خدمة الكشف والاستجابة المُدارة (MDR)
MDR Nedir?
الكشف والاستجابة المُدارة (MDR) هي خدمة أمن سيبراني تجمع بين التكنولوجيا والخبرة البشرية لرصد التهديدات ومراقبتها والاستجابة لها. وتتمثل الفائدة الرئيسية من MDR في المساعدة على تحديد التهديدات والحد من آثارها بسرعة دون الحاجة إلى موظفين إضافيين.
يراقب نظام MDR التهديدات المكتشفة داخل مؤسستك عن بُعد، ويكشفها، ويستجيب لها. ولتحقيق ذلك، يستخدم مزود الخدمة أداة الكشف والاستجابة لنقاط النهاية (EDR)، ويوفر الرؤية اللازمة للأحداث الأمنية في نقاط النهاية. بمجرد تحقيق الرؤية، تُجمع بيانات القياس عن بُعد من نقاط النهاية في وحدة تحكم مركزية، حيث يتم الكشف عن الأحداث المشبوهة والاستجابة لها بسرعة، بمساعدة بيانات استخبارات التهديدات والتحليلات المتقدمة.
ما هي أهم مميزات الخدمات التي تقدمها MDR؟
الميزة الأساسية للخدمات التي تقدمها MDR هي الكشف الدقيق عن الهجمات الإلكترونية التي لا يمكن اكتشافها ومنعها باستخدام حلول الحماية التقليدية، والتدخل في مصدر هذه الهجمات قدر الإمكان. ولتشغيل عمليات الكشف والتدخل المتقدمة التي توفرها MDR في نقاط النهاية، يُستخدم برنامج مزود بقدرات خاصة تُسمى EDR.
في نطاق خدمة الاستجابة للتهديدات السيبرانية (MDR)، تُعرّف معلومات استخبارات التهديدات السيبرانية المتعلقة بالهجمات السيبرانية على المؤسسة المعنية أو غيرها من المؤسسات المحلية والأجنبية في القطاع نفسه تعريفًا شاملًا لاستخدامها في جميع العمليات. في هذه الخطوة، تُستعان بالعديد من مصادر استخبارات التهديدات السيبرانية التجارية وغير التجارية.
بغض النظر عن عمليات مركز العمليات الأمنية التي تديرها المنظمة، فإن التقنيات المذكورة أعلاه والتي تزيد من الرؤية في نقطة النهاية وطبقة الشبكة تتم مراقبتها وتشغيلها على مدار الساعة طوال أيام الأسبوع بواسطة الفريق الخاص الذي يقدم خدمة MDR.
إذا كانت المؤسسة تمتلك بالفعل خدمة مركز عمليات أمنية (SOC) مُستعانة بمصادر خارجية، فيمكن لمقدمي خدمات MDR وSOC العمل بشكل منسق وتزويد بعضهم البعض بتدفق البيانات. ومع ذلك، يتولى MDR الدور الأهم المطلوب للكشف عن الحوادث السيبرانية والاستجابة السريعة والدقيقة لها. تتم مراجعة العمليات المحددة في المؤسسة وإعادة تنظيمها خصيصًا لهذه المشكلة.
نظراً لأن أساليب مراقبة الأمن التقليدية مُرهِقة وغير كافية للاستجابة للحوادث، تُعد خدمة الكشف والاستجابة للحوادث (MDR) بالغة الأهمية للكشف عن أي هجوم إلكتروني على شبكة الشركة والتدخل فيه بأسرع وأدق طريقة. وبناءً على ذلك، يزداد استخدام خدمة الكشف والاستجابة للحوادث (MDR) من قِبَل المزيد من الشركات والمؤسسات التجارية يوماً بعد يوم.
ما هي استخدامات MDR؟
يقلل من احتمالية أو تأثير الهجمات الناجحة.
إنه يوفر رؤية على مدار الساعة طوال أيام الأسبوع ويغطي جميع الأصول في المنظمة.
ضمان الاستمرارية من خلال إجراء البحوث حول التهديدات الجديدة وثغرات الأمن.
إنها تعمل على تحقيق التوازن بين التكنولوجيا والخبرة الإنسانية في جوهرها لتوفير الدقة والقيمة.
توفير أساليب استجابة مخصصة تعكس سياق العمل والهجوم والسبب.
ويقدم نتائج وتقارير موثوقة وسهلة الوصول ومفيدة.
مقارنة SOC وMDR
يُخلط أحيانًا بين خدمات MDR والخدمات التي تقدمها مراكز عمليات الأمن (SOCs). يوضح الرسم البياني التالي من Gartner ذلك.
تهدف خدمات مراقبة وإدارة الأمن السيبراني المُقدمة ضمن نطاق مركز العمليات الأمنية (SOC) إلى كشف ومنع الهجمات السيبرانية باستخدام أدوات الأمن التقليدية، وبمساعدة بصمات الهجمات السيبرانية المعروفة (على مستوى نقطة النهاية، أو البوابة، أو مركز جمع السجلات). وتُعد مراكز العمليات الأمنية (SOC)، التي تُراقب وتُدير البنى التحتية للأمن السيبراني للمؤسسات، بالغة الأهمية في منع الهجمات السيبرانية المعروفة. إضافةً إلى ذلك، تُدرك العديد من المؤسسات المعنية أن الهجمات السيبرانية الحالية مُتقدمة للغاية، وأن التقنيات والعمليات المُستخدمة في نهج مركز العمليات الأمنية التقليدي غير كافية للكشف عن هذه الهجمات السيبرانية المُتقدمة والاستجابة لها. تُعزز خدمة الاستجابة للحوادث المتعددة (MDR) من قدرة المؤسسات على مُقاومة الهجمات السيبرانية المُتقدمة من خلال توفير تقنيات وخدمات تُركز على الأفراد. فيما يلي مُقارنات بين خدمات مركز العمليات الأمنية (SOC) وخدمات الاستجابة للحوادث المتعددة (MDR) مع مراعاة الخطوات الرئيسية لعملية الاستجابة للحوادث.
تَحَقّق
أكبر مشكلة يواجهها محللو مركز العمليات الأمنية هي الحاجة إلى إجراء تحقق مفصل لجميع الأحداث التي يتم وضع علامة عليها على أنها هجمات إلكترونية بواسطة التقنيات التي يستخدمها مركز العمليات الأمنية المعني وإنشاء تنبيه في هذا السياق. من المعروف أن جميع مراكز العمليات الأمنية تتعامل مع عدد كبير من التنبيهات الإيجابية الكاذبة وحتى دمج العديد من التقنيات في البنى التحتية الأمنية الخاصة بها من أجل تقليل عدد هذه التنبيهات. حتى في هذه الحالة، فإن أكبر مشكلة لمحلل مركز العمليات الأمنية هي تحديد ما إذا كان التنبيه الوارد صحيحًا أم لا. وخاصة في الهجمات الإلكترونية، نظرًا لأن الأحداث التي تسبق وتلي التنبيهات التي تم اكتشافها بعيدًا عن مركز تصرفات المهاجمين لا يتم تسجيلها، فإن إحدى أكثر المشكلات الأساسية لمراكز العمليات الأمنية هي أنه من غير المعروف ما إذا كانت رسالة التنبيه ذات الصلة تنتمي إلى هجوم إلكتروني حقيقي، وإذا كان الهجوم حقيقيًا، فما الذي حدث قبل الحادث وبعده.
من أهم السمات التي تميز محللي MDR عن محللي SOC هي التقنيات التي يستخدمونها. فبفضل إمكانية الوصول إلى سجلات تتبع مفصلة للتحقق من وقوع هجوم إلكتروني على المكونات عند حدوثه على الشبكة الداخلية، بالإضافة إلى تنبيهات الهجوم المُولّدة بناءً على نماذج سلوكية مرتبطة بهجمات مماثلة، يستطيع محللو MDR الكشف الفوري عن الحوادث الإلكترونية واتخاذ إجراءات سريعة للغاية بشأن الهجمات الإلكترونية المكتشفة. وبالنظر إلى أن المهاجمين الإلكترونيين المتقدمين يهدفون إلى الوصول إلى أهدافهم في وقت قصير جدًا، يتضح مدى أهمية القدرة على التحقق السريع واتخاذ الإجراءات اللازمة.
مراجعة مفصلة
جوهر العمليات التي تُجريها مراكز العمليات الأمنية (SOCs) هو جمع السجلات من مصادر متعددة في خادم سجلات مركزي (SIEM)، والتحقق من هذه السجلات من خلال الكشف عنها. ويتطلب جمع عدد كبير من السجلات من أنظمة مختلفة في موقع مركزي ربط هذه السجلات. والشرط الأول لنجاح الربط هو جمع السجلات الصحيحة من التقنيات ذات الصلة. في معظم الحالات، تظل العديد من عمليات مراكز العمليات الأمنية غير مكتملة، ولا يُمكن إجراء تحقيق ناجح في الحوادث لأن التقنيات ذات الصلة لا تحتوي على تفاصيل كافية في السجلات، وتتطلب هذه التقنيات إجراء بعض العمليات الإضافية لتفصيلها.
بفضل السجلات والعمليات المُفصّلة التي تُوفّرها تقنيات أجهزة الاستجابة للحوادث (MDRs)، يُمكن تحديد السبب الجذري لأي هجوم إلكتروني بسرعة فائقة. ويلعب الكشف السريع عن السبب الجذري دورًا أساسيًا في منع وقوع الهجوم الإلكتروني المُصادف بسرعة، وفي تحديد الإجراءات اللازمة لمنع وقوع هجمات إلكترونية مُماثلة في المستقبل.
وقاية
غالبًا ما تعتمد العمليات الموضوعة لمنع الهجمات الإلكترونية التي يتم اكتشافها بواسطة مراكز العمليات الأمنية على الإجراءات التي تتخذها أطراف ثالثة، مما قد يؤدي إلى إبطاء الاستجابة والسماح للهجوم الإلكتروني بالاستمرار خلال هذا الوقت.
من أهم ميزات التقنيات التي تستخدمها أنظمة الاستجابة للهجمات الإلكترونية (MDRs) قدرتها على التدخل المتقدم لمنع الهجمات الإلكترونية المكتشفة بأسرع وقت ممكن. بهذه الطريقة، تستطيع أنظمة الاستجابة للهجمات الإلكترونية التدخل في الهجمات الإلكترونية دون الحاجة إلى دعم من أي طرف ثالث، وعند الضرورة، عزل المكون المعرض للهجوم الإلكتروني عبر الشبكة، وجمع الآثار الرقمية للهجوم الإلكتروني ذي الصلة، والبحث بسرعة عن آثار هجمات مماثلة على جميع مكونات النظام الأخرى التي تراقبها أنظمة الاستجابة للهجمات الإلكترونية للكشف عن مدى انتشار الهجوم الإلكتروني.
البحث الاستباقي عن التهديدات السيبرانية والبحث عنها
تعتمد العديد من التقنيات المستخدمة في البنى التحتية لمراكز العمليات الأمنية (SOC) على التوقيعات، ويعتمد نجاح منع أي هجوم إلكتروني على وجود توقيعات الهجوم المعني في التقنيات المستخدمة. وعلى وجه الخصوص، فإن كون توقيعات معظم الهجمات الإلكترونية المتقدمة التي نواجهها اليوم إما مجهولة تمامًا، أو أن المهاجمين يستخدمون أدوات أنظمة تشغيل خاصة بهم دون استخدام أي أدوات خارجية أثناء تنفيذ الهجوم الإلكتروني، يجعل من المستحيل اكتشاف هذه الهجمات باستخدام أنظمة التوقيعات.
تهدف مجموعة الأدوات التي يستخدمها محللو MDR إلى توفير رؤية شاملة للأنظمة. وبهذه الطريقة، تُسجَّل جميع الأدوات والأساليب التي يستخدمها المهاجمون بالتفصيل على الأنظمة. كما يُجري محللو MDR فحصًا دقيقًا لهذه السجلات، وتُنفَّذ عمليات تقصي للتهديدات للكشف عن الهجمات الإلكترونية التي لم تُكتشف بواسطة التقنيات المستخدمة.
منصات EDR
بفضل تقنيات EDR المستخدمة في خدمة MDR، تُجمع سجلات جميع العمليات التي تُجرى على نظام التشغيل من خلال برنامج مُثبّت على جميع الخوادم والعملاء، وتُرسل إلى الخادم المركزي. بهذه الطريقة، تُحفظ سجلات جميع الأنشطة التي تُجرى على الحاسوب، مثل التطبيقات المُشغّلة والملفات المفتوحة وعناوين الشبكات المتصلة، على خادم مركزي، ويُمكن الكشف عن الحوادث السيبرانية بسرعة فائقة بفضل مصادر معلومات التهديدات السيبرانية المُفعّلة على هذا الخادم.
تُقدم هذه الطريقة نتائج ممتازة، لا سيما في الكشف عن الهجمات الإلكترونية التي تُشير إليها أنماط سلوكية مُحددة، وفي كشف الأسباب الجذرية لها. ومن ميزات هذه المنصات أيضًا قدرتها على التدخل في الهجمات الإلكترونية. وبهذه الطريقة، يُمكن عزل أجهزة الكمبيوتر أو الخوادم التي تعرضت لهجمات إلكترونية تمامًا عن الشبكة، وتشغيل التطبيقات على هذه الأنظمة باستخدام منصة EDR، أو جمع الملفات اللازمة من نقاط النهاية لتحليل الهجوم الإلكتروني بشكل مُفصل.
في ميتا سايبر، نستخدم تقنيات من تطوير شركات رائدة في خدمة الكشف والاسترداد الإلكتروني (MDR) التي نقدمها. نضمن لعملائنا الاستفادة القصوى من خدمة الكشف والاسترداد الإلكتروني (MDR) بفضل الرؤية الواضحة التي نكتسبها بعد تطبيق تقنية الكشف والاسترداد الإلكتروني المناسبة، والتي نختارها بعناية فائقة مع مراعاة احتياجات عملائنا.
مركز العمليات الأمنية
MDR
كشف
تهدف خدمات مراقبة وإدارة الأمن السيبراني المُقدمة ضمن نطاق مركز العمليات الأمنية (SOC) إلى كشف ومنع الهجمات السيبرانية باستخدام أدوات الأمن التقليدية وبمساعدة بصمات الهجمات السيبرانية المعروفة (على مستوى نقطة النهاية، أو البوابة، أو مركز جمع السجلات). وتُقدم مقارنات بين خدمات مركز العمليات الأمنية (SOC) وخدمات إدارة المخاطر والاستجابة لها (MDR) للأمن السيبراني في المؤسسات.
تهدف خدم�ات مراقبة وإدارة الأمن السيبراني المُقدمة ضمن نطاق مركز العمليات الأمنية (SOC) إلى كشف ومنع الهجمات السيبرانية باستخدام أدوات الأمن التقليدية وبمساعدة بصمات الهجمات السيبرانية المعروفة (على مستوى نقطة النهاية، أو البوابة، أو مركز جمع السجلات). وتُقدم مقارنات بين خدمات مركز العمليات الأمنية (SOC) وخدمات إدارة المخاطر والاستجابة لها (MDR) للأمن السيبراني في المؤسسات.