O que é Managed Detection and Response (MDR)?

A eficácia do Managed Detection and Response (MDR) depende de vários componentes importantes, cada um deles desempenhando uma função fundamental na estrutura geral de segurança:

· Pilha de tecnologia de propriedade do provedor: no centro dos serviços de MDR está uma pilha de tecnologia gerida e operada pelo provedor. Esta pilha é adaptada para monitorização, deteção e atenuação ativa de ameaças em tempo real. Ela inclui ferramentas como EDR, que são essenciais para recolher e analisar a telemetria de segurança de várias fontes, incluindo redes, endpoints e serviços em nuvem.

· Equipa especializada: um componente essencial dos serviços de MDR é o conhecimento humano por trás deles. A equipa especializada em monitorização, deteção e busca de ameaças, além de inteligência contra ameaças e resposta a incidentes, interage diariamente com os dados dos clientes. Ela garante que todos os aspetos do cenário de ameaças sejam monitorizados e tratados continuamente.

· Processos predefinidos e conteúdo de deteção: os serviços de MDR dependem de conteúdo de deteção especializado, um termo que inclui um grande conjunto de ferramentas e métodos utilizados para a identificação de ameaças. Desde regras e assinaturas direcionadas a um malware conhecido até a deteção de anomalias, padrões de comportamento que podem indicar uma violação de segurança e algoritmos de IA e aprendizagem automática, o conteúdo de deteção é atualizado continuamente para acompanhar a evolução das ciberameaças. 

· Recursos de resposta remota: além do alerta e da notificação, os serviços de MDR oferecem atividades remotas de mitigação, investigação e contenção. Desta forma, as organizações podem responder de forma rápida e eficaz às ameaças, mesmo quando não possuem conhecimento especializado interno. Isto inclui restaurar os sistemas ao seu estado anterior ao ataque e garantir a resolução abrangente de cada incidente. 

· Priorização e busca de ameaças: os serviços de MDR distinguem entre eventos benignos e verdadeiras ameaças através da priorização gerida. Os caçadores de ameaças humanos procuram proativamente indicadores de ataques para que até mesmo as ameaças subtis sejam identificadas e tratadas.

Managed Detection and Response (MDR) é um termo genérico do qual surgiram variações como forma de ajudar as organizações a escolher uma solução que se alinhe às suas necessidades exclusivas de cibersegurança. Aqui estão os tipos comuns destes serviços de cibersegurança, categorizados pelas suas áreas de foco:

· O Managed Endpoint Detection and Response (MEDR) restringe o foco do MDR aos endpoints—dispositivos como portáteis, computadores de secretária e telemóveis. Ele utiliza ferramentas especializadas para proteção de endpoints, oferecendo defesa direcionada contra ameaças como malware e ransomware.

· O Managed Network Detection and Response (MNDR) concentra-se na segurança da rede, protegendo elementos como routers, interruptores e firewalls. Ele foi desenvolvido para monitorizar o tráfego de rede e defender-se contra ameaças específicas à infraestrutura de rede.

· O Managed Extended Detection and Response (MXDR) amplia os recursos em endpoints, redes, serviços em nuvem e, possivelmente, dispositivos de IoT. É essencialmente uma versão abrangente do MDR, integrando várias facetas de segurança num serviço unificado. É importante observar que o MXDR não é uma entidade diferente do MDR, mas sim uma extensão dele. Enquanto o MEDR e o MNDR oferecem segurança focada em áreas específicas, o MXDR reúne estes elementos, oferecendo uma abordagem mais integrada e abrangente ao MDR.

Para as organizações que estão avaliando os serviços MDR, a escolha entre MEDR, MNDR e MXDR será menos clara, pois depende das necessidades específicas de segurança, da infraestrutura existente e da cobertura desejada.

Atualmente, a maioria das organizações enfrenta desafios de cibersegurança que vão muito além de como implementar tecnologias de segurança. As demandas impostas às equipas de segurança não se referem apenas à gestão de ameaças, mas também à utilização eficiente de recursos, mantendo a continuidade operacional. Os serviços de MDR surgiram como uma solução holística para um conjunto diversificado de desafios, como:

· Fadiga de alertas: as organizações normalmente usam várias ferramentas de segurança que geram inúmeros alertas, muitos deles falsos positivos. Isto pode criar um grande volume de notificações, sobrecarregando as equipas de segurança. Os serviços de MDR filtram os falsos positivos e destacam as ameaças reais, reduzindo a probabilidade de perder incidentes críticos.

· Complexidade da ferramenta: as tecnologias de segurança avançadas geralmente vêm com uma curva de aprendizagem acentuada e complexidade na implementação e na gestão. Os serviços geridos de deteção e resposta são uma solução mais acessível e fácil de utilizar para as organizações, melhorando rapidamente a postura geral de segurança sem a necessidade de conhecimento interno especializado.

· Habilidades e recursos limitados: muitas organizações, especialmente as menores, não têm os recursos e as habilidades especializadas necessárias para uma cibersegurança eficaz. O MDR oferece um nível de conhecimento em segurança que, de outra forma, poderia ser inatingível, fornecendo análises especializadas e ações de resposta personalizadas.

· Preocupações com conformidade e privacidade: as normas de conformidade e os padrões de privacidade estão sempre mudando, e as organizações enfrentam riscos legais e danos à reputação se não mantiverem a integridade e a confidencialidade dos seus dados. O MDR costuma ser a solução mais viável para garantir que uma organização atenda totalmente a este tipo de requisito.

· Monitorização contínua: as ciberameaças podem ocorrer a qualquer momento, mas, para muitas organizações, gerir e manter internamente uma operação de segurança 24 horas por dia, 7 dias por semana, não é uma opção real. Um MDR enfrenta este desafio, oferecendo monitorização e resposta 24 horas por dia.

· Ameaças avançadas: atualmente, a cibersegurança está a enfrentar ameaças em rápida evolução, como APTs, exploits de dia zero, ransomware e esquemas sofisticados de phishing. Os serviços de MDR atualizam continuamente a sua inteligência contra ameaças e, mais ainda, empregam medidas proativas, como a caça a ameaças. Essa abordagem ajuda as organizações a serem preventivas na sua defesa, um nível de vigilância e especialização difícil de manter apenas com recursos internos.

Para as equipas de gestão, a decisão de integrar o Manage Detection and Response é motivada pela sua capacidade de oferecer benefícios significativos, aumentando a eficácia e a eficiência dos seus esforços de cibersegurança. Aqui estão os principais benefícios:

·       Eficiência operacional: o MDR otimiza as operações de segurança, reduzindo significativamente a carga de trabalho das equipas internas. Ao integrar várias funções de segurança num sistema coeso, esses serviços simplificam o processo de identificação, avaliação e atenuação de ameaças, liberando recursos internos e permitindo que se concentrem noutras operações comerciais essenciais.

·       Deteção e resposta mais rápidas: ao aproveitar a análise avançada e os processos automatizados, os serviços de MDR podem identificar rapidamente as ameaças e iniciar uma resposta, limitando o possível impacto e garantindo a continuidade dos negócios.

·      Melhoria da postura de segurança: o MDR não só responde às ameaças à medida que elas surgem, mas também melhora a capacidade da organização de prever e de se preparar para possíveis desafios futuros de cibersegurança.

·       Escalabilidade e flexibilidade: os serviços de MDR são escalonáveis, o que os torna adequados para empresas de todos os tamanhos. Eles podem adaptar-se às necessidades em evolução de uma organização, por exemplo, quando as operações estão aumentando, ajustando-se a novas tecnologias ou expandindo-se para novos mercados. 

·       Custo-benefício: a implementação do MDR pode ser uma solução económica, especialmente para as PMEs. Em geral, oferece acesso a recursos e conhecimentos especializados de segurança de alto nível por uma fração do custo de criar e manter uma equipa interna.

·       Acesso a tecnologias avançadas e conhecimento especializado: relacionado ao ponto anterior, os serviços de MDR oferecem às organizações acesso a ferramentas de ponta e ao conjunto de habilidades de alto nível necessário para as operar sem a necessidade de investimentos substanciais em tecnologia e formação.

·       Conformidade e gestão de riscos melhorados: ao fornecer orientação especializada e garantir que as medidas de segurança atendam aos requisitos legais e do setor, estes serviços reduzem o risco de não conformidade e as consequências financeiras e de reputação associadas.

O MDR se destaca por aprimorar e ampliar os recursos de ferramentas convencionais como EDR, XDR, Managed SIEM e MSSP. Vejamos as principais diferenças.

MDR vs. EDR (Endpoint Detection and Response)

O EDR concentra-se na monitorização e na análise do comportamento dos endpoints, utilizando respostas automatizadas com base em regras e padrões definidos. Embora seja eficaz para registar as atividades do endpoint, ele pode tornar-se complexo e exigir muitos recursos.  O MDR complementa o EDR introduzindo a experiência humana para análise e tomada de decisões, oferecendo processos maduros e inteligência mais ampla sobre ameaças. Esta integração permite que as organizações aproveitem os recursos de EDR com mais eficiência, sem a sobrecarga de gerir soluções complexas de EDR.

MDR vs. XDR (Extended Detection and Response)

O XDR amplia os recursos do EDR (veja acima), agregando dados de endpoints, redes, nuvem e outras fontes para uma análise de segurança mais ampla. O MDR melhora a funcionalidade do XDR integrando o conhecimento humano na busca proativa de ameaças, monitorização contínua 24 horas por dia, 7 dias por semana e respostas estratégicas. 

MDR vs. Managed SIEM (Security Information and Event Management)

O Managed SIEM agrega e analisa dados de vários dispositivos de segurança e fontes de rede. Embora poderosas, as soluções SIEM podem ser complexas, exigindo um conhecimento significativo para interpretar e agir com eficácia sobre os dados.  O MDR enfrenta estes desafios oferecendo uma abordagem mais simplificada, fornecendo insights claros e acionáveis com menos complexidade. Estes serviços garantem que os dados e os alertas sejam interpretados com precisão e prontamente tratados.

MDR vs. MSSP (Managed Security Services Providers)

Os MSSPs oferecem uma ampla gama de serviços de segurança, incluindo monitorização e validação de alertas. No entanto, eles normalmente não se envolvem na resposta ativa a ameaças, deixando essa responsabilidade para o cliente. O MDR vai além do modelo tradicional de MSSP, não apenas identificando ameaças, mas também respondendo ativamente a elas.

Os fornecedores de cibersegurança oferecem vários recursos com diferentes níveis de qualidade e custos, o que pode tornar a escolha da solução certa para a sua organização uma tarefa difícil. Aqui estão algumas perguntas gerais que deve considerar ao avaliar os fornecedores, de acordo com a Gartner e outras fontes de pesquisa de mercado de boa reputação:

·       Que experiência e conhecimento é que eles têm? O fornecedor deve ter um histórico comprovado de fornecimento de serviços de MDR eficazes e fiáveis a clientes de diferentes setores e regiões. Eles também devem ter um conhecimento amplo e profundo de várias tecnologias e fontes de telemetria, como endpoint, rede, nuvem e aplicação, para poderem detetar e responder a uma vasta gama de ameaças.

·       Quais são as suas capacidades de resposta? O fornecedor deve ser capaz de tomar medidas rápidas e decisivas para conter e eliminar ameaças em seu nome ou, pelo menos, fornecer-lhe mecanismos fáceis para que aprove ou inicie as ações.

·       Os serviços do fornecedor são claros e consistentes? Favoreça fornecedores que tenham uma descrição clara e consistente do serviço e que se comprometam a comunicar regularmente e de forma transparente sobre o estado e os resultados do serviço, bem como sobre quaisquer problemas ou desafios que possam surgir.

·      Existe um processo de integração bem estabelecido? O fornecedor deve ter processos em vigor para um amplo processo de integração que capture a sua infraestrutura e atributos comerciais. Os serviços devem ser personalizados de acordo com o seu ambiente e requisitos, e o fornecedor precisa de entender o contexto e as prioridades da sua organização.

·       Quem são os especialistas da equipa? Escolha um fornecedor que possa comprovar a existência de uma equipa de especialistas informáticos qualificados e certificados, pois são eles que analisarão, investigarão e interromperão as ameaças antes que se tornem incidentes. Procure parceiros de MDR que defendam uma cultura de aprendizagem contínua, certificando-se de que a sua equipa esteja atualizada sobre as últimas tendências e desenvolvimentos no panorama informático.

Mesmo que esteja satisfeito com as respostas a todas as perguntas acima, pode pedir referências dos seus clientes atuais ou anteriores e solicitar uma demonstração ou um teste do serviço Managed Detection and Response (MDR). Além disso, faça a sua pesquisa e compare diferentes fornecedores com base em avaliações independentes ou classificações de fontes confiáveis, pois elas podem fornecer avaliações objetivas e imparciais.