مقاله

بهترین امنیت شما را کدام یک به ارمغان می‌آورد؟ SIEM ،EDR یا MDR؟

می‌توان گفت هر نوع بیزنس، نیاز به اقداماتی جهت افزایش امنیت اطلاعاتش دارد. مسلماً باید مهم بودن آن بیزنس و تاثیراتش را نیز در نظر گرفت که تا چه حد به امنیت احتیاج دارد. آیا نقش مهمی در صعنت ایفا می‌کند؟ از دست رفتن اطلاعات چقدر هزینه‌بردار است؟ نگهداری از آن‌ها چقدر؟

سوالات این چنینی قبل از هر اقدامی برای امنیت، مسیر را دقیق‌تر مشخص می‌کنند.

 

پیاده‌سازی اقدامات امنیتی SIEM به پرسنل حرفه‌ای و کاردان احتیاج دارد

اجرا کردن SIEM – Security Information and Event Management هزینه‌بردارو زمان‌گیر است و حدود ۱-۲ سال طول می‌کشد. البته این مسئله تنها خریدن و به دست آوردن این فناوری نیست، بلکه نوعی سرمایه‌گذاری روی تیم نیز می‌باشد.

تنها راه به دست آوردن دیتای حساس از سیستم شرکت یا هر جای مشابه آن، داشتن کارکنان بسیار حرفه‌ای برای انجام آن است.

طبق پیش‌بینی Frost & Sullivan تا سال ۲۰۲۲ میلادی حدود ۱٫۸ میلیون متخصص امنیت سایبری دیگر باید وجود داشته باشد.

برای همین منابع امنیتی الان کم‌یاب هستند و هر چیز کم‌یاب مسلماً گران هم می‌باشد. ضمناً اینکه حملات سایبری فقط در ساعات اداری اتفاق نمی‌افتند، احتیاج به امنیت را بسیار بیشتر می‌کند و در نتیجه هزینه‌ها نیز بیشتر می‌شوند. در واقع برای این امنیت در تمامی لحظات تیم امنیتی باید مشغول باشند.

 

متناسب کردن هزینه‌ها و در دسترس بودن امکانات با استفاده از EDR

زمان پیاده‌سازی امنیت EDR کمتر است و در نتیجه راهی سریع برای ایمن‌سازی دیتا به حساب می‌آید. این راه برای شناسایی حمله‌های هدف‌دار و تهدیدهای شناخته شده مناسب است.

EDR نیز هوشمندانه به نظر می‌رسد؛ اما با آن نیز با مشکلاتی روبه رو خواهید شد که درباره‌ی SIEM از آنها صحبت شد.

در این مورد باز هم به کارکنان ماهر نیاز خواهید داشت تا تهدیدها را شناسایی کرده و راه مناسب برخورد با هر کدام را بیابند.

جدیدترین و پیشرفته‌ترین قابلیت‌های EDR برای امنیت، فعال کردن خودکار مانیتورینگ و دیده‌بانی فعالیت‌ها به طور لحظه‌ای است که این قابلیت عالی نیاز به کار کردن همه ساعته را از بین می‌برد. این یعنی که تیم ITتان در ساعات اداری کار خود را انجام می‌دهند و بقیه‌ی روز را به دست EDR می‌سپارند. با این کار همچنین می‌توان خیلی سریع تهدیدها را پیدا کرد.

تفاوت مهمی بین EDR (Endpoint Detection and Response) و EPP (Endpoint Protection Platforms) وجود دارد. EPP به حداقل تلاش برای فعال شدن و اجرا احتیاج دارد و به طور خودکار مراحل مختلف را انجام می‌دهد. اما EDR بعد از تشخیص تهدید، نیاز به بررسی افراد و تیم دارد.

 

دسترسی بهتر و هزینه‌های کم‌تر با سرویس MDR – Managed Detection and Response

در واقع MDR روشی دیگر برای اجرای ۲۴ ساعته با هزینه‌های کمتر جهت امنیت است.

بهتر است نگاهی اندازیم به انبوه اطلاعاتی که یک متخصص امنیت سایبری با آن‌ها روبه‌رو است. سنسورها حدود ۲ بیلیون رویداد را از طرف مشترکین در هر ماه جمع‌آوری می‌کنند. سیستم‌ها حداکثر ۹۰۰ هزار تای آن‌ها را به عنوان تهدید انتخاب می‌کنند و حالا از بین تمام این‌ها، شاید فقط ۱۵ تهدید واقعاً درست تشخیص داده شده باشند. یعنی این تیم باید همه‌ی این‌ها را بررسی کند تا به تهدید واقعی برسند.

حالا با توجه به تمامی این مسائل احتمالاً دیگر پی برده‌اید که چرا یک سرویس امنیتی خودکار و مدیریت شده به SIEM ترجیح داده می‌شود:

هزینه‌ها! هزینه‌ها! هزینه‌ها!

در نهایت، سوال اصلی اینکه از کجا بفهمیم کدام راه برای ما و بیزنسی که داریم مناسب‌ترین راه است؟

در واقع لازم نیست حتماً فقط از یکی از این ابزارهای امنیتی استفاده کنید. افراد زیادی ترکیبی از MDR، SOC و SIEM را استفاده می‌کنند. مثلاً MDR برای تشخیص و تیمSOC  برای مقابله و از بین بردن تهدیدها.

باید اصلی‌ترین و محتمل‌ترین تهدیدات ممکن برای زمینه‌ای که در آن فعالیت دارید را از راه‌های قابل اعتماد پیدا کنید. برای این کار راه‌ها و ابزارهای مختلفی در اختیار دارید که در مقالات بعدی به بررسی آنها خواهیم پرداخت.

مطالب مرتبط:


بهترین امنیت شما را کدام یک به ارمغان می‌آورد؟ SIEM ،EDR یا MDR؟


پانته‌آ ستوده

دیدگاهتان را بنویسید