك مؤخرًا وبحلول عام 2022، ستكون هناك فجوة في القوى العاملة الأمنية تبلغ 1.8 مليون. ووجدت سيمانتيك أيضًا أن أربعة من كل خمسة من المتخصصين في مجال الأمن الذين شملهم الاستطلاع أفادوا بأنهم يشعرون بالإرهاق وفي حالة من التحميل الزائد المزمن. يمكن لخدمات MDR التخفيف من ذلك من خلال توفير الوصول إلى فريق الخبراء الخاص بها، والذي يعمل عادةً على مدار الساعة طوال أيام الأسبوع لمراقبة الشبكة ويكون متاحًا للتشاور.
- اكتشاف نقطة النهاية والاستجابة لها (إدر) – قد تفتقر الشركات إلى الأموال أو الوقت أو المهارات اللازمة لتدريب الموظفين على أدوات EDR. تأتي خدمات MDR مع أدوات EDR ويتم دمجها في عمليات الكشف والتحليل والاستجابة، مما يلغي الحاجة إلى أمان داخلي واسع النطاق لنقطة النهاية.
كما هو الحال مع العديد من X-as-a-service (XaaS) النماذج التي تستعين بمصادر خارجية لعمليات تكنولوجيا المعلومات الحديثة، تتاجر الشركات ببعض التحكم للحصول على مزيد من الراحة وأسعار أكثر مرونة. تتمتع خدمات MDR ببعض الجوانب السلبية عند مقارنتها بمنتجات الأمان المُدارة القديمة واعتمادًا على الاستخدام المقصود للعميل للخدمات. ومع ذلك، فإن ميزتها الرئيسية هي أنها مصممة بشكل فريد للمشاكل الحالية والناشئة التي تواجهها شركات تكنولوجيا المعلومات اليوم.
MDR مقابل الأمان المُدار الكلاسيكي
يؤدي كل من منتجات MDR ومنتجات الأمان المُدارة الكلاسيكية نفس الوظيفة العامة؛ مساعدة الشركات خارجيًا في مجال الأمن السيبراني. ومع ذلك، هناك بعض الاختلافات الأساسية بين خدمات MDR وخدمات الأمان المُدارة الكلاسيكية، بما في ذلك:
- الامتثال – خدمات الأمان المُدارة الكلاسيكية، والتي تسمى أحيانًا موفري خدمات الأمان المُدارة (MSSPس)، عادةً ما تركز بشكل أكبر على تقارير الامتثال ومساعدة الشركات على الاجتماع متطلبات التوافق. نادراً ما تركز خدمات MDR على هذا.
- تنسيق السجل – يتمكن مقدمو خدمة MSSP عمومًا من العمل مع مجموعة واسعة من سجلات الأحداث والسياقات. من ناحية أخرى، تستخدم MDRs في المقام الأول استخدام السجلات التي تأتي مع أدواتها فقط.
- التفاعل البشري – يتعامل مقدمو خدمة MSSP مع أي اتصال مع المزود من خلال بوابات الإنترنت ورسائل البريد الإلكتروني. لدى MDRs فرق من الخبراء – يشار إليها أحيانًا بمركز العمليات الأمنية (شركة نفط الجنوب) – يمكن الوصول إليها من خلال قنوات متعددة في الوقت الفعلي.
- طرق الكشف – نظرًا للعنصر البشري الذي توفره أجهزة الأدوية المتعددة الأطراف، يمكنها تطبيق تحليل أعمق للتنبيهات واكتشاف التهديدات الجديدة. يكون مقدمو خدمات MSSP أقل مشاركة في التحليل، وبالتالي يركزون أكثر على التهديدات المعروفة والمتكررة الحدوث باستخدام نظام قائم على القواعد.
- رؤية الشبكة – يمكن لـ MDRs اكتشاف الأحداث والحركة داخل شبكة العميل، في حين تركز MSSPs بشكل أساسي على محيط.
كل خيار له نقاط القوة والضعف الخاصة به. تعد MSSPs جيدة لإدارة تكنولوجيا الأمان الأساسية مثل جدران الحماية وتنفيذ مهام الأمان اليومية. تعد أجهزة MDRs بمثابة خدمات أكثر تخصصًا مصممة للتعامل مع الشبكات الحديثة المعقدة ونقاط الضعف الجديدة التي تقدمها.
يمكن للشركات استخدام كلا المنتجين جنبًا إلى جنب لتحقيق أقصى قدر من الفوائد لكل منهما.
الميزات المشتركة في عروض MDR
تعد أدوية MDR جديدة نسبيًا، وبالتالي تختلف كل شركة إلى حد ما فيما تقدمه في عروض MDR الخاصة بها. سيركز مقدمو الخدمة عادةً على التقنيات المستندة إلى الشبكة أو نقطة النهاية أو السجل. ستركز أجهزة MDR المستندة إلى الشبكة على التهديدات الموجودة في جدار الحماية، في حين سيعمل المنتج القائم على نقطة النهاية معها برامج مكافحة البرامج الضارة.
وبغض النظر عن مستوى الشبكة التي تعمل بها الخدمة، فإنها تقوم بتوحيد التقارير من تقنيات متعددة على ذلك المستوى لأداء هذه الوظائف:
- الكشف عن التهديدات، حيث يقوم مركز عمليات الأمن (SOC) بمراقبة البيانات بشكل مستمر وتحديد أولويات التنبيهات للتحليل.
- تحليل التهديدات، حيث يركز موظفو مركز العمليات الأمنية على التهديدات المحتملة ويحددون مصدر التهديد ونطاقه.
- الاستجابة للتهديدات، حيث يقوم المزود بإخطار العميل بالحادث وتقديم توصيات التحليل الخاصة به لحل المشكلة.
الخطوة ذات أكبر قدر من الاختلاف بين مقدمي الخدمة هي خطوة الاستجابة. يقرر كل مزود النقطة التي ينتهي عندها عمله، ويتولى العميل هذه المشكلة. قد يقدم بعض الموفرين أيضًا ميزات إضافية مقابل سعر، مثل استشارة الخبراء محليًا أو أجهزة محلية إضافية.
عند اختيار مزود الخدمة، يجب على العملاء مراعاة ما يلي:
- حجم تنظيمهم.
- مستوى المهارة وحجم فرق الأمن.
- التكنولوجيا التي لديهم بالفعل.
- لوائح الامتثال التي يجب عليهم الالتزام بها.
