Siem, Soc, EDR e MDR.O que essas abreviações realmente significam?Como você seleciona a abordagem certa para proteger sua organização contra ameaças que ignoraram camadas preventivas?
Qual é a melhor solução?Dê uma olhada na perspectiva do gerenciamento de riscos.Quão valiosos são as jóias da sua empresa?Você trabalha em um setor altamente regulamentado?O que você tem a perder no caso de uma violação?Quão altos são os custos para recuperar tudo em ordem?
Se você responder a essas perguntas, descobrirá se deve investir em seus próprios recursos e tecnologia, seja a terceirização de um provedor de serviços gerenciado é a melhor solução.
Vamos dar uma olhada nas diferentes opções.
SiEM Solução: pessoal profissional necessário
Auxílios de implementação, como informações de segurança e gerenciamento de eventos (SIEM) e software forense, podem ser caros e que consomem tempo.Geralmente leva de 1 a 2 anos para implementar uma solução SIEM.E muitas vezes as implementações transcendem o orçamento e o planejamento.Uma solução SIEM não apenas requer um investimento em tecnologia, mas também um investimento na equipe.
Somente se você tiver especialistas, você pode obter dados utilizáveis de uma solução interna, como um sistema SIEM.De qualquer forma, atrair e manter um bom talento para segurança cibernética também é o maior desafio na construção de capacidades de detecção e resposta.Frost & SullivanPrevê que em 2022 teremos um déficit de 1,8 milhão de profissionais de segurança cibernética.Os recursos são, portanto, recursos escassos e escassos são caros.
O fato de os ataques cibernéticos não apenas ocorrerem durante o horário comercial também contribui para os custos.Se você é um alvo bem conhecido, precisa de um centro de operações de segurança (SOC) que seja ativo 24 horas por dia.Então, onde as pessoas trabalham em turnos.
Corredor interior e clarabóia.Efeito inteiramente na câmera, exposição única, luz natural.
Solução EDR: Custos e disponibilidade de equilíbrio
A implementação de uma solução de detecção e resposta de terminais (EDR) é uma maneira rápida de disponibilizar capacidades para detectar e responder a ameaças avançadas e ataques direcionados que podem contornar as soluções tradicionais de endpoint.
O EDR oferece visibilidade e inteligência, mas as empresas enfrentam os mesmos desafios descritos acima com o SIEM.Você precisa de pessoal qualificado para filtrar falsos positivos, encontrar dados utilizáveis e responder às ameaças descobertas.E, novamente, encontrar e manter o talento de segurança cibernética é um problema que só se tornará mais urgente nos próximos anos.
As soluções EDR mais avançadas automatizam o monitoramento para cobrir as necessidades 24/7.A equipe de TI pode ver as detecções durante o horário comercial e a automação garante o restante.Além disso, as soluções podem ajudar a isolar e resolver as ameaças rapidamente.
É importante entender a diferença entre as plataformas de proteção de endpoint (EPP) e as soluções de detecção e resposta de pontos de extremidade (EDR).O EPP trabalha com supervisão mínima, enquanto o EDR detecta ameaças que exigem atenção.Alguém sempre terá que ver as detecções.
As equipes de TI com recursos limitados podem monitorar as detecçõesterceirização para um provedor de serviços EDR gerenciado.
Serviço MDR gerenciado: alta disponibilidade a custos mais baixos
Outra opção disponível 24/7/365 a custos muito mais baixos do que seus próprios especialistas em segurança cibernética, é umDetecção gerenciada em resposta(MDR) -SERVICE.
Os especialistas em segurança cibernética precisam lidar com uma enorme quantidade de dados.Um exemplo:
Nossos sensores coletam cerca de 2 bilhões de eventos em uma instalação de clientes em qualquer cliente por um mês.Os sistemas filtram esse número de 900.000 eventos suspeitos.Apenas 15 deles são finalmente confirmados como ameaças reais.
Para comparação: com uma solução interna do SIEM, sua própria equipe ou recursos terceirizados devem vasculhar esses 900.000 eventos suspeitos para distinguir os RUIs e os falsos pôsteres das ameaças reais.Empregos difíceis podem causar fadiga entre os analistas mais diligentes, sem mencionar a necessidade de disponibilidade 24/7 dessa equipe.
Seguindo o exemplo acima, esta apresentação elabora uma das razões mais importantes pelas quais você pode ser mais capaz de considerar um serviço de segurança gerenciado, em vez de uma implementação interna do SIEM para detecção e resposta de violação:
[Slideshare ID = 76055011 e DOC = Custos de MDR-VS-SIEM-170517120940]
É difícil construir possibilidades internas de detecção e resposta de violação.No caso certo, um provedor de serviços de MDR se torna seu parceiro de segurança cibernética: as capacidades se tornam uma extensão das de sua própria empresa.
É por isso que aconselhamos um serviço de detecção e resposta gerenciado em uma abordagem faça você mesmo.
A decisão: qual investimento em segurança você toma?
As opções acima não se excluem.Existem muitas empresas que usam uma combinação de SIEM, MDR e SOC.O MDR é usado para detecção e como diretriz para a equipe do SOC responder a ameaças.As soluções MDR ou EDR podem expandir a equipe SoC interna, por exemplo, com disponibilidade 24/7.
Você precisa de uma boa análise de risco para determinar o nível de investimento para a segurança cibernética.Uma visão geral dos riscos comerciais possibilita tomar decisões informadas sobre a abordagem.Com ferramentas como o serviço de quantificação de impacto de violação cibernéticaDeterminar cuidadosamente o valor da segurança e gerenciamento de riscos.Se você souber exatamente quanto uma violação pode custar à sua organização, é fácil justificar investimentos.
você quer saber mais?Leia o nosso
