روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ راهکارهای مدیریت شناسایی و واکنش توسعه‌یافته (MXDR) مدت‌هاست که بخش جدایی‌ناپذیر امنیت در شرکت‌های بزرگ هستند. این راهکارها نظارت شبانه‌روزی، مدیریت مداوم تهدیدها و واکنش سریع به رخدادها را فراهم می‌کنند؛ آن هم بدون نیاز به پیاده‌سازی و نگهداری زیرساخت امنیتی در داخل سازمان. مهم‌تر این‌که چنین خدماتی باعث می‌شوند هزینه‌های امنیت سایبری قابل پیش‌بینی باشند. این ویژگی‌ها باعث می‌شوند که در نگاه اول این مدل، گزینه‌ای ایده‌آل برای کسب‌وکارهای کوچک و متوسط نیز به نظر برسد. با این حال، در عمل همیشه چنین نیست. برای یک کسب‌وکار کوچک یا متوسط، استفاده از راهکار استاندارد MXDR ممکن است در نهایت به جای ساده‌تر کردن امور برای تیم داخلی امنیت فناوری اطلاعات، شرایط را پیچیده‌تر کرده و تیم را با حجم زیادی از هشدارهای مبهم و ابزارهای متعدد و پیچیده روبه‌رو سازد.این مقاله به بررسی تفاوت‌های میان سرویس MXDR مناسب برای یک سازمان بزرگ و سرویسی می‌پردازد که بتواند به طور کامل در چارچوب امنیتی یک کسب‌وکار در حال رشد قرار بگیرد. همچنین ویژگی‌هایی که به باور ما یک راهکار ایده‌آل MXDR برای کسب‌وکارهای کوچک و متوسط باید داشته باشد، معرفی می‌شوند.

چرا راهکارهای سطح سازمانی برای کسب‌وکارهای کوچک و متوسط کارایی ندارند؟

شرکت‌های بزرگ معمولاً تیم اختصاصی امنیت سایبری با فرآیندهای نسبتاً بالغ و متخصصان با تجربه دارند که قادرند سرویس را به‌طور روان ادغام کرده و به شکلی مؤثر مدیریت کنند. بنابراین، این سازمان‌ها معمولاً راهکارهای MXDR را به عنوان بخشی از مدل مرکز عملیات امنیت (SOC) ترکیبی استفاده می‌کنند: بخشی از وظایف توسط تیم ارائه‌دهنده سرویس انجام می‌شود، اما بخش قابل توجهی همچنان در اختیار تیم داخلی باقی می‌ماند.

بیشتر کسب‌وکارهای کوچک و متوسط فاقد مجموعه کامل ابزارهای امنیتی و مهم‌تر از آن، تیم امنیت سایبری داخلی اختصاصی هستند؛ یا دست‌کم تیمی که شناخت کافی از تاکتیک‌ها، تکنیک‌ها و روش‌های مهاجمان داشته باشد و توان مقابله با آن‌ها را داشته باشد. اغلب آن‌ها زمان یا تخصص لازم برای اتصال منابع متعدد داده، تنظیم قواعد همبستگی رخدادها یا تحلیل حجم گسترده هشدارها را ندارند. در بسیاری از موارد نیز مسئولیت امنیت در این کسب‌وکارها بر عهده اعضای تیم فناوری اطلاعات است که فرصت یا توان لازم برای ارتباط مداوم با تحلیلگران خارجی را ندارند.

نتیجه تلاش برای ادغام یک راهکار سطح سازمانی در زیرساخت کسب‌وکار کوچک یا متوسط معمولاً ایجاد بار اضافی است نه ساده‌سازی فرآیندها: سیلی از هشدارهای امنیتی بدون کسی که آن‌ها را تحلیل کند و رابط‌ها و فرآیندهای پیچیده‌ای که تیم داخل سازمان در آن‌ها سردرگم می‌شود. در این شرایط، توسعه دانش و مهارت داخلی بسیار دشوار است، زیرا تیم تمام وقت خود را صرف حفظ سطحی قابل قبول از امنیت می‌کند. به همین دلیل است که کسب‌وکارهای کوچک و متوسط به مدلی متفاوت از MXDR نیاز دارند: مدلی روشن، مشارکتی و متمرکز بر تقویت تیم داخلی، نه جایگزینی آن.

ساختار راهکار MXDR ایده‌آل برای کسب‌وکارهای کوچک و متوسط

زمانی که تیم داخلی نه تنها باید امنیت سازمان را تضمین کند، بلکه باید توان تخصصی خود را نیز گسترش دهد، سرویس MXDR باید پشتیبانی متخصصان مجرب را ارائه کند و نه اینکه صرفاً عملکرد امنیتی سازمان را بر عهده بگیرد. این رابطه باید مشارکتی باشد؛ یعنی ارائه‌دهنده نه تنها بخشی از مسئولیت‌ها را بر عهده بگیرد و به حذف تهدیدها کمک کند، بلکه:

• شیوه وقوع رخداد را به تیم داخلی نشان دهد و نتیجه‌گیری‌های لازم را ارائه کند

• ابزارهای پیشرفته برای تحلیل و واکنش مستقل در اختیار تیم قرار دهد؛ آن هم بدون محدودسازی آن

• به نهادینه شدن دغدغه‌های امنیتی در فرهنگ سازمان کمک کند

به بیان دیگر، راهکار MXDR ایده‌آل برای کسب‌وکارهای کوچک و متوسط در کنار تیم داخلی کار می‌کند. حال برویم سراغ ویژگی‌های مشخصی که این راهکار باید داشته باشد:

انعطاف‌پذیری و سازگاری با سطح بلوغ سازمان

کسب‌وکارهای کوچک و متوسط از نظر نیاز و سطح بلوغ امنیتی متفاوت هستند. بنابراین، راهکار MXDR نباید محدود به خودکارسازی پایه یا سناریوهای یکسان باشد. ارائه‌دهنده باید بتواند راهکار را با ویژگی‌های هر مشتری تطبیق دهد.این یعنی قواعد تشخیص و ارزیابی هشدار باید متناسب با زیرساخت، نرم‌افزارها، ابزارهای امنیتی و رفتار کاربران تنظیم شوند. این تنظیم‌پذیری باعث تشخیص بهتر تهدیدهای واقعی و کاهش هشدارهای کاذب می‌شود. این سطح از سفارشی‌سازی باعث کاهش پرسش‌های مکرر تیم MXDR از تیم داخلی می‌شود، از زمان واکنش کاسته و فشار بر تیم داخلی را کمتر می‌کند تا بتواند روی اهداف راهبردی‌تر تمرکز کند.

شفافیت و وضوح

برای تیم‌های کوچک، مهم است که در غرق صدها پیام هشدار نشوند. آن‌ها باید بدانند تهدید واقعی چیست، چه اقداماتی انجام شده و چه اقداماتی باقی مانده است. بنابراین، تیم سرویس باید رویدادهای مشکوک نرم‌افزارهای مشروع را نیز تحلیل کند و تنها موارد مرتبط با فعالیت مخرب را در قالب یک تصویر واحد و قابل‌فهم ارائه دهد، همراه با علت ریشه‌ای، رویدادهای مرتبط و دارایی‌های درگیر.وجود داشبورد وضعیت دارایی‌های سازمان، امکان تماس مستقیم با کارشناسان و گزارش‌های قابل تنظیم نیز ضروری است. این موارد به مدیریت کمک می‌کنند از وضعیت مطلع باشد و متخصصان فنی نیز با سرعت منطقی و مناسب وقایع را دنبال کنند.

دسترسی به اطلاعات روز تهدیدها

اگر تیم داخلی ترجیح دهد تحلیل‌ها را خودش انجام دهد، باید ابزار و اطلاعات کافی از الگوهای حملات و تحلیل‌ها داشته باشد. در عین حال، امکان ارجاع موارد پیچیده به تیم MXDR نیز باید وجود داشته باشد.

کمک به ایجاد فرهنگ امنیتی

بخش بزرگی از رخدادهای امنیتی با خطای انسانی آغاز می‌شود. بنابراین، ارائه‌دهنده باید در افزایش آگاهی کارکنان با استفاده از نمونه‌های واقعی سازمان نقش داشته باشد. بهترین روش، آموزش مبتنی بر سناریوهای واقعی و آزمایش با کمپین‌های شبیه‌سازی‌شده‌ی‌‌ فیشینگ است. همچنین برای تقویت توان تیم فناوری اطلاعات، آموزش‌های مخصوص واکنش به رخداد باید ارائه شود.

راهکارهای امنیتی

برای کسب‌وکارهای کوچک و متوسط، راهکار MXDR چیزی فراتر از یک جعبه سیاه است. این راهکار یک همکاری مبتنی بر پشتیبانی متخصصان، ابزارهای شفاف و قابل مدیریت برای توسعه مهارت‌های داخلی و آموزش تیم فناوری اطلاعات و سایر کارکنان است. بر همین اساس، راهکار Kaspersky Next MXDR Optimum را طراحی کرده‌ایم که همگام با ابزارهای XDR کار نموده و از استراتژی رشد سازمان‌های کوچک و متوسط پشتیبانی می‌کند. اطلاعات بیشتر در صفحه Kaspersky Next Optimum موجود است.

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.