De ce să alegeți tehnologia Managed Detection&Response și ce să căutați la o soluție MDR

Phil Muncaster

March 23, 2023

Cybersecurity Enterprise Vulnerabilitate

De ce organizația dvs. ar trebui să ia în considerare o soluție MDR și cinci lucruri cheie de căutat într-o ofertă de astfel de servicii.

Peisajul amenințărilor evoluează cu o viteză vertiginoasă iar suprafețele de atac cibernetic corporative se extind, multe schimbări fiind apărute ca urmare a creșterii investițiilor în transformarea digitală în timpul și după pandemia de COVID-19.

Dar creșterea suprafeței de atac duce adesea la un decalaj între atacatori și apărători, în ceea ce privește competențele, capacitățile și resursele. Din fericire, există lucruri pe care echipele de securitate corporativă le pot face pentru a (re)câștiga o parte din inițiativă, de exemplu, asigurându-se că abordarea lor este proactivă și ia în considerare prevenirea, detectarea și răspunsul, uneori chiar și prin externalizarea anumitor servicii către parteneri experți din industrie.

Detectarea și răspunsul gestionat (MDR) combină toate acestea. Dar nu toate soluțiile sunt create în același mod, așa că haideți să aruncăm o privire la motivul pentru care organizația dvs. poate avea nevoie de MDR și la cinci lucruri cheie de căutat într-o ofertă de astfel de servicii.

De ce aveți nevoie de MDR?

Creșterile investițiilor în tehnologie din epoca pandemiei pot fi observate în tendințe precum:

  • Adoptarea rapidă a cloud computing-ului, care dacă depășește abilitățile interne, poate duce la configurații greșite care expun organizațiile la atacuri.
  • Un loc de muncă hibrid în curs de dezvoltare, care înseamnă potențial mai multe dispozitive neadministrate de echipa IT care folosesc rețelele companiei de acasă și angajați mai distrași, care își asumă riscuri atunci când le utilizează.
  • O creștere a complexității lanțurilor de aprovizionare care oferă atacatorilor oportunități de a viza furnizorii de servicii gestionate (MSP), depozitele open source și furnizorii mai mici.
  • Ransomware ca serviciu (RaaS), care a democratizat capacitatea de a lansa atacuri ransomware sofisticate în mai multe etape.
  • Utilizarea instrumentelor legitime pentru mișcarea laterală, ceea ce face mai dificilă identificarea semnelor de breșă.
  • O criminalitate cibernetică underground saturată de breșe de date, făcând posibil ca atacatorii să se strecoare dincolo de nivelurile de apărare ale perimetrului folosind acreditări legitime.
  • O economie matură a criminalității cibernetice în care jucătorii individuali, cum ar fi brokerii de acces inițial (IAB), au toți un rol clar definit în lanțul de aprovizionare a atacurilor.
  • O creștere a numărului de CVE (Common Vulnerabilities and Exposures) publicate care oferă actorilor amenințărilor și mai multe oportunități de a-și compromite țintele.

 

Toate aceste tendințe și multe altele fac mai probabilă compromiterea datelor. În 2021, încălcările de date raportate public în SUA au atins un maxim istoric, numărul tot mai ridicat făcând ca acele incidente să fie mai greu de detectat și mai costisitor de controlat. Timpul mediu pentru identificarea și limitarea unei breșe de încălcare a datelor este acum de 277 de zile, iar costul mediu este de 4,4 milioane USD pentru între 2.200 și până la 102.000 de înregistrări compromise.

Când prevenția nu este suficientă

În acest context, o abordare preventivă a securității pur și simplu nu este suficient de bună. Actorii de amenințări vor găsi întotdeauna o cale de a intra în rețeaua dvs. corporativă - dacă nu prin exploatarea vulnerabilităților, atunci prin utilizarea acreditărilor compromise sau prin atacuri de phishing sau de forță brută. Aceasta înseamnă că trebuie să adăugați servicii de tip MDR la eforturile de prevenire. Această abordare presupune că, dacă atacatorii trec de apărarea dvs., aveți o monitorizare continuă, granulară, pentru a detecta orice semne de activitate suspectă înainte ca infractorii să aibă șansa de a avea un impact. Echipa SecOps răspunde rapid pentru a limita incidentul înainte ca acesta să devină o încălcare gravă.

Detectarea și răspunsul extins (XDR) este o modalitate din ce în ce mai populară de a realiza acest lucru. Combină capacități critice de detectare la nivel de endpoint-uri, e-mail, cloud și alte straturi cu răspuns și remediere pentru a opri atacatorii din timp. Cu toate acestea, pentru unele organizații, XDR nu poate face minuni. Utilitatea acestuia poate fi limitată de:

  • Lacune de competențe interne, ceea ce înseamnă că există puțini analiști pregătiți pentru a opera instrumentele XDR printre angajați.
  • Provocări de implementare și gestionare, datorate în parte lipsei de personal și deosebit de acute atunci când gestionați XDR în mai multe regiuni.
  • Costuri ridicate de achiziție și întreținere a instrumentelor XDR potrivite.
  • Flux uriaș de alerte de la instrumentele care nu reușesc să prioritizeze cu exactitate datele legate de amenințări transmise analiștilor.

 

De aceea, MDR este din ce în ce mai căutat. Astfel, gestionarea XDR se predă în mod eficient unui furnizor expert de outsourcing, ceea ce înseamnă că analiștii lor instruiți se ocupă de detectarea amenințărilor, prioritizare, analiză și răspuns. Cu toate acestea, având atâtea soluții pe piață, cum o puteți alege pe cea mai potrivită pentru afacerea dvs.?

Cinci lucruri de căutat la un furnizor de MDR

MDR este cel mai bun amestec de tehnologie de vârf în industrie și expertiză umană. Aceștia se reunesc în ceea ce aparent este un centru de operațiuni de securitate (SOC) gestionat, unde threat hunters calificați și manageri de incidente analizează rezultatul instrumentelor de analiză pentru a ajuta la minimizarea riscului cibernetic. Iată cinci lucruri de căutat într-un astfel de serviciu:

  • Tehnologie excelentă de detectare și răspuns: alegeți furnizori ale căror produse sunt bine-cunoscute pentru rate mari de detectare și cu un număr scăzut de rezultate fals pozitive. Evaluările analiștilor independenți și recenziile clienților sunt un bun punct de reper.
  • Capacități de cercetare de vârf: furnizorii care administrează laboratoare de virusuri renumite sau similare vor fi cei mai recomandați pentru a opri amenințările emergente. Asta pentru că experții lor cercetează zilnic noi atacuri și cum să le atenueze. Această cercetare este de neprețuit într-un context MDR.
  • Asistență 24/7/365: amenințările cibernetice sunt un fenomen global și atacurile pot veni de oriunde, așa că echipele MDR trebuie să monitorizeze mediul amenințărilor la orice oră din zi și din noapte.
  • Serviciu clienți de calitate superioară: sarcina unei bune echipe MDR nu este doar să detecteze și să răspundă rapid și eficient la amenințările emergente, ci și să acționeze ca o extensie a echipei interne de securitate sau SOC. Acesta ar trebui să fie un parteneriat, nu doar o relație comercială. Aici intervine serviciul pentru clienți. Furnizorii ar trebui să îmbine suportul lingvistic hiperlocal cu prezența și livrarea la nivel global.
  • Servicii adaptate și personalizate după caz: Nu există două organizații la fel. Prin urmare, furnizorii MDR ar trebui să își poată personaliza ofertele pentru fiecare client, în funcție de dimensiunea companiei, de complexitatea mediului lor IT și de nivelul de protecție necesar.

 

Se preconizează că piața globală MDR va crește la un CAGR (rata anuală compusă de creștere, din engleză Compound Annual Growth Rate) de 16% în următorii cinci ani, pentru a ajunge la 5,6 miliarde USD până în 2027. Având atât de multe în joc și atât de mulți furnizori pe piață, este recomandat să analizați toate aspectele înainte de a lua o decizie.

Phil Muncaster March 23, 2023
Articole Similare

Securitatea cibernetică a alegerilor: protejarea urnelor de vot și consolidarea încrederii în integritatea alegerilor

6 instrumente open-source pentru evaluarea și îmbunătățirea apărării cibernetice corporative

Examinarea vulnerabilităților în VPN-urile de afaceri

Tot ce trebuie să știți despre link-urile de tip IP grabber
Discussion

Lasa un comentariu

Protecția datelor