شناسایی و پاسخ مدیریت شده یا همان MDR که تشکیل شده از کلمات Managed Detection And Response است یکی از فرآيند های امنیتی مورد استفاده برای سازمان ها است که امنیت و حفظ داده های خود را برون سپاری میکنند.
به معنای ساده تر سازمان ها برای محافظت از خود و داده های خود و کشف و نظارت بر تهدیدات درون سازمانی به جای راه اندازی مرکز عمليات امنیتی، استخدام و ایجاد تیم امنیت / تیم پاسخگویی به حوادث / تیم شکار تهدیدات و مدیریت امنیت اطلاعات خود به سراغ شرکت های میروند که به عنوان MDR شناخته میشوند و به اصطلاح این شرکت ها وظیفه محافظت از داده ها و امنیت سازمان را به صورت بازه 24/7 (۲۴ ساعت هر روز هفته) فراهم سازی میکنند.
به اصطلاح دیگر MDR را میتوانیم به عنوان یک پلتفروم و مجموعه ای از خدمات امنیتی و افراد متخصص و راهکار های امنیتی میباشد به شکل دقیق تر MDR تشکیل شده از فرآيند های متنوعی از جمله CTI ( هوش تهدیدات سایبری )، تجزیه و تحلیل پيشرفته و نیرو و تخصص انسانی برای پاسخگویی سریع به حوادث و نیروی حوزه جرم شناسی دیجیتال درنظر بگیریم
در گذشته سازمان های نیز وجود داشتند که به اصطلاح فرآيند های امنیتی این چنینی ارایه میکردند اما با گذشت زمان پيچيدگي و راهکارهای مورد استفاده در اینجور پلتفروم ها و سازمان ها افزایش پیدا کرد. درگذشته این سازمان ها یا به اصطلاح این برون سپاری امنیت اطلاعات با عنوان MSP یا Managed Security Provider شناخته میشدند که اغلب صرفا Log ها و رخداد هارا جمع آوری میکردند و آنهارا مورد تجزیه و تحلیل قرار میدادند.
اما با پیشرفت تکنولوژی و ارائه راهکارهای نوین امنیتی MSP ها کنار رفتند و جای خود را به MSSP ها دادند و بعد از آن نیز نوبت به روی کار آمدن MDR ها شد.
توجه داشته باشید که سرویس MDR به صورت از راه دور فرآيند تحلیل، شناسایی و شکارت تهدیدات را برای شما انجام میدهد بدین شکل که که اطلاعات مربوط به تهدیدات و حوادث پیش و اطلاعات مربوط به جرم شناسی دیجیتال در اختیار متخصصین قرار میگیرد و پاسخ و راهکار نهایی مشخص و با استفاده از ترکیب راهکارهای ماشینی و انسانی تهدید برطرف میشود و ماشین آسیب دیده به حالت قبل خود برمیگردد.
قابلیت های اصلی یک MDR عبارتند از:
اولویت بندی - جهت بررسی و تحلیل سریع تر داده ها نیاز است که اولویت بندی جهت اینکه کدام داده ها و رخداد اول مورد بررسی قرار بگیرند تعیین شود و سطح اولويت رخداد های هربخش مشخص باشد. برای مثال داده های که مربوط به دسترسی به یک زیرساختی میباشند که در محیط اینترنت قابل دسترس است اولویت دارد نسبت به زیرساختی که صرفا فقط و فقط از طریق یکی از بخش های سازمان به صورت درون سازمانی قابل دسترس میباشد.
شکار تهدیدات - بسنده کردن به پلتفروم های شکار تهدیدات در شکار کردن تهدیدات یا فرآيند Threat Hunting کار زیاد جالبی نیست زیرا که پشت هر تهدید یک انسان نشسته است مدام به این فکر میکند که چگونه یک ماشین برنامه ریزی شده یا به اصطلاح یک پلتفروم شکار تهدیدات را دور بزند از همین بابت توانایی این را دارد که با یک تغییر کوچک در تهدید خود از دست ماشین ها فراری دهد پس از همین جهت صکارچیان تهدیدات انسانی نیز باید حضور داشته باشند که تهدیدات فرار کرده و از دست رفته توسط ماشین هارا تشخیص دهند.
تحقیق و بررسی - پس از رخدادن حملات پاسخگویی به چندسوال کلیدی و مهم و تحقیق و بررسی آنها میتواند به راحتی این امکان را به ما بدهد که پاسخگویی به تهدیدات را انجام بدهیم از همین جهت پاسخگویی به سوالات و درک عمیق آنها به ما کمک زیادی میکند از جمله این سوال ها میتوانیم به موارد زیر اشاره کنیم
پاسخ هدایت شده ( Guided Response ) - این اصطلاح دراصل به بهترین راهکار برای پاسخگویی و مهار یک حادثه اشاره دارد که آن را با عنوان پاسخ هدایت شده یا همان Guided Response میشناسیم که این فرآيند از ساده ترین نکات پاسخگویی به حوادث مانند جداسازی سیستم آلوده از دیگر سیستم ها تا مراحل پیشرفته و پیچیده حذف تهدید را شامل میشود.
بهبودی - مرحله آخر از کار ما بهبودی و رفع تمام مشکلات و حذف بد افزارها و اعمال مکانیزم های امنیتی و بازگردانی شبکه به حالت اولیه خود بازگرداند؛ این بخش نه تنها در MDR بلکه در تمامی فرآيند های پاسخگویی به حوادث باید به شکل کامل انجام شود زیرا که تمامی سرمایه گذاری های امنیتی را هدر میدهد درصورت اعمال نادرست این فرآيند یعنی بهبود یا همان Remediation
توجه داشته باشید که EDR بخشی از MDR میباشد و از همین بابت MDR نظارت بر روی کل سازمان را دارد اما EDR ها صرفا نگاه خود را بر روی سیستم ها یا همان EndPoint ها قرار میدهند.
دراصل MDR را میتوانیم سرویسی بعد از MSSP درنظر بگیریم اما از لحاظ تفاوت این دو شبیه به هم میباشند اما اگر به صورت دقیق تر بخواهیم بررسی کنیم متوجه میشویم که این دو تفاوت های نیز نسبت به یک دیگر دارند.
برای مثال MDR ها به صورت کاملا فعال هستند و بر روی شکارت تهدیدات تمرکز دارند اما MSSP ها واکنشی هستند و بر روی Alert ها و آسیب پذیری ها تمرکز دارند.
از جهت دیگر MSSP ها فایروال و تجهیزات امنیتی را مدیریت میکنند اما به اندازه MDR ها تجزیه و تحلیل بر روی رخداد ها و ارائه مستندات و جزئیات از تهدیدات را ارائه نمیکنند و مانند MDR ها تجزیه و تحلیل پزشکی قانونی دیجیتال ( Digital Forensic ) را ارائه نمیکنند.
اغلب MSSP ها با بکارگیری SIEM ها و سیستم های مدیریت Log و بسترهای کشف آسیب پذیری جلو میروند اما MDR ها به صورت پیشرفته فرآيند تحلیل و بررسی و نظارت و کشف تهدیدات را انجام میدهند و توانایی بالاتری دارند.
شاید برایتان سوال شود که نمونه های از شرکت های ارائه دهنده MDR که صورت سرشناس و فعال در دنیا میباشند کدامند؟
از جمله این شرکت ها میتوانیم به شرکت های پرطرفدار و قدرتمندی مثله SentinelOne و Crowdstrike اشاره کرد هرچند ما نمونه های دیگری راهم نیز داریم که رقبای بسیار خوبی برای این شرکت ها هستند که عبارتند از