ما المقصود بالاكتشاف والاستجابة المُدارة (MDR)؟
يعد الاكتشاف والاستجابة المدارة، أو MDR، حلاً للأمن الإلكتروني مدارًا بالكامل يجمع بين خبراء الأمان ومعلومات التهديدات والأدوات المتقدمة لتوفير حماية من التهديدات للمؤسسات على مدار الساعة طوال أيام الأسبوع.
يعد التهديد المتزايد الذي يشكله الأمن الإلكتروني على الأفراد والشركات في جميع أنحاء العالم موثقًا جيدًا، لكن ما قد يكون أقل شهرة هو مدى معاناة بعض المؤسسات في الحفاظ على دفاعات قوية وآليات استجابة.
وفقًا لأبحاث Kaspersky، يقول 41% من المتخصصين في أمان المعلومات إن فرق الأمن الإلكتروني في مؤسساتهم تعاني من نقص في عدد الموظفين "إلى حد ما" أو "بشكل كبير". ويعني هذا أن هناك طلبًا كبيرًا على المتخصصين في مجال الأمان، وتجد المؤسسات صعوبة أكبر في جذب عدد كافٍ من الموظفين ذوي المهارات المناسبة والاحتفاظ بهم. ويؤثر هذا على كل أنواع الأعمال: وجد المنتدى الاقتصادي العالمي أن فجوات المهارات تمثل أكبر تحدٍ للمرونة الإلكترونية لنسبة 52% من المؤسسات العامة. وفي الوقت نفسه، يقول أقل من نصف المؤسسات الصغيرة إنها تمتلك المهارات اللازمة للاستجابة لهجوم إلكتروني والتعافي منه.
ولهذا السبب، تتجه العديد من الشركات نحو الخدمات المدارة للوصول إلى الحلول والخبرات التي تحتاجها للحفاظ على أمان البيانات والأنظمة والتطبيقات والمستخدمين. وتعد واحدة من أكثر الطرق فعالية لتحقيق ذلك من خلال الاكتشاف والاستجابة المدارة (MDR)، لكن الآن فقط بدأت المؤسسات تستيقظ تدريجيًا على مدى أهمية أمان الاكتشاف والاستجابة المدارة لأعمالها. وجدت أبحاث شركة Gartner أنه في عام 2023، كانت 30% فقط من المؤسسات تستخدم بنشاط قدرات تعطيل التهديدات عن بُعد واحتوائها من مزودي خدمات الكشف عن الاكتشاف والاستجابة المدارة، لكن من المتوقع أن ترتفع هذه النسبة إلى 50% بحلول عام 2025. وفي الوقت المناسب، عالج Kaspersky MDR (الاكتشاف والاستجابة المدارة) أكثر من 430 حدثًا أمنيًا في العام 2023، حيث تم اكتشاف معظم الحوادث الخطيرة في الهيئات الحكومية والمؤسسات الصناعية والمالية. ويتطور مشهد التهديدات الإلكترونية باستمرار، ومن الصعب على العديد من المؤسسات مواكبة ذلك.
كيف يعمل الاكتشاف والاستجابة المدارة؟
إذن، كيف يعمل الاكتشاف والاستجابة المدارة في الممارسة العملية؟ إنه شكل من أشكال الأمن الإلكتروني، ويتم توفيره كخدمة مدارة ومصمم لتسريع تحديد التهديدات ومعالجتها، وتقليل حجم التأثير الذي يمكن أن تحدثه على الشركات. ويتم الجمع بين مهارات الأمن البشرية والتكنولوجيا المتقدمة في الاكتشاف والاستجابة المدارة (MDR) مما يعني أنه يمكن تحقيق توفير كبير في التكلفة والموارد.
وتشتمل خدمات الاكتشاف والاستجابة المدارة (MDR) الجيدة على خمس وظائف رئيسية:
تحديد أولويات الحدث
يحدد الجمع بين فحص أحداث الأمان من قبل الموظفين المهرة، وتقييم الأحداث وفقًا للقواعد الآلية المحددة مسبقًا، الأحداث الأكثر صلة أو خطورة من غيرها. ويتم إلغاء أولوية النتائج الإيجابية الزائفة وتلك التي من غير المحتمل أن تكون مشكلة، بينما يتم وضع أكبر المشكلات في مقدمة قائمة الانتظار لمعالجتها من قبل خدمات الاكتشاف والاستجابة المدارة (MDR) الأخرى وتقييمها بمزيد من التفصيل.
البحث عن التهديدات
يعد التشغيل التلقائي أداة قوية للغاية لتحديد التهديدات المحتملة، لكن لا يمكن الاعتماد عليها كحل شامل. ويتمتع "صائدو التهديدات" ذوي الخبرة العالية بدراية جيدة باكتشاف النشاط غير الطبيعي وأنواع السلوك التي ينخرط فيها مجرمي الإنترنت عند إعداد خرق للبيانات أو هجوم محتمل. وبين المساعي البشرية والرقمية، يمكن الإبلاغ عن التهديدات بشكل أسرع بكثير، مما يتيح بدوره معالجة أسرع.
التحقيق في التهديدات
بعد تحديد التهديدات، تكون المرحلة التالية هي استكشافها بعمق والوصول إلى جوهر الأمر. وتحدد خدمات التحقيق المدارة ماذا ومتى وأين وقع الحادث، وتحدد الأنظمة والبيانات والتطبيقات والمستخدمين الذين تأثروا - أو سيتأثرون بالحادث. ويعد كل هذا السياق مهمًا للغاية لمعرفة أكثر الطرق فعالية وملاءمة لإغلاق التهديد.
المساعدة في الاستجابة
يتيح العمل مع شريك لأمان الاكتشاف والاستجابة المدارة (MDR) للمؤسسات الوصول إلى المشورة والحلول. ويستطيع الخبراء الاستفادة من خبراتهم الخاصة والمعلومات التي يتم جمعها من خلال البحث عن التهديدات والتحقيق فيها لتقديم المشورة بشأن أفضل طريقة لمعالجة المشكلة. وقد يكون هذا إزالة تهديد قد يكون على وشك الحدوث، أو كيفية الرد على هجوم حدث بالفعل والتعافي منه.
المعالجة المدارة
تهدف عمليات المعالجة، عند الاقتضاء، إلى إزالة جميع آثار التهديد وإعادة الأنظمة والتطبيقات والبيانات إلى الحالة التي كانت عليها قبل حدوث الهجوم. ويمكن أن يتضمن ذلك مجموعة من العمليات، مثل إزالة البرامج الضارة وتنظيف السجل ورفض الوصول غير المصرح به واستعادة النظام وتدابير أخرى. وتختلف التدابير المستخدمة اعتمادًا على طبيعة التهديد أو الهجوم ويتم اختيارها بالتشاور مع المتخصصين في أمان الاكتشاف والاستجابة المدارة (MDR).
كيف يختلف الاكتشاف والاستجابة المدارة (MDR) عن برامج مكافحة الفيروسات التقليدية؟
يتمثل الفرق الأكبر بين خدمات الاكتشاف والاستجابة المدارة (MDR) والأمان التقليدي القائم على مكافحة الفيروسات في أن حل الاكتشاف والاستجابة المدارة (MDR) استباقي، بينما حل مكافحة الفيروسات تفاعلي.
بشكل عام، تعتمد أنظمة مكافحة الفيروسات على اكتشاف التواقيع، حيث تمتلك المتغيرات المختلفة للبرامج الضارة بصماتها الخاصة، التي تبحث عنها الأنظمة بعد ذلك. ومع ذلك، يطور المزيد والمزيد من مجرمي الإنترنت متغيرات برامج ضارة فريدة لا تشبه أي برامج ضارة أخرى، وبالتالي لا يمكن اكتشافها من خلال هذه البصمات. وعلى أي حال، لا تستطيع برامج مكافحة الفيروسات اكتشاف هذه المتغيرات إلا بعد أن تكون موجودة بالفعل، وفي ذلك الوقت يكون قد فات الأوان لمنع أي تأثير.
ومن ناحية أخرى، تبذل أدوات الاكتشاف والاستجابة المدارة قصارى جهدها للبحث بشكل استباقي عن الإصابات بالبرامج الضارة على الأنظمة على مدار 24 ساعة في اليوم، وطوال أيام الأسبوع، والتخفيف من آثارها.
ما الفرق بين MDR وEDR؟
يرمز EDR إلى اكتشاف نقطة النهاية والاستجابة لها، ويعمل مع القواعد الآلية المستخدمة في مرحلة تحديد أولويات الاكتشاف والاستجابة المدارة (MDR). وسيسجل نشر اكتشاف نقطة النهاية والاستجابة لها (EDR) الأحداث وأنماط السلوك على جميع نقاط النهاية، التي يتم تقييمها بعد ذلك مقابل القواعد الآلية التي وضعتها فرق الأمان. ثم يتم وضع علامة على أي أنماط أو أنشطة مشكوك فيها يتم اكتشافها لفريق الأمان لإجراء المزيد من التحقيق فيها.
بالنسبة للعديد من المؤسسات، يعد EDR جزءًا أساسيًا من الاكتشاف والاستجابة المدارة (MDR)، حيث يعمل جنبًا إلى جنب مع خبراء أمان تكنولوجيا المعلومات المهرة والعمليات والمنهجيات الراسخة.
هل الاكتشاف والاستجابة المدارة هو نفسه XDR؟
ليس تمامًا. تعد أبسط طريقة للتعبير عن ذلك أن XDR - الذي يعني الاكتشاف والاستجابة الموسعة - ينقل مبادئ MDR إلى المستوى التالي. ويدمج XDR كمية هائلة من البيانات التي يتم جمعها من مجموعة من المصادر المختلفة لجعل البحث عن التهديدات والتحقيق فيها أكثر استنارة واستباقية. ويستفيد كذلك من أدوات أكثر تقدمًا، بما في ذلك منع فقدان البيانات وإدارة الهوية والوصول (IAM)، للحصول على رؤية كاملة لمشهد التهديدات عبر العمل بأكمله.
ما فوائد الاكتشاف والاستجابة المدارة (MDR)؟
تستطيع خدمات الاكتشاف والاستجابة المدارة تحويل نهج الأمان لدى أي مؤسسة بعدد من الطرق المختلفة، وصقل الأداء في كل مجال من مجالات عمليات الأمان تقريبًا. وتشمل مزايا أمان الاكتشاف والاستجابة المدارة (MDR)، على سبيل المثال لا الحصر ما يلي:
تقليل وقت الاكتشاف
تستغرق بعض المؤسسات عدة أشهر لاكتشاف حادث أمان، وخلال هذه الفترة ربما يكون قد حدث دمار يوصف للأنظمة والتطبيقات والبيانات، وأحيانًا دون أن تعلم الشركة عنه شيئًا. ويمكن أن يقلل الاكتشاف والاستجابة المدارة (MDR) من هذا ليس فقط إلى أيام أو حتى ساعات، لكن إلى دقائق بحيث يمكن تقليل النطاق المحتمل لتأثير الهجوم بشكل كبير.
تحسين الوضع الأمني
تستطيع خدمات الاكتشاف والاستجابة المدارة (MDR) أن تجعل الأعمال أقوى وأكثر مرونة في حالة حدوث هجوم، حيث ستكون فرص حدوث خرق له تأثير كبير أقل بكثير. ويساعد كذلك على ضمان تحسين تكوين الأمان العام للمؤسسة بشكل أفضل ويظل كذلك حتى مع تطور احتياجات العمل ووضع الهجوم.
الاكتشاف المستمر للتهديدات
تضمن قدرة أدوات الاكتشاف والاستجابة المدارة على البحث عن التهديدات على مدار 24 ساعة في اليوم، طوال أيام الأسبوع، على مدار العام عدم "اختباء" التهديدات والبرامج الضارة في الأنظمة، وأنها جاهزة للتفعيل في المستقبل. ويمكن تحليل أنماط البيانات وسلوكها على أساس مستمر، بحيث يمكن وضع علامة على النشاط غير الطبيعي حتى قبل حدوث أي شيء ضار.
استجابة أسرع للتهديدات ومعالجتها
تساهم جميع النقاط الثلاث المذكورة أعلاه في الاستجابة للتهديدات ومعالجتها بشكل أسرع بكثير مما كان ممكنًا لولا ذلك. وتسمح معرفة المشكلة في وقت مبكر بتشكيل الاستجابة للتهديد بشكل أسرع في إطار الاكتشاف والاستجابة المدارة (MDR)، مما يعني أنه يمكن تطبيق أنشطة المعالجة الصحيحة على المنطقة المصابة وفي وقت أسرع بكثير.
تقليل عبء موظفي الأمان
عندما يكون هناك بالفعل نقص في عدد موظفي الأمان، فإن إثقال كاهلهم بالعديد من تقنيات الأمان المختلفة يمكن أن يضع المزيد من الضغط والإجهاد على وقتهم الثمين. ويمكن أن يؤدي ذلك إلى وقوع حوادث من خلال الثغرات، بالإضافة إلى عدم استخدام الأدوات المتاحة لهم بشكل صحيح لأنهم لا يملكون الوقت الكافي لفعل ذلك. ويمكن أن يؤدي تسليم الكثير من هذا العبء إلى الخدمات المدارة وخبراء خارجيين ماهرين إلى تخفيف هذا الضغط وزيادة فعالية الفريق الداخلي يومًا بعد يوم.
تقليل مخاطر الإرهاق الناتج عن التنبيه
يؤدي استخدام تقنيات الأمان إلى زيادة كبيرة في عدد التنبيهات والحوادث التي يكون فريق الأمان على دراية بها ويتعين عليه التعامل معها. وبالإضافة إلى كونها أمرًا عاديًا ومتكررًا وعرضة للخطأ البشري، فإن هذا يجعل من الصعب أيضًا على موظفي الأمان تحديد المشكلات الأكثر إلحاحًا والتي تحتاج إلى حل قبل غيرها. وتعمل عمليات تحديد الأولويات داخل خدمات الاكتشاف والاستجابة المدارة (MDR) على حل هذه المشكلة من خلال تحليل المشكلات الأكثر إلحاحًا والإبلاغ عنها والتعامل مع فرز الأحداث نيابة عن فريق الأمان.
ما الذي يجب أن تبحث عنه في خدمات الاكتشاف والاستجابة المدارة؟
سوق خدمات الاكتشاف والاستجابة المدارة (MDR) قوي: تشير أبحاث شركة Gartner إلى أن سوق الاكتشاف والاستجابة المدارة (MDR) ينمو بمعدل 48%، ومن المقرر أن يصل إلى 2.2 مليار دولار بحلول عام 2025. وهذا يعني أن هناك العديد من مزوّدي أدوات الاكتشاف والاستجابة المُدارة المتاحة، مما قد يجعل من الصعب تحديد الأداة المناسبة لاحتياجاتك ومتطلباتك الخاصة. وكجزء من عملية الاختيار الخاصة بك، نوصي بالبحث عن هذه السمات الأربع:
مهارات الاكتشاف والاستجابة المدارة (MDR) الإضافية
من المحتمل أن يكون لديك بالفعل قاعدة مهارات كبيرة داخل فريق الأمان الخاص بك، لكن كما تشير فجوة المهارات العالمية، قد يكون لديك أيضًا بعض المجالات التي يجب تعزيزها. ويجب عليك تحديد تلك الثغرات في بداية عملية التفكير في البائعين والبحث عن بائع متخصص في تلك المهارات والنضج حتى يتمكن من الإضافة إلى فريقك واستكماله.
معرفة وقدرات أمان الاكتشاف والاستجابة المدارة (MDR)
سيكون لدى خدمات الاكتشاف والاستجابة المدارة بشكل جيد معرفة حديثة بالمشهد الأمني الحالي. وستعرف أحدث التهديدات الناشئة لتكون على دراية بها وستفهم العديد من العوامل الأساسية التي تدفع الجريمة الإلكترونية، بما في ذلك أي ظروف جيوسياسية وثقافية معنية. وستضيف هذه المعرفة - المرتبطة بمهاراتهم وقدراتهم الأمنية - قيمة إلى معظم فرق الأمان الداخلية.
توفير خدمات الاكتشاف والاستجابة المدارة (MDR) والتعاون
قد تكون راضيًا عن الخبرة والمهارات التي يمكن أن توفرها خدمة أمان الاكتشاف والاستجابة المدارة (MDR) المحتملة، لكنها يجب أن تكون مناسبة تمامًا لفريقك الحالي والتقنيات التي تستخدمها ومؤسستك الأوسع نطاقاً. ويجب أن يكونوا قادرين على إظهار التزام قوي بالتواصل الواضح بحيث تتدفق المعلومات والرؤى بسهولة بين الطرفين. وسيساعد هذا فريق الأمان الداخلي على مواكبة النهج الجديد بسرعة أكبر. كما يجب أن يكونوا قادرين على إظهار التزامهم بالحماية على مدار الساعة طوال أيام الأسبوع، مما يساعد في الحفاظ على أمان الأنظمة خارج ساعات العمل العادية لفريق الأمان.
حلول شاملة
في النهاية، يجب أن تبحث عن أمان الاكتشاف والاستجابة المدارة (MDR) الذي يغطي جميع القواعد. يوفر حل مثل Kaspersky Managed Detection and Response تقنيات حماية متقدمة، وبحثًا استباقيًا عن التهديدات، واستجابة آلية وموجهة، وخبرة معترف بها عالميًا تشعر بالراحة عند الاستفادة منها. ويمكن أن يضمن ذلك ليس فقط تقليل مخاطر التهديدات الإلكترونية، لكن أيضًا زيادة استثمارك في أمان تكنولوجيا المعلومات في الاكتشاف والاستجابة المدارة (MDR).
تم تصنيف Kaspersky Managed Detection and Response وKaspersky Incident Response من بين رواد التكنولوجيا لعام 2023 من قبل Quadrant Knowledge Solutions، وهو تأكيد على المستوى العالي لفعالية هذه الحلول في حماية المؤسسات من مجرمي الإنترنت.
مقالات ذات صلة:
