Serviços de MDR: tudo o que você precisa saber (2024)

Quais empresas os serviços de MDR precisam?

Em resumo;Nem toda empresa tem seu próprio SOC e nem toda empresa analisa os serviços de MDR pelo mesmo motivo, para que essa pergunta não seja tão fácil de responder.Em geral, as empresas analisam o MDR por alguns dos seguintes motivos:

• Eles não têm uma equipe para atividades de segurança e, portanto, desejam terceirizar seu monitoramento de segurança para terceiros especializados nessa área.
• Eles têm uma equipe limitada para suas atividades de segurança, mas o envolvimento de um provedor de MDR garante que a equipe permaneça mais focada na saída do serviço, em vez de ter que assumir a carga de trabalho na linha de frente (além de inúmeras outras tarefas no campo de operações de segurança).
• Eles têm uma equipe de operações de segurança (equipe de segurança) e podem (ou já podem) o monitoramento 24/7.No entanto, eles querem entregar a primeira detecção de ameaças a uma empresa especializada nisso.Os problemas com a preservação da equipe são frequentemente a causa disso.Encontrar analistas de segurança é difícil e mantê -lo um desafio ainda maior.Portanto, quando eles podem fazer um trabalho mais diversificado e mais interessante (como caça a ameaças ou resposta a incidentes) (detectando ameaças ou resposta a incidentes), seu trabalho se torna mais atraente e mais satisfatório e é mais provável que eles permaneçam.

SOC: Por que não construir meu próprio SOC?

Algumas empresas têm seu próprio SOC e estão muito felizes com essa solução.Também é possível oferecer uma função igual a outras pessoas pelas razões que mencionamos anteriormente: tempo, habilidades, dinheiro.Por exemplo, se olharmos para pequenas empresas - e vamos olhar para o mercado britânico -, os custos médios de um analista de segurança estão em algum lugar próximo aos 50.000 libras por ano.Para ser capaz de executar 24 horas por dia, 7 dias por semana, você precisa de pelo menos 5 ou 6 analistas de turnos, ou seja (sem levar em consideração o recrutamento, o treinamento, as condições secundárias de emprego etc.) sozinho £ 250.000 - 300.000 por ano.E então você ainda precisa procurar essas pessoas.Além disso, ainda não levamos em consideração as ferramentas necessárias, os processos a serem desenvolvidos e o tempo necessário para se tornar operacional.

Quais são os benefícios dos serviços de MDR?

Recursos

Um provedor de MDR possui recursos.Eles têm apenas uma posição especificamente para detecção e resposta gerenciadas (detecção e resposta gerenciadas) (geralmente incluindo uma equipe que também executará a ferramenta de MDR, que é menos trabalho para as empresas).

Observação: alguns generalistas de serviços de segurança gerenciados não especializados (Serviços de Segurança Gerenciados) (ou mesmo serviços gerenciados) (serviços gerenciados) tentam avançar em direção à detecção e resposta gerenciadas depois de ver o mercado em crescimento.No entanto, não é fácil fornecer um bom serviço no campo da MDR.Está longe de ser um artigo de consumo; portanto, se você escolher essa opção, preste atenção à experiência e concentre -se que o provedor de MDR coloca na posição (e, portanto, em você como cliente).

Os relatórios dos analistas podem ser ferramentas inovadoras para ajudá -lo a escolher o melhor provedor de MDR para sua empresa.O mais novo,Guia de mercado do GartnerPara serviços de detecção e resposta gerenciados, foi publicado em fevereiro de 2023 e estados Orange CyberDefense como representante dos serviços de MDR.

Inteligência de ameaças

Os provedores de MDR têm muitos clientes para os quais eles podem enfrentar ameaças mundiais.É um desafio recriar isso em um SOC que é realizado em uma empresa.Não se trata apenas de ter os dados, mas também saber como analisá -los.As funções de pesquisa e desenvolvimento são cruciais para desbloquear o potencial das informações de ameaças.

Tempo

Todo provedor de MDR adulto terá recursos 24 horas por dia, 7 dias por semana, e serão tripulados com analistas de segurança o tempo todo.Essa é uma grande vantagem para todas as empresas, porque o provedor de MDR pode distribuir recursos 24/7 sobre seus clientes, reduzindo os custos desse serviço.

Mantenha -se vigilante e tenha cuidado com os provedores que usam apenas automação ou têm funcionários em suas equipes que não são analistas de segurança.Isso pode garantir uma experiência inconsistente fora do horário comercial.

Quais são as desvantagens dos serviços de MDR?

Nossa análise não seria justa se focássemos apenas nos lados positivos do MDR.A cada serviço, há coisas que você deve conhecer como cliente:

Um provedor de MDR nunca terá o mesmo insight de negócios aprofundado que ... você.E é por isso que a coordenação entre seu provedor de MDR e sua equipe é crucial.Um provedor de MDR correto possui especialistas dedicados.Eles se apresentam na capacidade de gerente de contas técnicas ou consultor de colaborar com a equipe de segurança e TI, a fim de adicionar o contexto de negócios ao serviço e atualizá -lo ao longo de tempo, várias vezes.

Além disso, um provedor de MDR geralmente não possui o mesmo nível de acesso aos sistemas de TI que a equipe interna e, como tal, pode não ser possível responder tão rapidamente a um incidente como a equipe interna.Isso deve ser abordado no início da colaboração e as maneiras deverão ser encontradas para reduzir o tempo de resposta no caso de um ataque.Um exemplo é pelo menos ter a possibilidade de oferecer ao funcionário da MDR a oportunidade de isolar os pontos finais ou bloquear contas usadas para executar ataques (ou usar essa função e as ferramentas correspondentes como parte do serviço).

Como em todas as empresas, nem todos os MSSPs são iguais.Existem muitas maneiras diferentes de configurar um serviço de detecção e resposta gerenciado.E o resultado pode ser muito diferente.Alguns MSSPs não oferecem valor suficiente.Eles enviam apenas avisos de que as empresas ainda precisam fazer muita pesquisa em si mesmas, para que, como tal, não aliviem o ônus da empresa que os contratou.

Algumas empresas estão decepcionadas com o serviço e recebem apenas e-mails, se forem: "Há um aviso crítico em seu firewall, você precisa investigar mais isso".Este é apenas um exemplo do pior tipo de MDR.O elemento positivo é que, com o passar do tempo e há mais partes no mercado, os provedores de MDR terão que fazer melhor e oferecer a seus clientes uma profundidade maior e uma gama mais ampla de serviços e resultados.

Como começar com o MDR?

Se conversarmos com os clientes é uma das primeiras coisas que geralmente nos perguntam: "O que podemos fazer para garantir que isso seja um sucesso?"

O MDR não funcionará sem cooperação com o cliente.Sem a cooperação, você recebe um serviço que não é feito sob medida, que não é atraente e não resolve nenhum problema.A primeira coisa a fazer quando você começa com o MDR está trabalhando em estreita colaboração com o provedor de MDR.Lembre -se: a única coisa que você nunca deve terceirizar é um profundo conhecimento da sua empresa, você tem isso sozinho, e é isso que o seu provedor de MDR precisa.

O próximo passo é ver por onde começar.Muitas empresas ainda solicitam uma combinação tradicional de SOC/ SIEM gerenciada (SIEM: informações de segurança e gerenciamento de eventos; informações de segurança e gerenciamento de eventos).No passado, era uma combinação natural-se você deseja uma análise de segurança proativa dos eventos do seu ambiente de TI, você precisa de um SIEM e uma equipe do SOC para gerenciá-lo.Este não é mais o caso.Ao introduzir a tríade nuclear do SOC como um conceito, o Gartner compartilhou a nova idéia (em 2015) de que o SIEM não era mais suficiente para alcançar a visibilidade total e a idade adulta nas operações de segurança.Mais recentemente, essa idéia não é apenas mais desenvolvida, mas também foi criado um conceito no qual o SIEM às vezes nem é o ponto de partida.

Por exemplo, se voltarmos ao Covid-19 e o perfil de risco para a maioria das empresas no momento, proteger o ponto final é muito importante.Portanto, as soluções de detecção e resposta de terminais (EDR), com serviços de MDR, tornam-se muito mais atraentes (especialmente em vista de seu tempo de implantação/tempo até valor (tempo necessário para ser usado/tempo necessário para ser de valor) em comparação para siem).Também vemos um aumento na detecção e resposta de rede - você pode dizer que é uma versão moderna dos sistemas de detecção de roubo - em resposta a redes mais diversas, impulsionadas pela computação em nuvem.

Por que escolher Orange CyberDefense?

Depois de desenvolvermos nossos serviços até agora, podemos oferecer todas essas três opções - mais separadas ou mais poderosas, juntas como uma solução completa de MDR - Orange CyberDefense desenvolveu sua própria estrutura de detecção de ameaças (estrutura para detecção de ameaças) para ajudar a visualizar como Como as diferentes opções de serviço são.

Modelado explicitamente em seu próprio ambiente específico e no tipo de dados que eles podem nos fornecer, trabalhamos em conjunto com os clientes para determinar a visibilidade dos objetivos nas fases críticas do cibernético KillChain e procuramos maneiras de ajudá -los a protegê -lo.