ما هو الكشف والاستجابة المُدارة (MDR)؟

هذا هو الجزء من قصة الأمن حيث dashboardلا داعي للقلق. يمكنك شراء نظام إدارة معلومات الأمان والأحداث (SIEM). يمكنك نشر نظام الكشف والاستجابة لنقاط النهاية (EDR). يمكنك إرسال سجلات الأحداث إلى "مكان ما". ومع ذلك، لا تزال الحوادث تقع لأن لا أحد يراقب عن كثب، أو لفترة كافية، أو بسياق كافٍ للتصرف بسرعة. إذن، ما هو الكشف والاستجابة المُدارة (MDR) ببساطة؟ إنها خدمة أمنية حيث يقوم فريق خارجي بمراقبة بيئتك باستمرار، والبحث عن التهديدات، والتحقيق في الأنشطة المشبوهة، والمساعدة في احتواء الهجمات (غالبًا على مدار الساعة) باستخدام مزيج من التكنولوجيا والمحللين البشريين. هذه هي الإجابة العملية لماهية MDR: الكشف بالإضافة إلى الاستجابة، يتم تقديمها كقدرة تشغيلية مستمرة، وليس كأداة أخرى يجب عليك تشغيلها بنفسك. إذا كنت بصدد تقييم مزودي خدمات الكشف والاستجابة المُدارة، فعادةً ما تحاول حل إحدى هذه المشكلات: كثرة التنبيهات، أو قلة المحللين المهرة، أو انعدام الثقة في قدرتنا على اكتشافها في الوقت المناسب. هذه هي تحديداً الفجوة التي صُممت خدمات الكشف والاستجابة المُدارة لسدها.

ما الذي تسعى إليه تقنية MDR؟ #

لنكن دقيقين بشأن النتائج. ما الذي لا يشمله نظام الكشف والاستجابة المُدارة (MDR): إضافة المزيد من بيانات القياس عن بُعد، أو جمع المزيد من السجلات، أو إنشاء المزيد من التذاكر؟ بل هو تقليص الوقت بين "حدوث شيء مريب" و"اتخاذ إجراء بشأنه".

تتفق معظم التعريفات على نفس الركائز:

• المراقبة المستمرة (والتي توصف غالبًا بأنها على مدار الساعة طوال أيام الأسبوع)
• البحث الاستباقي عن التهديدات
• تحقيق أجراه محللون خبراء
• إجراءات استجابة موجهة أو فعالة لاحتواء التهديدات

لهذا السبب، يتم تقييم مزودي خدمات الكشف والاستجابة المُدارة بشكل مختلف عن موردي برامج الأمان. فالمشتري لا يشتري منصة فحسب، بل يشتري أيضاً تنفيذاً تشغيلياً فعالاً.

وإذا كنت تريد نموذجًا ذهنيًا واضحًا للقيادة، فإن MDR هو "نتائج مركز عمليات الأمن كخدمة"، مع المساءلة عن جودة الكشف وتوجيه الاستجابة.

المفاهيم الخاطئة الشائعة #

خلال المحادثات مع فرق الأمن، تتكرر نفس سوء الفهم مرارًا وتكرارًا. ويؤدي ذلك إلى سوء اتخاذ قرارات الشراء.cisالأيونات، والتكاملات الضعيفة، والتوقعات غير الواقعية. لذا، دعونا أولاً نتخلص من المفاهيم الخاطئة.

المفهوم الخاطئ رقم 1: "لدينا بالفعل أدوات، لذلك لدينا بالفعل نظام MDR." #

صحيح! لكن الأدوات ليست خدمة. فوجود وكيل EDR مثبت في كل مكان لا يعني بالضرورة وجود جهة تحقق بنشاط في سلوك المهاجمين عبر نقاط النهاية والهويات. كما أن وجود نظام SIEM مليء بالسجلات لا يعني احتواء الحوادث المؤكدة. هذا هو الفرق الجوهري بين الكشف والاستجابة المُدارة: فهي عملية تشغيلية تُنفذ باستمرار، وليست مجرد جمع بيانات. 

المفهوم الخاطئ رقم 2: "MDR يقوم فقط بإعادة توجيه التنبيهات." #

إذا كانت خدمة الكشف والاستجابة المُدارة (MDR) التي يقدمها أحد الموردين تقتصر على "إخطارك فقط"، فأنت لا تحصل على المعنى الحقيقي لهذه الخدمة كما تُعرّفها معظم التعريفات الموثوقة. من المتوقع أن تشمل خدمة MDR التحقيق ودعم الاستجابة، وغالبًا البحث عن التهديدات، لأن الكشف دون متابعة هو ما يجعل الاختراقات تتصدر عناوين الأخبار. 

المفهوم الخاطئ رقم 3: "MDR يحل محل ملكية الأمن الداخلي." #

لا. حتى أفضل مزودي خدمات الكشف والاستجابة المُدارة ما زالوا بحاجة إلى تحديد مسارات التصعيد، وتأثيرها على الأعمال، وأهمية الأصول، ومن هو المخوّل باتخاذ إجراءات تعطيلية. إن خدمات الكشف والاستجابة المُدارة هي امتداد لقدراتك، وليست بديلاً عن الحوكمة.

المفهوم الخاطئ رقم 4: "جميع مزودي خدمات الكشف والاستجابة المُدارة هم نفس الشيء". #

ليست كذلك. يركز البعض بشكل كبير على بيانات تتبع نقاط النهاية، بينما يركز آخرون على العمليات التي تتمحور حول نظام إدارة معلومات الأمان والأحداث (SIEM)، ويركز غيرهم على الهوية والحوسبة السحابية. كما تختلف صلاحيات الاستجابة: فبعض المزودين قادرون على عزل الأجهزة أو تعطيل الحسابات، بينما يكتفي آخرون بالتوصية بالإجراءات. إذا كنت تشتري بناءً على كتيب، فأنت لا تشتري في الواقع خدمة الكشف والاستجابة المُدارة، بل تشتري مجرد دعاية تسويقية.

ما الذي يفعله نظام MDR فعلياً أثناء الهجوم؟ #

ولتوضيح ذلك بشكل ملموس، إليك التدفق النموذجي الذي يتبعه العديد من مزودي خدمات الكشف والاستجابة المُدارة:

1. جمع الإشارات من نقاط النهاية وأنظمة الهوية والشبكات وسجلات السحابة.
2. الكشف عن الأنماط المشبوهة باستخدام التحليلات والقواعد وإثراء معلومات التهديدات. 
3. تحقق للتأكد مما إذا كان خبيث (أو ضوضاء).
4. استجب من خلال توجيه خطوات الاحتواء (أو تنفيذها)، ثم ساعد في معالجة والانتعاش. 

إن هذه السلسلة (الكشف → التحقق → الاستجابة) هي التعريف التشغيلي لما يُعرف بـ MDR، وهذا هو السبب في أن ما يُعرف بالكشف والاستجابة المُدارة يتم وضعه بشكل متزايد كحل عملي لقيود التوظيف في مركز عمليات الأمن.

ما هي مصادر البيانات التي يراقبها نظام MDR؟ #

لكي تعمل خدمة الكشف والاستجابة المُدارة (MDR)، يجب تزويدها ببيانات ذات مغزى. ما فائدة خدمة MDR بدون بيانات القياس عن بُعد؟ إنها مجرد وعود في الغالب. عمليًا، يراقب مزودو خدمات الكشف والاستجابة المُدارة مجموعة من هذه المصادر (يختلف هذا المزيج باختلاف المزود وبنية النظام لديك):

بيانات القياس عن بُعد لنقاط النهاية (محطات العمل، والخوادم، والحاويات)

تنفيذ العمليات، وتغييرات الملفات، ومحاولات الاستمرار، والعمليات الفرعية المشبوهة، وأنماط تفريغ بيانات الاعتماد، وسلوكيات نقاط النهاية الأخرى، غالبًا من خلال أدوات EDR التي تستخدمها فرق MDR. 

إشارات الشبكة ونظام أسماء النطاقات

الاتصالات الصادرة، والوجهات غير المعتادة، وشذوذ نظام أسماء النطاقات، وآثار الحركة الجانبية، وأنماط القيادة والتحكم.

سجلات الهوية والوصول

أحداث المصادقة، والسفر المستحيل، والاستخدام غير المعتاد للرموز المميزة، وتصعيد الامتيازات، وسلوك المسؤول المحفوف بالمخاطر. تغطي بعض خدمات MDR الهوية بشكل صريح. كشف التهديد كجزء من نطاق مراقبتهم. 

سجلات مستوى التحكم السحابي وسجلات أحمال العمل

سجلات تدقيق السحابة (استدعاءات واجهة برمجة التطبيقات، وتغييرات السياسة)، ونشاط عبء العمل، والوصول المشبوه إلى التخزين أو إدارة المفاتيح، لأن المهاجمين يحبون الانتقال إلى بيئات السحابة بمجرد حصولهم على بيانات الاعتماد. 

سجلات الأمان وبيانات الأحداث المركزية

تعتمد العديد من نماذج MDR على بحيرة البيانات أو التجميع على غرار SIEM للربط بين المصادر. 

الدرس الأساسي: تعتمد جودة نتائج نظام الكشف والاستجابة المُدارة (MDR) بشكل كبير على ما يتم دمجه. لهذا السبب، يسأل المشترون الجادون عن ماهية نظام مراقبة الكشف والاستجابة المُدارة في بيئتنا، وما هو الحد الأدنى من بيانات القياس عن بُعد المطلوبة لتحقيق القيمة المرجوة.

MDR مقابل MSSP مقابل EDR: أين يقع الناس في حيرة من أمرهم؟ #

لفرق DevOpsلا يهدف هذا الفحص إلى إبطاء العمل، بل إلى تجنب إعادة العمل والحوادث. ومن أهم فوائده الحصول على تعليقات مبكرة، حيث يحصل المطورون على معلومات فورية. إليك طريقة بسيطة للحفاظ على اتساق سردك:

• EDR هي في الأساس فئة أدوات تركز على نقاط النهاية.
• MSSPs غالباً ما يركز على عمليات الأمن المُدارة على نطاق أوسع، وأحياناً يركز بشكل كبير على المراقبة وإصدار التذاكر.
• ما هو MDR؟خدمة تتمحور بشكل صريح حول الكشف والاستجابة النتائج، عادةً من خلال البحث عن التهديدات والتحقيقات التي يقودها المحللون. 

وإذا سأل أحدهم مرة أخرى ما هو MDR مقارنة بـ XDR: يوصف XDR عادةً بأنه نهج تقني يوحد مصادر القياس عن بعد المتعددة، بينما MDR هو نموذج خدمة قد يستخدم أدوات تشبه XDR ولكنه يوفر الأشخاص والعمليات من حوله. 

كيفية تقييم مزودي خدمات الكشف والاستجابة المُدارة؟ #

إذا كنت بصدد اختيار مزودي خدمات الكشف والاستجابة المُدارة، فركز على تفاصيل التنفيذ، وليس على قوائم الميزات:

• من يقوم بالتحقيق (وما هو نموذج تغطية المحللين الخاص بهم)؟
• ما هي الإجراءات التي يمكنهم اتخاذها، وما هي الموافقات المطلوبة؟
• ما هي مصادر القياس عن بعد التي يحتاجونها، وما هي عمليات التكامل الأصلية؟
• كيف يتعاملون مع البحث عن التهديدات والتحقق منها لتقليل النتائج الإيجابية الخاطئة؟

يعتمد مفهوم الكشف والاستجابة المُدارة في مؤسستك على بيئتك، ونموذج سلطة الاستجابة لديك، ومدى جودة اندماج الموفر في سير العمل الخاص بك.

ملاحظة أخيرة حول عمق الكشف وسياق الاستجابة #

لا يكمن أحد القيود المتكررة في العديد من برامج الكشف والاستجابة المُدارة في نقص التنبيهات، بل في نقص الإشارات المبكرة عالية الموثوقية. تعتمد فرق الكشف والاستجابة المُدارة بشكل كبير على جودة البيانات التي تتلقاها وتوقيتها. عندما يتأخر الكشف، تكون الاستجابة رد فعلية. وهنا تبرز أهمية المناهج التكميلية التي تركز على تحليل السلوك المبكر والمعلومات السياقية. منصات مثل... زيجيني التركيز على اكتشاف السلوك الضار في أقرب وقت ممكن في دورة حياة البرمجيات وفي وقت التشغيل، مما ينتج عنه إشارات عالية الدقة يمكن استخدامها من قبل عمليات الأمن وفرق MDR على حد سواء.

عند استخدامهما معًا، تساعد قدرات الكشف المبكر وإدارة الكشف والاستجابة على تقليل وقت الانتظار، وتحسين دقة التحقيق، وجعل إجراءات الاستجابة أكثر فعالية.cisive، خاصة في البيئات التي الهجمات الحديثة إساءة استخدام التطبيقات، واختراق الهوية، وإساءة استخدام البنية التحتية.