Managed Detection and Response (MDR) to zewnętrzna usługa cyberbezpieczeństwa, która zapewnia organizacjom usługi wyszukiwania zagrożeń i reaguje na nie po ich wykryciu. Obejmuje również element ludzki: Dostawcy zabezpieczeń zapewniają swoim klientom MDR dostęp do swojej puli badaczy i inżynierów ds. bezpieczeństwa, którzy są odpowiedzialni za monitorowanie sieci, analizowanie incydentów i reagowanie na przypadki bezpieczeństwa. Opiera się ona na rozszerzonym wykrywaniu i reagowaniu (XDR) oraz zarządzanie informacjami i zdarzeniami bezpieczeństwa (SIEM).
Podstawowe elementy usług MDR stanowią podstawę zaawansowanej i proaktywnej strategii cyberbezpieczeństwa, współpracując w celu wykrywania zagrożeń cybernetycznych, reagowania na nie i zapobiegania im w czasie rzeczywistym.
Poszukiwanie zagrożeń to proaktywne, oparte na ekspertach podejście, które nieustannie poszukuje potencjalnych zagrożeń czających się w sieci organizacji. W odróżnieniu od zautomatyzowanych systemów wykrywania, przeszukujący aktywnie poszukują subtelnych oznak naruszenia bezpieczeństwa i podejrzanych zachowań, które mogą ominąć standardowe narzędzia bezpieczeństwa. Ten praktyczny proces pomaga odkryć podstępne i zaawansowane zagrożenia, zanim spowodują one znaczne szkody, wzmacniając ogólną postawę organizacji w zakresie bezpieczeństwa.
Reagowanie na incydenty to ustrukturyzowane podejście do reagowania na incydenty związane z bezpieczeństwem w miarę ich pojawiania się. Składnik ten polega na szybkim identyfikowaniu i powstrzymywaniu zagrożeń, a następnie eliminowaniu i przywracaniu normalnego działania. Zespół ds. reagowania na incydenty MDR ściśle współpracuje z interesariuszami w celu skutecznego zarządzania incydentami i wdraża środki zapobiegające przyszłym wystąpieniom, zapewniając minimalny wpływ na ciągłość działalności i operacji.
Wykrywanie punktów końcowych i reagowanie na nie koncentruje się na monitorowaniu aktywności na różnych urządzeniach, takich jak komputery, serwery i urządzenia mobilne. Dzięki ciągłej analizie zachowań punktów końcowych usługi MDR mogą wykrywać potencjalne zagrożenia na poziomie urządzeń i reagować na nie. EDR ma kluczowe znaczenie, ponieważ punkty końcowe są częstymi celami cyberataków, a szybkie wykrywanie na tym poziomie pomaga zapobiegać ruchom bocznym i dalszym zagrożeniom w sieci.
Analiza ruchu sieciowego polega na monitorowaniu przepływu danych w sieci organizacji w celu wykrycia anomalii i podejrzanych działań. Analizując ruch sieciowy w czasie rzeczywistym, usługi MDR mogą identyfikować oznaki potencjalnych ataków, takie jak nietypowe transfery danych lub nieautoryzowane próby dostępu. NTA ma kluczowe znaczenie dla identyfikowania zagrożeń, które mogą obejść zabezpieczenia punktów końcowych, zapewniając szerszy obraz bezpieczeństwa sieci.
SIEM integruje dane z różnych źródeł, w tym dzienniki i alerty, aby zapewnić scentralizowany widok zdarzeń związanych z bezpieczeństwem w całej organizacji. Usługi MDR wykorzystują SIEM do korelacji danych, wykrywania wzorców i identyfikowania zagrożeń w czasie rzeczywistym. To scentralizowane monitorowanie umożliwia szybkie wykrywanie i reagowanie na incydenty oraz umożliwia zespołowi MDR ustalanie priorytetów zagrożeń w oparciu o ich potencjalny wpływ na organizację.
Ciągłe monitorowanie zapewnia, że wszystkie komponenty systemu MDR aktywnie nadzorują środowisko organizacji przez całą dobę. Ten składnik umożliwia zespołowi MDR wykrywanie, reagowanie i ograniczanie zagrożeń w czasie rzeczywistym, minimalizując ryzyko niewykrytych naruszeń.
MDR rozwiązuje poważne problemy, które nękają nowoczesne firmy. Najbardziej dokuczliwym problemem jest brak umiejętności w zakresie bezpieczeństwa w organizacjach. Podczas gdy szkolenie i tworzenie dedykowanych zespołów ds. bezpieczeństwa, które mogą w pełnym wymiarze czasu szukać zagrożeń, może być możliwe dla większych organizacji, które mogą na to pozwolić, większość firm uzna to za trudną propozycję, biorąc pod uwagę ograniczenia zasobów. Dotyczy to zwłaszcza średnich i dużych organizacji, które często są celem cyberataków, ale nie dysponują zasobami ani siłą roboczą takich zespołów.
Nawet organizacje, które są skłonne poświęcać czas i pieniądze, mogą mieć trudności z pozyskaniem odpowiedniego personelu.
Przedsiębiorstwa muszą też wdrażać złożone rozwiązania do wykrywania i reagowania w punktach końcowych (EDR), które zazwyczaj nie są maksymalizowane ze względu na brak czasu, umiejętności i środków na przeszkolenie personelu w zakresie obsługi narzędzi EDR. Rozwiązanie MDR integruje narzędzia EDR w ramach wdrażania zabezpieczeń, co czyni je integralną częścią ról wykrywania, analizy i reagowania.
Często pomijanym problemem w zakresie cyberbezpieczeństwa jest duża liczba alertów, które zespoły IT otrzymują regularnie. Wiele z tych alertów nie może być łatwo zidentyfikowanych jako złośliwe i należy je sprawdzać indywidualnie. Ponadto zespoły ds. bezpieczeństwa muszą korelować te zagrożenia, ponieważ korelacja może ujawnić, czy pozornie nieistotne wskaźniki sumują się w ramach większego ataku. Może to przytłaczać mniejsze zespoły ds. bezpieczeństwa i odbierać cenny czas i zasoby z innych zadań.
Celem MDR jest rozwiązanie tego problemu nie tylko poprzez wykrywanie zagrożeń, ale także analizowanie wszystkich czynników i wskaźników alertu. MDR dostarcza również zalecenia i zmiany organizacjom w oparciu o interpretację zdarzeń związanych z bezpieczeństwem. Jedną z najważniejszych umiejętności potrzebnych specjalistom ds. bezpieczeństwa jest możliwość kontekstualizacji i analizy wskaźników naruszenia bezpieczeństwa w celu lepszego przygotowania firmy na przyszłe ataki. Technologie bezpieczeństwa mogą blokować zagrożenia, ale głębsze poznanie sposobów, powodów i incydentów wymaga kontaktu z człowiekiem.
MDR ma na celu rozwiązanie problemu luki w umiejętnościach cyberbezpieczeństwa w organizacji. Rozwiązuje problem bardziej zaawansowanych zagrożeń, których wewnętrzny zespół IT nie jest w stanie całkowicie rozwiązać, najlepiej po kosztach niższych niż koszty, które firma musi wydać, aby zbudować własny wyspecjalizowany zespół ds. bezpieczeństwa. MDR może również zaoferować organizacji dostęp do narzędzi, do których normalnie nie ma dostępu. Poniższy schemat ilustruje, co organizacja może zyskać, gdy w grę wchodzi MDR.
Zarządzane usługi bezpieczeństwa (ang. Managed Security Service, MSS) są często wymieniane obok MDR. Obecne trendy w usługach oferowanych przez dostawców są takie, że MDR jest często oferowany z centralnymi funkcjami wykrywania zagrożeń i reagowania na nie. Natomiast MSS zazwyczaj koncentruje się na monitorowaniu produktów bezpieczeństwa i konserwacji sprzętu.
Podczas gdy większość usług MDR koncentruje się na EDR, istnieje inny rodzaj usługi o nazwie Managed NDR (MNDR), która opiera się na wykrywaniu zagrożeń w sieci i reagowaniu na nie (ang. Network Detection and Response, NDR). MNDR różni się od usługi MDR, która często koncentruje się na EDR, tym że wykrywa i reaguje na zagrożenia w oparciu o telemetrię i dzienniki w sieci.
Niedawno pojawiła się również usługa MXDR (Managed XDR), której podstawową funkcją jest rozszerzone wykrywanie zagrożeń i reagowanie na nie (ang. Extend Detection and Response, XDR). W filozofii wykrywania i reagowania, im większy zasięg czujników, tym bogatsza telemetria i skuteczniejsze wykrywanie zagrożeń.
Organizacje tradycyjnie zwracały się do dostawców zarządzanych usług zabezpieczeń (MSSP) w celu zaspokojenia swoich potrzeb w zakresie bezpieczeństwa zewnętrznego. W odróżnieniu od dostawców MDR, którzy wykrywają ruch poprzeczny w sieci, MSSP zazwyczaj korzystają z technologii obwodowej, a także wykrywania opartego na regułach w celu identyfikacji zagrożeń. Ponadto rodzaje zagrożeń, z którymi zmagają się MSSP, to znane zagrożenia, takie jak luki w zabezpieczeniach, powtarzające się złośliwe oprogramowanie i ataki o dużej objętości. MSSP mają specjalistów ds. bezpieczeństwa, którzy zajmują się zarządzaniem dziennikami, monitorowaniem i analizą, ale często nie są zbyt dogłębni. Zasadniczo dostawcy MSSP są w stanie zarządzać bezpieczeństwem organizacji, ale zazwyczaj tylko na poziomie granic, a ich analiza nie obejmuje szeroko zakrojonych analiz kryminalistycznych, badań zagrożeń i analiz.
Jeśli chodzi o usługi, MSSP zazwyczaj komunikują się za pośrednictwem poczty e-mail lub telefonu z pracownikami ochrony jako dodatkowym dostępem, podczas gdy dostawcy MDR prowadzą ciągłe monitorowanie 24 godziny na dobę, 7 dni w tygodniu, które może nie być oferowane przez niektórych dostawców MSSP.
MSSP nadal jednak zapewniają wartość organizacjom. Na przykład zarządzanie zaporami sieciowymi i innymi codziennymi potrzebami w zakresie bezpieczeństwa sieci organizacji to zadanie, które jest bardziej odpowiednie dla MSSP niż dostawcy MDR, który oferuje bardziej wyspecjalizowaną usługę. W związku z tym dostawcy MSSP i MDR mogą współpracować ze sobą — dostawcy MDR koncentrują się na proaktywnym wykrywaniu i analizie zachowań bardziej zaawansowanych zagrożeń oraz przekazują zalecenia dotyczące działań naprawczych organizacjom po ich wykryciu.