Managed detection and response (MDR) est un service de cybersécurité externalisé qui fournit aux organisations des services de chasse aux menaces et répond aux menaces une fois qu'elles sont découvertes. Elle implique également un élément humain : Les fournisseurs de sécurité fournissent à leurs clients MDR l’accès à leur groupe de chercheurs et d’ingénieurs en sécurité, qui sont responsables de la surveillance des réseaux, de l’analyse des incidents et de la réponse aux cas de sécurité. Ses technologies principales sont Extended Detection and Response (XDR) et Security Information and Event Management (SIEM).
Les composants essentiels des services MDR constituent la base d’une stratégie de cybersécurité avancée et proactive, travaillant ensemble pour détecter, répondre et prévenir les cybermenaces en temps réel.
La chasse aux menaces est une approche proactive, axée sur des experts, qui recherche en permanence les menaces potentielles qui se cachent dans le réseau d’une organisation. Contrairement aux systèmes de détection automatisés, les chasseurs de menaces recherchent activement des signes subtils de compromission et de comportement suspect qui peuvent échapper aux outils de sécurité standard. Ce processus pratique aide à découvrir les menaces furtives et sophistiquées avant qu’elles ne puissent causer des dommages importants, renforçant ainsi la posture de sécurité globale de l’organisation.
La réponse aux incidents est une approche structurée pour traiter et atténuer les incidents de sécurité lorsqu’ils surviennent. Ce composant implique l’identification et la maîtrise rapides des menaces, suivies par des efforts d’éradication et de récupération pour restaurer les opérations normales. Une équipe de réponse aux incidents MDR travaille en étroite collaboration avec les parties prenantes pour gérer efficacement l’incident et met en œuvre des mesures pour prévenir les événements futurs, garantissant un impact minimal sur la continuité des activités et les opérations.
La détection et la réponse des endpoints se concentrent sur la surveillance de l’activité sur les appareils tels que les ordinateurs, les serveurs et les appareils mobiles. En analysant en continu les comportements des endpoints, les services MDR peuvent détecter les menaces potentielles au niveau de l’appareil et y répondre. L’EDR est essentielle, car les endpoints sont des cibles fréquentes pour les cyberattaqueurs, et une détection rapide à ce niveau aide à prévenir les mouvements latéraux et d’autres compromissions au sein du réseau.
L’analyse du trafic réseau implique de surveiller le flux de données au sein du réseau d’une organisation pour détecter les anomalies et les activités suspectes. En analysant le trafic réseau en temps réel, les services MDR peuvent identifier les signes d’attaques potentielles, comme les transferts de données inhabituels ou les tentatives d’accès non autorisées. Le NTA est essentiel pour identifier les menaces qui peuvent contourner la sécurité des endpoints, offrant une vue plus large de la sécurité réseau.
Le SIEM intègre des données provenant de différentes sources, y compris des journaux et des alertes, pour fournir une vue centralisée des événements de sécurité dans une organisation. Les services MDR utilisent le SIEM pour corréler les données, détecter les schémas et identifier les menaces en temps réel. Cette surveillance centralisée permet une détection et une réponse rapides aux incidents et permet à l’équipe MDR de hiérarchiser les menaces en fonction de leur impact potentiel sur l’organisation.
La surveillance continue garantit que tous les composants du système MDR surveillent activement l’environnement de l’organisation 24 h/24. Ce composant permet à l’équipe MDR de détecter, de répondre et de contenir les menaces en temps réel, minimisant ainsi le risque de violations non détectées.
Le MDR résout les problèmes importants qui touchent les entreprises modernes. Le problème le plus flagrant est le manque de compétences en sécurité au sein des organisations. Bien que la formation et la mise en place d'équipes de sécurité dédiées capables d'effectuer une chasse aux menaces à temps plein puissent être réalisables pour les grandes organisations qui peuvent s'en permettre, la plupart des entreprises trouveront cette proposition difficile compte tenu de leurs limitations de ressources. Cela est particulièrement vrai pour les moyennes et grandes organisations qui se trouvent souvent être la cible de cyberattaques, mais manquent de ressources ou de main-d’œuvre pour ces équipes.
Même les organisations qui sont prêtes à dépenser du temps et de l'argent peuvent avoir du mal à acquérir le bon personnel.
Les entreprises sont également confrontées à des défis lors du déploiement de solutions complexes de détection et de réponse aux endpoints (EDR), qui ne sont généralement pas optimisées en raison d’un manque de temps, de compétences et de fonds pour former le personnel à gérer les outils EDR. MDR intègre des outils EDR dans sa mise en œuvre de sécurité, ce qui en fait une partie intégrante des rôles de détection, d'analyse et de réponse.
Un problème souvent négligé en matière de cybersécurité est le volume important d'alertes que les équipes de sécurité et IT reçoivent régulièrement. Un grand nombre de ces alertes ne peuvent pas être facilement identifiées comme malveillantes et doivent être vérifiées sur une base individuelle. En outre, les équipes de sécurité doivent corréler ces menaces, car la corrélation peut révéler si les indicateurs apparemment insignifiants s'additionnent tous dans le cadre d'une attaque plus importante. Cela peut submerger les équipes de sécurité plus petites et supprimer du temps et des ressources précieux de leurs autres tâches.
Le MDR vise à résoudre ce problème non seulement en détectant les menaces, mais également en analysant tous les facteurs et indicateurs impliqués dans une alerte. Le MDR fournit également des recommandations et des modifications aux organisations en fonction de l’interprétation des événements de sécurité. L'une des compétences les plus importantes dont les professionnels de la sécurité ont besoin est la capacité à contextualiser et analyser les indicateurs de compromission afin de mieux positionner l'entreprise contre les futures attaques. Les technologies de sécurité peuvent avoir la capacité de bloquer les menaces, mais approfondir les « comment », « pourquoi » et « quoi » des incidents nécessite une touche humaine.
Le MDR est conçu pour résoudre le problème des lacunes en compétences en cybersécurité d’une organisation. Il s'attaque au problème des menaces plus avancées qu'une équipe IT interne ne peut pas complètement traiter, idéalement à un coût inférieur à celui que l'entreprise devra dépenser pour créer sa propre équipe de sécurité spécialisée. MDR peut également offrir à l’organisation un accès à des outils auxquels elle n’a normalement pas accès. Le diagramme ci-dessous illustre ce qu’une organisation peut gagner lorsque le MDR entre en jeu.
Managed Security Service (MSS) est souvent cité avec le MDR. Lorsque l’on étudie les tendances dans les services proposés par les fournisseurs, le MDR est souvent articulé autour de la détection/réponse aux menaces. Le MSS, quant à lui, se concentre souvent sur la surveillance de la sécurité du produit et sur la maintenance matérielle.
La plupart des services MDR se concentrent sur l’EDR, mais il existe un autre type de service nommé Managed NDR (MNDR), articulé autour de la détection et de la réponse réseau (NDR). Comparé au MDR, qui se concentre souvent sur l’EDR, le MNDR détecte les menaces et y répond d'après la télémétrie et les journaux sur le réseau.
Récemment, le MXDR (Managed XDR), qui s'articule autour du XDR (Extend Detection and Response), a également fait son apparition. Dans la philosophie de détection et de réponse, plus la couverture du capteur est importante, plus la télémétrie est riche, et donc plus la détection des menaces est efficace.
Les organisations se tournent traditionnellement vers les fournisseurs de services de sécurité managés (MSSP) pour leurs besoins de sécurité externes. Contrairement aux fournisseurs de MDR, qui peuvent détecter les mouvements latéraux au sein d’un réseau, les MSSP fonctionnent généralement avec une technologie basée sur le périmètre ainsi que des détections basées sur des règles pour identifier les menaces. De plus, les types de menaces auxquels les MSSP font face sont les menaces connues, telles que les exploits de vulnérabilité, les malware récurrents et les attaques à volume élevé. Les MSSP ont des professionnels de la sécurité qui effectuent la gestion, la surveillance et l'analyse des journaux, mais souvent pas à un niveau très approfondi. En substance, les MSSP sont en mesure de gérer la sécurité d'une organisation, mais généralement uniquement au niveau du périmètre, et leur analyse n'implique pas d'investigation approfondie, de recherche sur les menaces et d'analyse.
En termes de service, les MSSP communiquent généralement par e-mail ou par téléphone, avec des professionnels de la sécurité comme accès secondaire, tandis que les fournisseurs de MDR effectuent une surveillance continue 24 h/24, 7 j/7, qui peut ne pas être proposée par certains MSSP.
Cependant, les MSSP apportent toujours de la valeur aux organisations. Par exemple, la gestion des pare-feu et d'autres besoins de sécurité quotidiens du réseau d'une organisation est une tâche plus adaptée à un MSSP qu'à un fournisseur MDR, qui offre un service plus spécialisé. Par conséquent, les fournisseurs MSSP et MDR peuvent travailler ensemble, les fournisseurs MDR se concentrant sur la détection proactive et l'analyse comportementale des menaces plus avancées et donnant des recommandations de remédiation pour les organisations une fois les menaces découvertes.