دلایل نیاز ISPها به Splunk – قسمت دوم (پایانی)

در قسمت اول از این مقاله مروری بر دلایل اینکه چرا ISPها برای حفظ امنیت و توسعه خدمات‌شان به سازمان‌ها به Splunk نیاز دارند، نمودیم و سپس در مورد چالش‌های ساماندهی به MSSP و چگونگی یگپارچه سازی حوضه‌های مختلف امنیت توضیح داده شد. همچنین به شرحی از فرصت ایجاد شده برای سازمان‌ها برای استفاده از قابلیت‌های فراوان Splunk نیز پرداخته شد. در قسمت دوم این مقاله، به ارائه توضیحاتی در خصوص روش‌های استفاده از MSSP، قابلیت‌های بیشتر استفاده از SIEM یکپارچه و مشکلات بوجود آمده در صورت عدم آینده‌نگری در امنیت ISPها خواهیم پرداخت.

راهکار ایده‌آل برای یک MSSP

یک ساختار ایده‌آل از چه چیزی تشکیل شده است؟ تصور کنید که مدیریت مرکزی Logها، قابلیت SIEM، ابزار تجزیه و تحلیل و عملیات، از جمله اتوماسیون و هماهنگ‌کننده‌ها و حتی مدیریت سامانه‌ها و دیگر Workflowهای بهینه‌سازی‌شده‌‌، یکپارچه هستند و در واقع طراحی شده اند تا یک محیط Multi-Vendor بسیار متنوع را متصل کنند. با فراهم کردن انعطاف‌پذیری برای رشد بدون نیاز به دوباره‌کاری، ارائه‌دهندگان خدمات امنیتی می‌توانند به راحتی یک پیشنهاد جدید را تعریف، استفاده، ارزیابی و به بازار ارائه دهند. دقیقا مانند پی‌ریزی بتونی که در زیر خانه قرار می‌گیرد و سپس بر روی آن طبقه‌های بیشتری ساخته می‌شود، تمام داده‌های مورد نیاز برای تمام موارد استفاده از پرونده‌های امنیتی در یک پلتفرم قرار می‌گیرند. چرا باید زیرساخت‌ها را بی‌هدف دست‌کاری کرد، هنگامی که می‌توان بر روی توسعه زیرساختی و ارتقا تمرکز کرد؟ به همین دلیل است که ما در مورد اهمیت یک رویکرد مبتنی بر تحلیل در مورد امنیت صحبت می‌کنیم. این رویکرد به ISPها در توسعه پیشنهادهای با ارزش امنیتی برای سازمان‌ها کمک کرده است. شرکای تجاری Splunk سال‌های متعددی است که از حداکثرسازی ارزش، کاهش پیچیدگی و سازگاری بهتر با خواسته‌های مشتریان خود بهره می‌برند.

مجموعه راهکارهای امنیتی Splunk، به ارائه‌دهندگان خدمات، ابزار برنامه‌ریزی عملیاتی مورد نیازشان را برای رشد سازمان‌شان ارائه می‌دهد. این مجموعه راهکارها طیف گسترده‌ای از قابلیت‌ها را از جمله SIEM، UBA و SOAR را برای توسعه شرکت‌های ISP ارائه می‌دهد. به همین دلیل ما در ابتدا ذکر کردیم که Splunk فقط یک SIEM نیست، زیرا ISPهای مدرن که به دنبال رشد شرکت خود هستند، تنها یک SIEM بودن برای آن‌ها کافی نیست. دنیا تغییر کرده است و Splunk می‌تواند ISPها را قادر سازد تا به مشتریان خود کمک کنند که بهتر همگام با آن تغییر کنند. خدمات فعلی را متحول نمایند یا خدمات جدید را عرضه کرده و ارزش خود را به عنوان یک مشاور معتبر ارتقا دهند.

مزایای استفاده از Splunk

در میان بسیاری از مزایای دیگر در رشد شرکت‌ها و گسترش خدمات ارائه شده، مجموعه راهکارهای امنیتی Splunk می‌تواند به ارائه دهندگان خدمات برای افزایش کارایی و به حداقل رساندن خطر با تشخیص تهدیدات با بازدهی بالا، عملیات ساده و کاهش هزینه برای اجرای خدمات SOC با بهره‌وری بیشتر کمک کرده و اطمینان از سازگاری و پایداری بهبودها در زمینه امنیت و انطباق‌پذیری را ارائه دهد. ارائه دهندگان خدمات می‌توانند ارائه موارد پایه همچون نظارت بر امنیت و انطباق‌پذیری را مانند گذشته ادامه داده که مشتریان را قادر می‌سازد تا دید خود را نسبت به منابع داده غیر سنتی از جمله منابع داده‌های فناوری عملیاتی افرایش داده و الزامات انطباق برای مشتریان در مقررات و فرمان‌های متعدد را هماهنگ‌سازی کنند.

بهره‌وری در زمان با SIEM

تحقیق در حوادث (Incident Investigation) و واکنش به حوادث (Incident Response و یا به اختصار IR) به مشتریان کمک می‌کند تا اثربخشی واکنش به حوادث را تقویت و آن‌ها را در شمار بیشتری از حل مشکلات با اهمیت در یک دوره کوتاهتر یاری کنند. این امر همچنین مشتریان را در تبدیل فرایند واکنش به حوادث موجود برای شامل شدن مجموعه‌ای پیشگیرانه از روش‌های جستوجو و پروفایل‌بندی تهدیدات نیز یاری می‌کند.

علاوه براین در روش‌های سنتی، ارائه‌دهندگان خدمات می‌توانند به راحتی خدمات خود را برای تشخیص تهدید پیشرفته مانند تشخیص با بازدهی بالا و دقت بهبود یافته در حجم بالا، استفاده از تحقیقات تهدید، یادگیری ماشینی، تجزیه و تحلیل پیشرفته و ادغام جریان اطلاعات و یک سرویس جامع شناسایی و پاسخگویی مدیریت شده، همراه با توسعه موارد استفاده و اجرا به صورت End-To-End، با پشتیبانی حرفه‌ای امنیتی و خاص صنعت و بهبود بهره‌وری با تنظیم پشته (Stack)، Playbookها و روش‌های عملیاتی استاندارد و پاسخگویی و مهار خودکار بهبود دهند.

خدمات SIEM یکپارچه

همه‌ی موارد فوق منجر به مجموعه‌ای از پیشنهادات ارائه خدمات امنیتی با ارزش بیشتر همراه با مزایای زیادی خواهد شد. ارائه‌دهندگان خدمات قابلیت‌های زیر را به سرویس‌های مشتریان اضافه می‌نماید.

کاهش رسیک‌های سازمان

• بهبود دید و موقعیت در کل سازمان، از جمله محیط غیر سنتی و OT
• پیدا کردن شکاف‌های امنیتی را قبل از آنکه نقص‌های داده و یا تطبیق‌ناپذیری مقرراتی را به دنبال داشته باشند
• تشخیص سریع‌تر تهدیدات برای جلوگیری از آسیب به اعتبار و یا درآمد خالص سازمان

افزایش بازده و بهره‌وری

• بررسی ساده و روان حملات پویا، چند مرحله‌ای و تهدیدات پیشرفته
• به دست آوردن بینش بصری در مورد جزئیات حمله و روابط ترتیبی میان رویدادهای مدنظر
• تعیین مراحل بعدی مناسب به سرعت و همچنین ارزیابی و گزارش وضعیت با اطمینان بیشتر و سریع‌تر

بهبود بازگشت سرمایه (Return of Investment و یا به اختصار ROI)

• کاهش سربار مرتبط با وظایف عملیاتی امنیتی پیچیده و مبتنی بر کار دستی زیاد
• رویکرد پلتفرم به نفع تیم‌های امنیتی بوده و صرفه‌جویی قابل ملاحظه در زمان و هزینه‌های صرف شده را به همراه دارد که موجب توانمندسازی در مقیاس با بکارگیری فرایندهای خودکار و قابل تکرار می‌شود.
• متمرکز کردن و تطبیق مجدد در مقیاس و برنامه‌های بهداشتی سایبر – استفاده مجدد از سرمایه گذاری‌ها برای پیروی از مقررات چندگانه

دگرگون‌سازی امنیت

• از بین بردن نیاز عملیات امنیتی به واکنشی (Reactive) بودن و جدا شدن در میان ابزار و فرآیندهای متنوع
• استفاده ابزاری از عملیات امنیتی برای حمایت بهتر از ماموریت سازمان، به عنوان یک عامل راهبردی

یک مجموعه راهکار خدمات امنیتی مدرن باید به صورت یکپارچه بر روی یک پلتفرم مقیاس پذیر ساخته شود که امکان سفارشی‌سازی آسان را فراهم کرده و از طیف گسترده‌ای از موارد استفاده امنیتی انطباق پشتیبانی می‌کند. این رویکرد به MSSPها این آرامش خاطر را می‌دهد که آن‌ها درحال کاهش رسیک خود نیز علاوه بر مشتریان‌شان می‌باشند و همچنین درحال به حداکثر رساندن سرمایه‌گذاری زیرساختی خود می‌باشند که منجر به بهبود بازگشت سرمایه می‌شود.

دلایل نیاز ISPها به Splunk – قسمت اول

دلایل نیاز ISPها به Splunk – قسمت دوم (پایانی)