Управляемое обнаружение и реагирование (MDR) — это служба кибербезопасности, которая сочетает в себе технологии и человеческий опыт для поиска, мониторинга и реагирования на угрозы. Основное преимущество MDR заключается в том, что оно помогает быстро выявлять и ограничивать влияние угроз без необходимости в дополнительном персонале.
Почему стоить задуматься о внедрении MDR
Причина №1: Персонал / ресурсы
Организации, которые пытаются оставить прежним укомплектованность своих департаментов безопасности персоналом, сталкиваются с еще большими сложностями поскольку они внедряют инновационные технологии безопасности для борьбы с меняющимся ландшафтом угроз.
Сегодня у большинства организаций есть инструменты безопасности в своем стеке, которыми у них нет времени свободно управлять.
Усилия, которые они вложили в передовые инструменты для обеспечения безопасности, могут в конечном итоге навредить вместо того, чтобы помочь, вам просто не хватит времени или ресурсов для полного развертывания и оптимизации своих новых решений в борьбе с киберугрозами.
Причина №2: Оповещения о кибератаках
Еще одна проблема - управление огромным количеством оповещений от всех этих новых технологий безопасности. Это не новая проблема, но она растет по мере распространения конечных точек в виде Интернет вещей, удаленных сотрудников, подключенных партнеров по цепочке поставок и гибридных сетей.
Реагирование на каждое предупреждение требует больше сил, знаний и времени, чем обычно имеется в организации - и когда угроза попадает в систему, не всегда сотрудники безопасности обладают теми навыками по предотвращению инцидента и могут вернуть систему в конечную точку в безопасное состояние, делая это быстро, прежде чем кибератака смогла нанести существенный урон организации.
СОВЕТ
Даже если у организации есть ресурсы и воля для создания команды по безопасности, способной справиться со всеми аспектами всех угроз, следует ожидать, что на создание продуманной программы обнаружения и реагирования потребуется не менее месяцев, а скорее всего даже лет. Тем временем бизнес останется уязвимым.
MDR была создана, чтобы заполнить эти пробелы. Организации могут быстро установить решение MDR, которое обеспечивает удаленный доступ к сети, чтобы предоставить круглосуточное покрытие и доступ к знаниям, которые было бы чрезвычайно сложно найти и укомплектовать самостоятельно. Поскольку эксперты работают круглосуточно, они могут быстро отреагировать, основываясь на своем опыте обо всех аспектах безопасности конечных точек, от обнаружения до восстановления конечной точки до заведомо исправного состояния и предотвращения дальнейшего взлома.
Каковы преимущества MDR?
Организации, использующие решение MDR, могут немедленно сократить время обнаружения (и, следовательно, время ответных действий) до нескольких минут, тем самым значительно снижая влияние угрозы.
Но сокращение времени обнаружения с месяцев до минут - не единственное преимущество. Организации также могут:
Повысить уровень безопасности и стать более устойчивыми к потенциальным атакам за счет оптимизации конфигурации безопасности и устранения несанкционированных систем.
Выявлять и устранять скрытые сложные угрозы с помощью непрерывного управляемого поиска угроз.
Реагировать на угрозы более эффективно и восстанавливать конечные точки до заведомо исправного состояния с помощью пошаговой инструкции и управляемого исправления.
Перенаправить персонал, реагирующий и работающий с подобными инцидентами, на более важные стратегические проекты.
Как работает MDR?
MDR удаленно отслеживает, выявляет и реагирует на угрозы, обнаруженные в вашей организации. Инструмент определения конечной точки и реагирования (EDR), как правило, обеспечивает необходимую видимость событий безопасности на конечной точке.
Соответствующая информация об угрозах, расширенная аналитика и данные передаются специалистам, которые проводят сортировку предупреждений и определяют наиболее подходящие решения для снижения рисков и воздействий на корректную работоспособность. Наконец, благодаря сочетанию человеческих и механических возможностей угроза устраняется, а пораженная конечная точка восстанавливается до своего изначального состояния.
Основные возможности MDR:
1. Приоритезация
Регулируемая расстановка приоритетов помогает организациям, которым ежедневно приходится просеивать огромный объем предупреждений, определить, к каким из них обращаться в первую очередь. Управляемая приоритезация, которую часто называют «управляемым EDR», использует автоматизированные правила и проверку человеком, чтобы отличить неопасные события и ложные срабатывания от истинных угроз. Результаты обогащаются дополнительным контекстом и превращаются в поток высококачественных предупреждений.
2. Охота на угрозы
За каждой угрозой стоит человек, который думает о том, как избежать попадания в ловушку контрмер своей цели. Хоть машины и очень умны, нужен человеческий разум, чтобы добавить элемент, который не может обеспечить никакая автоматическая система обнаружения. Охотники за человеческими угрозами с обширными навыками и опытом выявляют и предупреждают о самых скрытых и наиболее уклончивых угрозах, чтобы уловить то, что пропустили уровни автоматизированной защиты.
3. Расследование
Услуги по регулируемому расследованию помогают организациям быстрее распознавать угрозы, дополняя предупреждения системы безопасности дополнительным контекстом. Организации могут более полно понять, что произошло, когда это произошло, кто пострадал и как далеко зашел злоумышленник. Обладая этой информацией, они могут спланировать эффективные ответные действия.
4. Подробные инструкции
Подробные инструкции дают действенные советы о том, как лучше всего сдерживать и устранять конкретную угрозу. Организации получают консультации по выполнению самых важных действий, например, изолировать систему от сети, до непосредственного устранения угроз или восстановления после атаки на поэтапной основе.
5. Исправление
Последний шаг после любой атаки - восстановление. Если этот шаг не будет выполнен должным образом, то все усилия организации в программу защиты конечных точек будут потрачены впустую. Управляемое исправление восстанавливает системы до изначального состояния перед атакой путем удаления вредоносных программ, очистки реестра, удаления злоумышленников и удаления механизмов сохранения и обеспечивает возврат сети в заведомо исправное состояние, предотвращая дальнейшую компрометацию.
Что отличает MDR Security от других решений для защиты конечных точек?
MDR vs. EDR
EDR (Endpoint Detection and Response) — это часть набора инструментов, используемого поставщиками MDR. EDR записывает и сохраняет поведение и события на конечных точках и передает их в автоматизированные системы реагирования и анализа. При обнаружении аномалии ее отправляют специалистам в службу безопасности для расследования. EDR дает командам безопасности возможность использовать не только индикаторы взлома (IoC) или сигнатуры, чтобы лучше понять, что происходит в их сетях.
Со временем предложения EDR стали более сложными, включая такие технологии, как машинное обучение и поведенческий анализ, а также возможность интеграции с другими сложными инструментами. Но многим внутренним группам безопасности не хватает ресурсов и времени для полного использования своих систем EDR, что может сделать организацию менее защищенной, чем она была до покупки решения.
MDR решает эту проблему, используя человеческий опыт, развитые процессы и аналитику угроз. MDR разработан, чтобы помочь организациям получить защиту конечных точек корпоративного уровня без затрат на персонал службы безопасности.
MDR против MSSP
Поставщики управляемых услуг безопасности (MSSP) являются предшественниками MDR. MSSP обычно обеспечивают широкий мониторинг сети на предмет событий и отправляют проверенные предупреждения другим инструментам или службе безопасности, а также ряд других служб, таких как управление технологиями, обновлениями, соответствия и управление уязвимостями, но обычно не реагируют активно на угрозы. Заказчик несет ответственность за выполнение этих действий, что может потребовать специальных знаний, которые не часто поддерживаются внутри компании. В результате клиенты MSSP также должны привлекать дополнительных консультантов или специалистов для уменьшения и устранения последствий.
Услуги MDR сосредоточены на обнаружении возникающих угроз и быстром реагировании на них. Кроме того, MDR предоставляет возможности смягчения и исправления и может принести немедленную пользу с минимальными вложениями.
MDR против SIEM
Управление информацией и событиями о безопасности (SIEM) — это широкая категория технологий. Все SIEM начинаются с агрегирования данных из многих сетевых источников и других устройств безопасности и их анализа для выявления аномалий, которые могут сигнализировать о подозрительной активности. После этого возможности SIEM сильно различаются. Некоторые из них являются технологическими решениями, а другие больше похожи на услуги управляемой обработки событий и оповещения.
Все SIEM объединяет то, что их клиенты сообщают о сложных задачах при решении проблем, обнаруженных в их данных SIEM, потому что они сталкиваются с трудностями в понимании результатов. Почти 45 процентов пользователей SIEM говорят, что им не хватает собственных знаний для полноценного использования своего решения SIEM. Также данные технологии могут быть дорогими и ресурсоемкими, в то время как MDR характеризуются небольшим размером сети и быстрой окупаемостью.
Как выбрать услугу MDR - 5 вопросов
Решения MDR включают в себя широкий спектр услуг, поэтому убедитесь, что знаете текущие возможности вашей организации, прежде чем начинать поиск, чтобы вы могли выбрать решение, которое дополняет ваши существующие вложения в безопасность. Вот пять ключевых вопросов, которые нужно задать поставщикам MDR, когда вы начнете свое исследование:
Вопрос 1. Какими знаниями обладают аналитики, входящие в состав MDR?
Решение, которое вы выберете, должно привнести новые навыки и умения, не требуя от вас найма дополнительного персонала. Ищите поставщика, готового предоставить передачу знаний.
Вопрос 2. Имеет ли ваша служба MDR доступ к своевременным данным и системам, которые необходимы, чтобы быть эффективными?
Эффективность вашего решения MDR будет во многом зависеть от его доступа к широкому спектру и глубине данных, необходимых для выполнения его работы, и доступ к этим данным должен быть в режиме реального времени. Вероятнее всего, самый лучший доступ к нужным данным будет у облачного решения.
Вопрос №3. Как ваша команда MDR узнает о последних угрозах, нацеленных на организации?
Аналитики безопасности обращают внимание не только на технологические возможности злоумышленников. Они изучают культурные, геополитические и лингвистические факторы, чтобы получить как можно более полное представление о текущих методах, тактике и процедурах, используемых для нацеливания на бизнес. Немногие, если вообще какие-либо предприятия, обладают этими навыками, поэтому выберите поставщика MDR, у которого они есть.
Вопрос №4. Как выстроена коммуникация провайдера MDR с вашей командой?
В какой-то момент команда MDR передаст свой рабочий процесс вашей команде. Это должно быть выполнено через центральный коммуникационный узел, такой как единственная стеклянная консоль, чтобы гарантировать, что не возникнет никаких новых недопониманий или какой-либо потребности в изучении новых систем. Передача должна происходить без замедления реакции со стороны вашей команды.
Вопрос №5. Вы работаете 24/7?
Подавляющее большинство организаций не круглосуточно обслуживают сотрудников своих служб безопасности. Покрытие MDR должно работать круглосуточно, потому что пока законопослушные граждане спят, злоумышленники усиленно работают.
