Ce înseamna Managed Detection and Response (MDR)?

Eficacitatea serviciilor Managed Detection and Response (MDR) depinde de mai multe componente cheie, fiecare dintre acestea având un rol esențial la nivelul cadrului general de securitate:

· Pachetul de tehnologii deținute de furnizor: în centrul serviciilor MDR se află un pachet de tehnologii administrate și operate de către furnizor. Acest pachet este special creat pentru a asigura monitorizarea în timp real, detecția și eliminarea activă a amenințărilor. Pachetul include instrumente precum EDR, care sunt esențiale pentru colectarea și analiza telemetriei de securitate din diverse surse, precum rețele, endpointuri și servicii cloud.

· Echipa de experți: o componentă de bază a serviciilor MDR o reprezintă expertiza umană din spatele acestora. Personalul specializat în monitorizarea și detecția amenințărilor, precum și în threat hunting, threat intelligence și răspunsul la incidente, interacționează zilnic cu datele clienților. Aceștia se asigură că fiecare aspect al peisajului amenințărilor este permanent monitorizat și că acestea sunt combătute.

· Procese predefinite și conținut de detecție: serviciile MDR se bazează pe un conținut de detecție specializat, un termen care include un set amplu de instrumente și metode utilizate pentru identificarea amenințărilor. De la reguli și semnături care vizează programele malware cunoscute, la detectarea anomaliilor, tipare comportamentale care ar putea indica o breșă de securitate și algoritmi de inteligență artificială și machine learning, conținutul de detecție este actualizat în permanență pentru a ține pasul cu amenințările cibernetice în continuă evoluție. 

- Funcționalități de răspuns la distanță: pe lângă simpla alertare și notificare, serviciile MDR oferă activități de remediere a amenințărilor, investigare și izolare de la distanță. Astfel, organizațiile pot răspunde rapid și eficient la amenințări, chiar și atunci când nu dispun de expertiză internă. Acest răspuns include restabilirea sistemelor la starea lor anterioară atacului și asigurarea unei soluționări complete a fiecărui incident. 

· Ierarhizarea amenințărilor și threat hunting: serviciile MDR fac distincția între evenimentele inofensive și amenințările reale prin ierarhizarea acestora. Experții în threat hunting caută în mod proactiv indicatori de atac, astfel încât chiar și cele mai subtile amenințări să fie identificate și abordate.

Managed Detection and Response (MDR) este un termen general care stă la baza unor variații apărute ca o modalitate de a ajuta organizațiile să aleagă o soluție care să corespundă nevoilor lor unice de securitate cibernetică. Iată care sunt cele mai des întâlnite tipuri de servicii de securitate cibernetică, clasificate în funcție de domeniile pe care le vizează:

· Serviciile Managed Endpoint Detection and Response (MEDR) se concentrează pe endpointuri, adică dispozitive precum laptopuri, desktopuri și telefoane mobile. Acestea utilizează instrumente specializate de protecție la nivel de endpoint, oferind o apărare țintită împotriva amenințărilor de tip malware și ransomware și nu numai.

· Serviciile Managed Network Detection and Response (MNDR) se concentrează pe securitatea rețelei, protejând elemente precum routere, comutatoare și firewalluri. Acestea sunt adaptate astfel încât să monitorizeze traficul de rețea și să vă apere împotriva amenințărilor specifice infrastructurii de rețea.

· Servicii Managed Extended Detection and Response (MXDR) extind funcționalitățile pentru a acoperi endpointuri, rețele, servicii cloud și, eventual, dispozitive IoT. În esență, este o versiune atotcuprinzătoare a MDR, care integrează diverse aspecte ale securității într-un serviciu centralizat. Este important de reținut că MXDR nu este o entitate diferită de MDR, ci mai degrabă o extensie a acestuia. În timp ce MEDR și MNDR oferă securitate concentrată pe anumite domenii specifice, MXDR reunește aceste elemente, oferind o abordare mai integrată și mai extinsă față de MDR.

Pentru organizațiile care iau în considerare serviciile MDR, alegerea între MEDR, MNDR și MXDR va fi una dificilă, deoarece depinde de nevoile specifice de securitate, de infrastructura existentă și de sfera pe care doresc să o acopere.

În prezent, majoritatea organizațiilor se confruntă cu provocări în materie de securitate cibernetică care merg dincolo de modul de implementare a tehnologiilor de securitate. Cerințele pe care echipele de securitate trebuie să le respecte nu se referă doar la gestionarea amenințărilor, ci și la utilizarea eficientă a resurselor, asigurând în același timp continuitatea operațională. Serviciile MDR au apărut ca o soluție holistică la un set divers de provocări, cum ar fi:

· Numărul mare de alerte: organizațiile utilizează frecvent diverse instrumente de securitate care generează numeroase alerte, multe dintre ele fiind pozitive false. Acest lucru poate crea un volum mare de notificări care copleșește echipele de securitate. Serviciile MDR filtrează alertele fals pozitive și evidențiază amenințările reale, reducând probabilitatea de a omite incidente critice.

· Complexitatea instrumentelor: tehnologiile avansate de securitate sunt adesea însoțite de o curbă de învățare abruptă și pot presupune o implementare și administrare complexă. Serviciile de detecție și răspuns administrate reprezintă o soluție mai accesibilă și mai ușor de utilizat pentru organizații, îmbunătățind rapid postura lor generală de securitate fără să fie nevoie de expertiză internă specializată.

· Competențe și resurse limitate: multe organizații, în special cele de dimensiuni mai mici, nu dispun de resursele și competențele specializate necesare pentru a asigura o securitate cibernetică eficientă. MDR oferă un nivel de expertiză în domeniul securității care altfel ar putea fi inaccesibil, oferind analize efectuate de experți și acțiuni de răspuns adaptate.

· Preocupări legate de conformitate și confidențialitate: reglementările în materie de conformitate și standardele de confidențialitate se schimbă constant, iar organizațiile se pot confrunta cu riscuri de natură juridică și cu prejudicii pentru reputație dacă nu mențin integritatea și confidențialitatea datelor lor. MDR este adesea cea mai viabilă soluție cu ajutorul căreia o organizație poate îndeplini în totalitate acest tip de cerințe.

· Monitorizare continuă: amenințările cibernetice pot apărea în orice moment, dar pentru multe organizații, gestionarea și dotarea cu personal a unui centru de operațiuni de securitate intern care să funcționeze 24/7 nu este o opțiune reală. Serviciile MDR răspund la această provocare, oferind monitorizare și răspuns non-stop.

· Amenințări avansate: securitatea cibernetică se confruntă în prezent cu amenințări care evoluează rapid, cum ar fi APT-urile, exploatările de tip „zero-day”, ransomware și schemele sofisticate de phishing. Serviciile MDR își actualizează în permanență threat intelligence-ul și, mai mult decât atât, utilizează măsuri proactive, cum ar fi threat hunting. Această abordare ajută organizațiile să aplice o apărare preventivă care presupune un nivel de vigilență și expertiză dificil de menținut doar cu ajutorul resurselor interne.

Pentru echipele de conducere, decizia de a integra servicii Managed Detection and Response este determinată de capacitatea sa de a oferi beneficii semnificative, sporind atât eficacitatea, cât și eficiența eforturilor lor în domeniul securității cibernetice. Iată care sunt principalele beneficii:

·       Eficiența operațională: MDR optimizează operațiunile de securitate, reducând semnificativ volumul de muncă al echipelor interne. Prin integrarea diferitelor funcții de securitate într-un sistem coerent, aceste servicii simplifică procesul de identificare, evaluare și eliminare a amenințărilor, permițându-le resurselor interne să se concentreze asupra altor operațiuni importante pentru desfășurarea activității.

·       Detecție și răspuns mai rapid: prin valorificarea instrumentelor de analiză avansată și a proceselor automatizate, serviciile MDR pot identifica rapid amenințările și pot iniția un răspuns, limitând impactul potențial și asigurând continuitatea activității.

·       Îmbunătățirea posturii de securitate: MDR nu se limitează la a răspunde amenințărilor pe măsură ce acestea apar, ci și îmbunătățește capacitatea organizației de a prezice și de a se pregăti pentru posibile provocări viitoare în materie de securitate cibernetică.

·       Scalabilitate și flexibilitate: serviciile MDR sunt scalabile, ceea ce le face potrivite pentru a fi utilizate de companii de toate dimensiunile. Acestea se pot adapta la nevoile în evoluție ale unei organizații, de exemplu, atunci când aceasta își extinde operațiunile, se adaptează la noile tehnologii sau intră pe piețe noi. 

·       Raportul cost-eficacitate: implementarea MDR poate fi o soluție rentabilă, în special pentru IMM-uri. Adesea, oferă acces la resurse și expertiză de securitate de nivel înalt, la costuri reduse comparativ cu cele necesare pentru a crea și a păstra o echipă internă.

·       Accesul la tehnologii și expertiză avansate: în legătură cu cele menționate la punctul anterior, serviciile MDR le oferă organizațiilor acces la instrumente de ultimă generație și la un set de competențe de nivel înalt necesare pentru a le utiliza, fără să fie nevoie de investiții substanțiale în tehnologie și formare.

·       Îmbunătățirea conformității și a managementului riscurilor: pentru că furnizează îndrumări de specialitate și se asigură că măsurile de securitate respectă cerințele legale și ale industriei, aceste servicii reduc riscul de neconformitate și consecințele aferente de natură financiară și asupra reputației.

MDR se remarcă prin faptul că îmbunătățește și extinde capacitățile instrumentelor convenționale precum EDR, XDR, servicii SIEM administrate și MSSP. Să vedem care sunt principalele diferențe.

Endpoint Detection and Response (EDR)?

EDR se bazează pe monitorizarea și analizarea comportamentelor endpointurilor, folosind răspunsuri automate bazate pe o serie de reguli și modele stabilite. Deși această soluție este eficientă pentru înregistrarea activităților de la nivelul endpointurilor, poate deveni complexă și poate consuma resurse.  MDR completează EDR prin introducerea expertizei umane în etapele de analiză și luarea deciziilor, oferind procese mature și threat intelligence mai extinse. Această integrare le permite organizațiilor să valorifice mai eficient capacitățile EDR, fără să mai fie nevoite să administreze soluții EDR complexe.

MDR vs. XDR (Extended Detection and Response)

Serviciul XDR extinde capacitățile EDR (a se vedea mai sus) prin agregarea datelor colectate de la nivelul endpointurilor, rețelelor, mediilor cloud și al altor surse pentru a efectua o analiză mai amplă a securității. MDR îmbunătățește funcționalitatea XDR prin integrarea expertizei umane în activitatea proactivă de threat hunting, prin monitorizarea continuă 24/7 și prin furnizarea de răspunsuri strategice. 

MDR vs. servicii SIEM administrate (Security Information and Event Management)

Serviciile SIEM a administrate centralizează și analizează datele colectate de la diverse dispozitive de securitate și surse de rețea. Deși sunt eficiente, soluțiile SIEM pot fi complexe, necesitând un nivel înalt de expertiză pentru a interpreta datele și a acționa eficient pe baza lor.  MDR abordează aceste provocări oferind o abordare mai simplificată și furnizând informații clare și utile, cu o complexitate redusă. Aceste servicii garantează faptul că datele și alertele sunt interpretate cu acuratețe și sunt valorificate cu promptitudine.

MDR vs. MSSP (furnizorii de servicii de securitate administrate)

MSSP oferă o gamă largă de servicii de securitate, inclusiv monitorizarea și validarea alertelor. Însă, de obicei, nu se implică să răspundă activ la amenințări, lăsând această responsabilitate în seama clientului. MDR merge dincolo de modelul tradițional MSSP, nu doar identificând amenințările, ci și implementând un răspuns la acestea.

Furnizorii de securitate cibernetică oferă diverse caracteristici de calități și la prețuri diferite, ceea ce poate face ca alegerea soluției potrivite pentru organizația dumneavoastră să fie o sarcină dificilă. Iată câteva întrebări generale la care ar trebui să aveți un răspuns atunci când evaluați acești furnizori, conform Gartner și altor surse de cercetare de piață de renume:

·        Ce experiență și nivel de expertiză au aceștia? Un furnizor ar trebui să aibă o experiență dovedită în furnizarea de servicii MDR eficiente și fiabile clienților din diferite industrii și regiuni. De asemenea, acesta ar trebui să aibă o cunoaștere amplă și aprofundată a diferitelor tehnologii și surse de telemetrie, cum ar fi endpoint, rețea, cloud și aplicații, pentru a putea detecta și răspunde la o gamă largă de amenințări.

·        Care sunt capacitățile furnizorilor de reacție? Furnizorul ar trebui să fie capabil să ia măsuri rapide și decisive pentru a izola și elimina amenințările în numele dumneavoastră sau cel puțin să vă ofere mecanisme ușoare prin care să aprobați sau să inițiați chiar dumneavoastră astfel de acțiuni.

·       Serviciile oferite de furnizor sunt clare și coerente? Optați pentru furnizorii care oferă o descriere clară și coerentă a serviciilor lor și care se angajează să comunice în mod regulat și transparent cu dumneavoastră cu privire la starea și rezultatele obținute de serviciul respectiv, precum și la orice probleme sau provocări care pot apărea.

·        Există un proces de integrare bine stabilit ?Furnizorul ar trebui să dispună de procese care să asigure un proces amplu de integrare care se adaptează la infrastructura și atributele companiei dumneavoastră. Serviciile ar trebui să fie adaptate la mediul și cerințele dumneavoastră, iar furnizorul trebuie să înțeleagă contextul și prioritățile organizației dumneavoastră.

·       Cine sunt experții din echipă? Alegeți un furnizor care poate dovedi că dispune de o echipă de experți calificați și certificați în domeniul securității cibernetice, deoarece aceștia sunt cei care vor analiza, investiga și opri amenințările înainte ca acestea să devină incidente. Optați pentru parteneri MDR care susțin o cultură de învățare continuă, asigurându-se că echipa lor este la curent cu cele mai noi tendințe și evoluții din peisajul cibernetic.

Chiar dacă sunteți mulțumit de răspunsurile pe care le-ați primit la toate întrebările de mai sus, puteți cere referințe de la clienții lor existenți sau anteriori și puteți solicita o demonstrație sau o versiune de evaluare a serviciului lor Managed Detection and Response (MDR). De asemenea, documentați-vă și comparați diferiți furnizori pe baza recenziilor sau evaluărilor independente din surse cunoscute, deoarece acestea pot oferi evaluări obiective și imparțiale.