مقالات

مقایسه MDR و MSSP

msspvsmdr sindadsec
۰۵ بهمن

کدامیک برای سازمان شما مناسب است؟

هنگامی‌که راه‌حل‌های امنیتی سایبری مدیریت شده را ارزیابی می‌کنید، باید یکی از مهم‌ترین ملاحظات را در نظر بگیرید: تشخیص و پاسخ مدیریت شده (MDR) در مقایسه با فراهم‌کنندگان خدمت امنیت مدیریت شده (MSSP). درک کارکرد کلیدی و تفاوت میان فراهم‌کنندگان MDR و MSSP ها برای اتخاذ بهترین تصمیمات امنیتی برای سازمان شما، حائز اهمیت است.

تعاریف

فراهم‌کننده خدمت امنیت مدیریت شده چیست؟

اصطلاح فراهم‌کنندگان خدمت امنیت مدیریت شده از فراهم‌کنندگان خدمت اینترنت (ISP) نشات گرفته است. MSSP بر شبکه کاربر و امنیت اطلاعات نظارت می‌کند. MSSP ها نظارت 5*8 یا 7*24 فراهم می‌کنند، سامانه‌های تشخیص نفوذ و دیواره‌های آتش را مدیریت می‌کنند، مدیریت وصله (پچ) و به روزرسانی‌ها را بازبینی می‌کنند و ارزیابی‌ها و بازرسی‌های امنیتی انجام می‌دهند.

براساس گزارش Forrester در ماه نوامبر سال 2021 تحت عنوان: درک خدمات امنیتی امروزی: MSS، MDR و SOCaaS، «MSSP ها روی تله‌متری شبکه و داده‌های گزارش زیرساخت تمرکز می‌کنند و از طریق مدیریت نرم‌افزار EDR و با ارائه خدمت، به سمت جلو جهش کرده و یک فرصت بازار گسترده مشاهده کردند … با افزایش تقاضای تشخیص و پاسخ مدیریت شده (MDR)، گونه دیگری از خدمت نمایان شد …»

تشخیص و پاسخ مدیریت شده (MDR) چیست؟

راه‌حل‌های تشخیص و پاسخ مدیریت شده (MDR) برای شناسایی تهدیدهای فعال و پاسخ سریع به منظور حذف، بررسی یا مهار کردن تهدیدها، امکان نظارت 7*24 را فراهم می‌کنند. راه‌حل‌های MDR برای نظارت بر محیط مشتری، ضبط تهدیدهای جدید و فعال و پاسخ متناسب با آن، از ترکیبی از فناوری و تخصص انسانی استفاده می‌کنند. راه‌حل‌های فراهم‌کنندگان MDR شامل جستجو، تشخیص، بررسی و رفع تهدید است.

طبق گفته Gartner «این کارکردها به سازمان‌ها اجازه می‌دهد تا تهدیدها را به سرعت تشخیص داده، تحلیل و بررسی کنند و به صورت فعالی آنها را کاهش داده و مهار کنند».

اهداف

ارائه‌دهندگان MDR و MSSP ها نقاط ضعف مشابهی در مشتری را در نظر می‌گیرند که به شرح زیر است:

  • هشدارها را دریافت کرده و به کاهش فرسودگی هشدار (فرسودگی هشدار شرایطی است که مشتری به دلیل دریافت تعداد زیادی هشدار، تمرکز خود را از دست می‌دهد) کمک می‌کند.
  • کمبود نیروی کار یا شکاف مهارتی را پوشش می‌دهد.
  • ابزارهایی برای پیشگامان عملیات امنیتی فراهم می‌کند تا به سرعت تهدیدها را شناسایی کرده، آنها را کاهش دهند و قرار گرفتن در معرض تهدید را نیز بکاهند.

اما فروشندگان MSSP ها و MDR از منظر روش‌ها و مدل‌هایی که برای حل این نقاط ضعف استفاده می‌کنند، متفاوت هستند.

مدل‌ها

MSSP

راه‌اندازی جریان کار اصلی MSSP معمولاً از طریق فناوری مدیریت رخدادهای امنیتی (SIEM) صورت می‌گیرد. SIEM را می‌توان از طریق مشتری یا MSSP مدیریت کرد. MSSP ها بر شبکه‌های امنیتی نظارت کرده و هرگاه تشخیص دهند یک ناهنجاری وجود دارد، هشدارهایی ارسال می‌کنند. از آنجایی‌که تمرکز اصلی آنها بر دیواره‌ آتش، نقاط انتهایی و وصله‌زنی است، مشتری همچنان باید به حادثه پاسخ دهد، تهدید را بشناسد و آن را اصلاح کند.

MSSP ها همچنین راه‌حل‌های امنیتی فرعی نیز ارائه می‌کنند که شامل آزمون نفوذ و آموزش آگاهی امنیتی است. اگرچه MSSP ها با برخی جنبه‌های MDR همپوشانی دارند، اما MSSP ها به تنهایی، تهدیدات را حذف نمی‌کنند – این راه‌حل عمدتاً بر پیشگیری تمرکز کرده و پاسخ را به عهده مشتری گذاشته است.

درحالی‌که ارائه‌دهندگان خدمت امنیت مدیریت شده (MSSP ها) از بسیاری از بخش‌های گوناگون یک برنامه امنیتی پشتیبانی می‌کنند، اما تشخیص و پاسخ به تهدیدات پیشرفته جز تخصص آنها نیست.

MDR

ارائه‌دهندگان MDR روی تشخیص و پاسخ تمرکز می‌کنند. آنها هشدارهایی از کاربر دریافت کرده و همچنین اغلب منابع داده‌ای دیگر را نیز شامل می‌شوند که در این میان می‌توان نه تنها به SIEM بلکه به شبکه، ایمیل، ابر یا کاربردهای SaaS نیز اشاره کرد. تحلیل عمیق‌تر این امکان را برای آنها فراهم می‌کند تا در مقایسه با MSSP ها تهدیدها را سریع‌تر شناسایی کنند.

ارائه‌دهندگان MDR همچنین تیم‌هایی با تخصص امنیتی قوی فراهم می‌کند تا به مشتریانی که دچار فرسودگی هشدار شده‌اند یا در تلاش هستند تا کارکنان امنیتی با مجموعه مهارت‌های صحیح را استخدام کنند، کمک کند. این متخصصان امنیتی دارای بینش عمیقی بوده و از تشخیص دقیق‌تر و سریع‌تر، جستجو تهدید، پاسخ به حادثه و قابلیت‌های دیگر پشتیبانی می‌کنند.

در خصوص پاسخ‌دهی، ارائه‌دهندگان MDR قادر به اعمال راهنماهای سفارشی شده هستند تا مشتریان بتوانند سریع‌تر از مرحله هشدار به عمل برسند. ارائه‌دهندگان MDR ممکن است راهنمای بلادرنگ در طول حادثه و آماده‌سازی پیشرو ارائه دهند.

ارزیابی Forrester از مقایسه MSSP ها و ارائه‌دهندگان MDR به صورت زیر است: MSSP ها طیف وسیعی از خدمات ارائه می‌دهند، اما MDR ها با تشخیص تهدیدها و پاسخ به آنها در محیط خود، سازمان‌ها را به صورت عمیق‌تری در برابر یک نقص امنیت سایبری محافظت می‌کنند.

MSSP ها عمدتاً به امضا و تشخیص مبتنی بر قاعده متکی بوده و اغلب قادر به ضبط تهدیدهای پیشرفته (و حتی به صورت فزاینده‌ای، روش‌های حمله پایه‌ای) نیستند. هنگامی‌که حادثه‌ای کشف می‌شود، بسیاری از مشتریان MSSP همچنان مسئول مدیریت مهار و کاهش تهدید بوده یا باید به ارائه‌دهنده تیم پاسخ حادثه پول بیشتری پرداخت کنند تا به کمک آنها بیایند. حتی پس از آن، ممکن است کارکنان MSSP به طور تخصصی برای پاسخ موثر به یک حادثه، آموزش ندیده باشند.

در مقابل، خدمات MDR به طور مشخص بر بهبود تشخیص، بررسی و پاسخ به تهدیدی پیشرفته علیه یک سازمان، تمرکز می‌کند. از این خدمات برای تقویت قابلیت‌های داخلی استفاده می‌شود. MDR مجموعه داده‌هایی مشابه MSSP ها را بررسی می‌کند، مانند گزارش‌های شبکه یا  تلمتری نقطه انتهایی، اما بررسی آنها عمیق‌تر است.

علاوه براین، آنها به طور خاص برای استفاده از فناوری‌های پیشرفته طراحی شده‌اند؛ برخی از این فناوری‌ها عبارتند از: تشخیص و پاسخ نقطه انتهایی (EDR)، تحلیل رفتاری و پلتفرم‌های مدیریت رویداد امنیتی سفارشی.

کدام مورد برای شما مناسب است؟

این انتخاب به سازمان شما و نتایج امنیتی بستگی دارد که به دنبال دستیابی آن هستید. MSSP طیف وسیعی از خدمات ارائه داده و دیدگاه کلی از وضعیت امنیت در اختیار شما قرار می‌دهد. MSSP ها به تنهایی نمی‌توانند تهدیدات را حذف کنند – این راه‌حل عمدتاً بر پیشگیری تمرکز کرده و عناصر بررسی و پاسخ را به عهده مشتری گذاشته است. MDR عمیق‌تر بوده و برای تشخیص و تحلیل سریع تهدیدات و همچنین پاسخ به آسیب‌پذیری‌ها از تخصص انسانی استفاده می‌کند.

مقاله

از آشنایی با شما خوشحالیم 👋

برای باخبر شدن از آخرین خبرهای دنیای امنیت، لطفا در خبرنامه سیندادسک عضو شوید.