Desde troyanos de acceso remoto y ransomware hasta phishing y ataques de borrado: el creciente panorama de amenazas y los recursos internos limitados significan que muchas empresas ahora están recurriendo a refuerzos de seguridad externos. La detección y respuesta administradas (MDR) es una opción popular, pero con tantas soluciones disponibles, puede ser difícil elegir el proveedor adecuado.
El principal beneficio de MDR es que puede proporcionar a las organizaciones un equipo completo de expertos en seguridad de la noche a la mañana a un precio que pueden pagar. Los MDR también brindan a las organizaciones acceso a una amplia gama de herramientas y soluciones de ciberseguridad avanzadas que, de otro modo, serían muy costosas. Además, muchos servicios de MDR permiten implementaciones completamente personalizadas basadas en las necesidades específicas del cliente, lo que a menudo es difícil incluso para los equipos internos más grandes y con mejores recursos.
MDR es más que solo detección
MDR no solo detecta amenazas, sino que también ayuda a prevenirlas y detenerlas. Primero se evalúa la autenticidad de cada amenaza detectada para evitar falsas alarmas y fatiga de alarmas. Cuando se descubre una amenaza real, los proveedores de MDR trabajan directamente con la organización para proporcionar la contención más rápida posible. Por lo general, todas las ofertas de MDR comparten las siguientes características:
- Los Servicios se brindan utilizando las tecnologías y herramientas del proveedor de MDR, pero se implementan en las instalaciones de la empresa.
- MDR se basa en gran medida en análisis avanzados y gestión de eventos de seguridad
- MDR generalmente requiere profesionales de seguridad para monitorear la red de destino las XNUMX horas del día, los XNUMX días de la semana, incluso cuando se emplea alguna automatización.
Diferencias entre MDR y Servicios de seguridad gestionados (MSS)
A primera vista, MDR se parece mucho a los servicios de seguridad administrados (MSS), pero existen algunas diferencias notables. La primera diferencia está en el nivel de cobertura: los proveedores de servicios de MDR trabajan con registros de eventos proporcionados automáticamente por sus propias herramientas o las respaldadas por proveedores dedicados instalados en el sitio y monitoreados de forma remota. Por el contrario, MSS puede funcionar con una gama mucho más amplia de diferentes contextos y protocolos, sin embargo, depende del cliente transmitir los datos al proveedor de MSS.
Tim Bandos, director de seguridad de la información en Digital Guardian
Otra diferencia es el nivel de servicio a la hora de responder a las incidencias. Con MDR, la respuesta remota a incidentes generalmente se incluye en el servicio base, por lo que solo hay costos separados si las organizaciones también desean una respuesta a incidentes en el sitio. Por el contrario, muchos proveedores de MSS incurren en costos por la respuesta a incidentes tanto en el sitio como remota. Con una solución MDR, las empresas también tienen un contacto directo diario con expertos y analistas de seguridad con mucha más frecuencia. Por el contrario, la mayor parte de la comunicación con los proveedores de MSS se realiza a través de correo electrónico o portales especiales.
Qué buscar al elegir un proveedor de MDR
Un proveedor de MDR efectivo debe poder monitorear eventos de usuarios, sistemas y datos para detectar comportamientos sospechosos, proteger contra malware y evitar el compromiso de los datos. Debe proporcionar una visión integral de la situación de amenaza de los sistemas críticos. Esto incluye, por ejemplo, en qué dispositivos se detectaron amenazas, si un tercero fue el vector de entrada de los ataques, se exfiltraron datos o se usaron indebidamente cuentas de usuarios privilegiados para acceso no autorizado e información sobre los tiempos de inactividad de los sistemas de producción.
Comprobar las capacidades del proveedor
Las empresas deben probar exhaustivamente las capacidades del proveedor en la práctica de antemano. Para hacer esto, pueden crear una lista de visibilidad documentada, remediación y respuesta, y casos de uso forense que quieren que un proveedor resuelva y pruebe sus servicios usando servicios de penetración o simulación de amenazas. Esto les da una visión completa de la tecnología y los servicios que se ofrecen. Un buen proveedor de MDR podrá lidiar con amenazas avanzadas, como el movimiento lateral de los piratas informáticos, el robo de credenciales y la actividad C2, pero también detectará y detendrá ataques menos sofisticados.
Complementar las herramientas de seguridad existentes
Con tantas ofertas diferentes en el mercado, las organizaciones también deben considerar cuidadosamente si el servicio que eligen ofrece el tipo y el nivel de soporte de seguridad que necesitan a un precio competitivo. Además, el proveedor debe complementar, en lugar de reemplazar por completo, las herramientas y tecnologías de seguridad existentes, y ser capaz de cumplir con las regulaciones de privacidad locales y específicas del sector para cumplir con todas las obligaciones de cumplimiento corporativo.
A medida que el panorama de amenazas continúa evolucionando, muchas organizaciones se ven incapaces de continuar la lucha solo con recursos internos. Aquí, la solución MDR correcta puede ser una buena manera de fortalecer la seguridad corporativa de manera rápida y rentable.
Obtenga más información en DigitalGuardian.com
Acerca de Guardián Digital Digital Guardian ofrece seguridad de datos sin concesiones. La plataforma de protección de datos entregada en la nube está diseñada específicamente para evitar la pérdida de datos de amenazas internas y atacantes externos en los sistemas operativos Windows, Mac y Linux. La plataforma de protección de datos de Digital Guardian se puede implementar en la red empresarial, los terminales tradicionales y las aplicaciones en la nube. Durante más de 15 años, Digital Guardian ha permitido a las empresas con uso intensivo de datos proteger sus activos más valiosos en SaaS o en un servicio totalmente administrado. La visibilidad de datos única y sin políticas de Digital Guardian y los controles flexibles permiten a las organizaciones proteger sus datos sin ralentizar sus operaciones comerciales.