ओपनटेक्स्ट Tag सायबर व्यवस्थापित शोध आणि प्रतिसाद सॉफ्टवेअर सूचना

व्यवस्थापित शोध आणि प्रतिसाद (MDR) सोल्यूशन्स, विशेषत: डिजिटल फॉरेन्सिक समुदायातून व्युत्पन्न आणि विकसित केल्याप्रमाणे, तपास क्षमतांचा फायदा होतो. अशा प्रकारे खरेदीदारांनी पुन्हा जेव्हा निवड घटक म्हणून शोध अनुभव समाविष्ट केला पाहिजेviewing MDR ऑफरिंग.

परिचय

1990 च्या उत्तरार्धात मॅनेज्ड सिक्युरिटी सर्व्हिस (MSS) ऑफरिंगचा उदय प्रामुख्याने एंटरप्राइझ संघांना त्यांच्या फायरवॉलचे दूरस्थपणे व्यवस्थापन करण्यासाठी तज्ञ असण्याची गरज होती.view लॉग रेकॉर्ड व्युत्पन्न केले जात आहे. व्यवस्थापित सुरक्षा सेवा प्रदात्यांकडून (MSSPs) ऑफर विकसित झाल्या आणि परिमिती-आधारित फायरवॉल कमी महत्त्वाच्या झाल्या, बहुतेक MSS सोल्यूशन्सचा जोर डिव्हाइस व्यवस्थापनाकडून गोळा केलेल्या लॉगच्या विश्लेषणाकडे वळला.
या अहवालात, आम्ही या शिफ्टमुळे नवीन व्यवस्थापित शोध आणि प्रतिसाद (MDR) व्यावसायिक ऑफरिंगवर प्रॅक्टिशनर्सचा भर कसा वाढला आहे याचे वर्णन केले आहे. खाली वर्णन केल्याप्रमाणे, अशा MDR उपायांमध्ये डेटा संकलन, सहसंबंधित प्रक्रिया, घटना प्रतिसाद आणि एंटरप्राइझ खरेदीदारासाठी डेटा विश्लेषण समर्थन एकत्रित केले जाते. ते आउटसोर्स तज्ञांसह एंटरप्राइझ टीम वाढवून सुरक्षा कौशल्यांमधील अंतर दूर करण्यात मदत करतात.
आम्ही या अहवालात मुख्य निवड घटकावर लक्ष केंद्रित करतो ज्याचा खरेदीदारांनी MDR भागीदार निवडताना विचार करावा असा सल्ला दिला जातो. हा महत्त्वाचा घटक, अन्वेषण क्षमता, व्यवस्थापित पायाभूत सुविधांमधून डेटा समजून घेण्यासाठी विश्लेषणात्मक कार्ये करण्याची MDR विक्रेत्याची क्षमता समाविष्ट आहे. विक्रेत्या संघात अशा प्रकारचे कौशल्य कसे विकसित झाले यासह तपास क्षमता, MDR यशाचा प्राथमिक अंदाज आहे हे प्रकरण येथे मांडले आहे.

बेसलाइन MDR क्षमता

विकसित MDR मधून पारंपारिक MSS वेगळे करण्याचा सर्वोत्तम मार्ग म्हणजे NIST सायबर सिक्युरिटी फ्रेमवर्क (CSF) मध्ये समाविष्ट केलेल्या बचावात्मक जीवनचक्राच्या मॉडेलमध्ये या संबंधित ऑफर कुठे राहतात याची कल्पना करणे. बहुतेक निरीक्षक view या मॉडेलमधील कोणतीही शिफ्ट एकतर अधिक प्रतिबंधात्मक फोकसकडे डावीकडे शिफ्ट किंवा अधिक शोध आणि प्रतिसाद फोकसकडे शिफ्ट-उजवीकडे आहे. खालील आकृती 1 या शिफ्ट लँडस्केपचे चित्रण करते.

MDR सोल्यूशन्स इतके यशस्वी होण्याचे मुख्य कारण म्हणजे प्रगत सायबर धोके रोखणे इतके अवघड आहे, विशेषत: जेव्हा ते राष्ट्र-राज्य लष्करी गटांसारख्या सक्षम अभिनेत्यांद्वारे सुरू केले जातात. सुरक्षा संघांना त्यांचे प्राथमिक लक्ष चालू असलेल्या घटनांवर लक्ष केंद्रित करणे, थेट हल्ल्यांना प्रतिसाद देणे किंवा आवश्यक उपाय आणि पुनर्प्राप्ती क्रियांसह पूर्ण झालेल्या घटनांना प्रतिसाद देणे यावर केंद्रित करणे आवश्यक आहे.

याचा परिणाम म्हणजे सायबर सुरक्षा उद्योगात एक निश्चित बदल झाला आहे, ज्यामध्ये शोध आणि प्रतिसादावर जास्त भर देण्यात आला आहे. MDR व्यतिरिक्त, खरेदीदारांना आता नेटवर्क डिटेक्शन अँड रिस्पॉन्स (NDR), एंडपॉइंट डिटेक्शन अँड रिस्पॉन्स (EDR), आणि एक्स्टेंडेड (वाइल्डकार्ड) डिटेक्शन अँड रिस्पॉन्स (XDR) साठी सोल्यूशन्समध्ये प्रवेश आहे. यातील प्रत्येक ऑफर चालू किंवा मागील घटनांवर लक्ष केंद्रित करते.

https://www.nist.gov/cyberframework

मुख्य MDR घटक म्हणून तपास

या शिफ्टमध्ये स्पष्ट झाल्याप्रमाणे, MDR सोल्यूशन्स हे प्रतिबंध आणि कमी करण्याच्या व्यवस्थापित सुरक्षेच्या मागील पिढ्यांमधील पूर्वीच्या फोकसच्या तुलनेत घटनांच्या तपासाकडे जास्त केंद्रित आहेत. हा जोर सुचवितो की एमडीआर विक्रेत्यासाठी निवड प्रक्रियेत पुरेशा प्रमाणात पुन:चा समावेश असावाview घटनेच्या आधी, दरम्यान आणि नंतर गोळा केलेल्या डेटावर आधारित, तपास कार्यास समर्थन देण्यासाठी स्थानिक क्षमता.

एक क्षेत्र जिथे अशी तपास क्षमता विशेषतः हायलाइट केली गेली आहे ती म्हणजे डिजिटल फॉरेन्सिक्स. अनेक वर्षांपासून, एंटरप्राइझ कार्यसंघ, कायद्याची अंमलबजावणी आणि इतर भागधारकांनी लक्ष्यित उपकरणे, प्रणाली आणि सॉफ्टवेअर (संग्रहित आणि क्षणिक डेटासह) वैशिष्ट्ये आणि डेटा तपासण्यासाठी डिजिटल फॉरेन्सिक पद्धतींचा वापर केला आहे. परिणामी सर्वोत्तम पद्धती कोणत्याही MDR ऑफरमध्ये समाविष्ट केलेल्या पद्धतींच्या प्रकारांबद्दल उत्कृष्ट अंतर्दृष्टी देतात.

डिजिटल फॉरेन्सिक तपासणीचे घटक

जेव्हा कायद्याची अंमलबजावणी आणि इतर फॉरेन्सिक परीक्षक डिजिटल तपासणीचे काम करत असतात, तेव्हा त्यांनी स्पष्टपणे किंवा अस्पष्टपणे चार-चरण जीवनचक्र मॉडेलमध्ये व्यस्त असणे आवश्यक आहे ज्यामध्ये अनेक स्वतंत्र कार्ये समाविष्ट आहेत. या मॉडेलमधील प्रत्येक कार्य जे औपचारिक मानकांऐवजी वास्तविक मार्गदर्शक म्हणून खाली प्रस्तुत केले आहे ते कलाकृतींमधून अंतर्दृष्टी उघड करण्यात मदत करण्यासाठी डिझाइन केलेले आहे आणि बहुतेक आता योग्य अंमलबजावणीसाठी तंत्रज्ञान समर्थनावर खूप अवलंबून आहेत.

पायरी 1: संरक्षण
यामध्ये महत्त्वाच्या डिजिटल पुराव्याला हानी पोहोचवणारी किंवा बदलणारी कोणतीही क्रियाकलाप गोठवण्याचा समावेश आहे. या प्रकारची गतिविधी MDR ऑफरिंगवर लागू होते, जिथे गोळा केलेले लॉग, टेलीमेट्री आणि इतर क्षणिक डेटा सुरक्षितपणे संग्रहित करणे आवश्यक आहे — शक्यतेशिवायampering किंवा नुकसान.

पायरी 2: संकलन
यामध्ये तपासासाठी आवश्यक असलेले डिजिटल पुरावे मिळवणे समाविष्ट आहे. MDR सोल्यूशन्समध्ये व्यवस्थापित पायाभूत सुविधांमधून रिमोट लॉग, ऑडिट रेकॉर्ड्स, अलर्ट, अलार्म आणि इतर टेलीमेट्री कॅप्चर करण्यासाठी समान संकलन क्षमता आहे.

पायरी 3: परीक्षा
यामध्ये तांत्रिक आणि पद्धतशीर री समाविष्ट आहेview आणि तपासाशी संबंधित पुराव्यांचा शोध. प्रत्येक MDR मध्ये समान परीक्षा क्षमता समाविष्ट करणे आवश्यक आहे, सामान्यतः MDR SOC मधील स्वयंचलित आणि मॅन्युअल प्रक्रियेच्या संयोजनाचा वापर करून केले जाते.

पायरी 4: विश्लेषण
या महत्त्वाच्या कार्यामध्ये परस्परसंबंध आणि तार्किक री समाविष्ट आहेview निष्कर्ष काढण्यासाठी डिजिटल पुरावे. वाढत्या प्रमाणात, MDR सोल्यूशन्स विश्लेषण कार्य करण्यासाठी बुद्धिमान अल्गोरिदम वापरतात. अशा उपायांमध्ये सामान्यत: स्वाक्षरी, वर्तणूक आणि कृत्रिम बुद्धिमत्ता-आधारित प्रक्रियेचे सर्वोत्तम घटक एकत्र केले जातात.

पायरी 5: अहवाल देणे
या अंतिम टप्प्यात तपासातील सर्व सहभागींना उपयुक्त अशा पद्धतीने निष्कर्षांचे दस्तऐवजीकरण करणे समाविष्ट आहे. प्रत्येक MDR मध्ये आता अहवालाच्या आवश्यकतांचे समर्थन करण्याची आवश्यकता समाविष्ट आहे, बहुतेक वेळा सारांश विश्लेषण सायबर तज्ञ आणि व्यवसाय अधिकारी दोघांनाही वापरता येण्यासारखे असते.

डिजिटल फॉरेन्सिक पद्धतींचे हे विश्लेषण सूचित करते की कोणतेही निवडलेले MDR प्लॅटफॉर्म आणि सहाय्यक विक्रेता योग्य डिजिटल तपास क्षमतेमध्ये खोलवर रुजलेले असावेत. वर वर्णन केल्याप्रमाणे, MDR सोल्यूशन्स डिजीटल फॉरेन्सिक तपासणीसाठी पाच-चरण प्रक्रियेचे आवश्यक पैलू शोधणे आणि प्रतिसाद यावर लक्ष केंद्रित करतात. त्यामुळे एमडीआर विक्रेत्याला या क्षेत्रातील सखोल समज असणे आवश्यक आहे.

तुमच्या MDR विक्रेत्याला विचारण्यासाठी प्रश्न

द TAG सायबर विश्लेषक संघाने शिफारस केली आहे की MDR पर्यायांचा विचार करणाऱ्या खरेदीदारांनी MDR प्राचार्यांमधील अन्वेषण कौशल्य आणि अनुभवावर वाढीव भर समाविष्ट करण्यासाठी त्यांच्या पारंपारिक स्रोत निवड प्रक्रियेत समायोजन करावे. त्यासाठी, आम्ही अशा साध्या प्रश्नांची मालिका तयार केली आहे जी MDR सोल्यूशन प्रदात्याला विचारली जाऊ शकते जेणेकरुन या पातळीचे अन्वेषण क्षमता मोजण्यात मदत होईल जी MDR प्रतिबद्धतेच्या यशाचा अंदाज लावण्यास मदत करते:

MDR विक्रेत्याकडे आधुनिक डिजिटल परिस्थितींसह थेट फॉरेन्सिक तपासाचा अनुभव किती प्रमाणात आहे?
साहजिकच, डिजिटल फॉरेन्सिक आणि MDR या भिन्न क्रियाकलाप आहेत आणि आम्ही पूर्णपणे समजतो की MDR साठीच्या करारांमध्ये उपकरणे आणि इतर प्रणालींच्या न्यायवैद्यकीय विश्लेषणासाठी कामाच्या बाबींचा समावेश होणार नाही. डिजिटल फॉरेन्सिकचा स्थानिक अनुभव असणे, तथापि, स्ट्राइक TAG सायबर विश्लेषक संघ डिजिटल री कसे हाताळू शकते याचा चांगला अंदाज लावणारा आहेview, डेटा विश्लेषण, आणि तपास समर्थन.

आधुनिक डिजिटल फॉरेन्सिक तपासणीच्या संदर्भात MDR सोल्यूशन प्रदाता कोणते प्लॅटफॉर्म आणि साधने परिचित आहे?
संपूर्ण MDR टीममधील डिजिटल फॉरेन्सिकच्या अनुभवाची इच्छित पातळी तपासांना समर्थन देण्यासाठी सर्वोत्तम-इन-क्लास टूल्सची समज आणि परिचिततेसह पूरक असावी. MDR कार्यसंघ कदाचित ही साधने त्यांच्या शोध आणि प्रतिसाद प्रतिबद्धतेमध्ये थेट वापरत नाहीत, परंतु आमचा असा विश्वास आहे की सर्वोत्तम व्यावसायिक साधने वापरून तपासास समर्थन देणारा पूर्वीचा किंवा चालू अनुभव चांगल्या MDR कार्यसंघासाठी वाजवी आवश्यकता आहे.

त्यांच्या दैनंदिन शोध आणि प्रतिसाद समर्थनामध्ये डिजिटल फॉरेन्सिक क्षमता विणण्यासाठी MDR विक्रेत्याची कार्यपद्धती काय आहे?
हा प्रश्न डिजिटल फॉरेन्सिक आणि MDR समर्थन यांच्यातील समन्वयावर लक्ष केंद्रित करतो. विशेषतः, ते MDR विक्रेत्याला विचारते की एंटरप्राइझ ग्राहकाच्या समर्थनार्थ शोध आणि प्रतिसाद क्रियाकलापांमध्ये शोध अनुभव आणि कौशल्य कसे विणले जाऊ शकते. ही समन्वय धोरणात्मक असू शकते, डेटा विश्लेषण प्रोग्राम कसा डिझाइन करायचा याबद्दल फ्रेमवर्क मार्गदर्शन प्रदान करते, किंवा ते रणनीतिकखेळ असू शकते, दिलेल्या कार्यास सामोरे जाण्यासाठी अधिक विशिष्ट चरण-दर-चरण सहाय्य ऑफर करते.

बद्दल TAG सायबर

TAG सायबर ही एक विश्वासार्ह सायबर सुरक्षा संशोधन विश्लेषक फर्म आहे, जी सुरक्षा उपाय प्रदाते आणि फॉर्च्युन 100 एंटरप्राइजेसना उद्योगविषयक अंतर्दृष्टी आणि शिफारसी प्रदान करते. AT&T चे माजी SVP/CSO, डॉ. एडवर्ड अमोरोसो यांनी 2016 मध्ये स्थापन केलेली, कंपनी सखोल संशोधन, बाजार विश्लेषण, सल्लामसलत आणि क्लायंटसोबतच्या शेकडो प्रतिबद्धतेच्या आधारे वैयक्तिकृत सामग्री ऑफर करून पे-फॉर-प्ले संशोधनाच्या ट्रेंडला मदत करते. आणि गैर-ग्राहक सारखेच- सर्व माजी व्यवसायी दृष्टीकोनातून.

कॉपीराइट © 2021 TAG सायबर एलएलसी. हा अहवाल त्याशिवाय पुनरुत्पादित, वितरित किंवा सामायिक केला जाऊ शकत नाही TAG सायबरची लेखी परवानगी. या अहवालातील सामग्रीमध्ये त्यांच्या मतांचा समावेश आहे TAG सायबर विश्लेषक आणि तथ्यात्मक दाव्यांचा समावेश म्हणून अर्थ लावला जाऊ नये. या अहवालाची शुद्धता, उपयुक्तता, अचूकता किंवा पूर्णता यासंबंधी सर्व हमी येथे अस्वीकृत केल्या आहेत.

मॅनेज्ड डिटेक्शन अँड रिस्पॉन्स (MDR): मुख्य निवड घटक म्हणून तपास क्षमता

कॉपीराइट © २०२१ खुला मजकूर. सर्व हक्क राखीव. ओपन टेक्स्टच्या मालकीचे ट्रेडमार्क.

कागदपत्रे / संसाधने

ओपनटेक्स्ट Tag सायबर मॅनेज्ड डिटेक्शन आणि रिस्पॉन्स सॉफ्टवेअर [pdf] सूचना Tag सायबर मॅनेज्ड डिटेक्शन आणि रिस्पॉन्स सॉफ्टवेअर, Tag सायबर मॅनेज्ड डिटेक्शन आणि रिस्पॉन्स, सॉफ्टवेअर

संदर्भ

• वापरकर्ता मॅन्युअल