Des chevaux de Troie d'accès à distance et des rançongiciels aux attaques de phishing et d'effacement - le paysage croissant des menaces et les ressources internes limitées signifient que de nombreuses entreprises se tournent désormais vers des renforcements de sécurité externes. La détection et la réponse gérées (MDR) sont une option populaire, mais avec autant de solutions disponibles, choisir le bon fournisseur peut être difficile.
Le principal avantage de MDR est qu'il peut fournir aux organisations une équipe complète d'experts en sécurité du jour au lendemain à un prix abordable. Les MDR permettent également aux organisations d'accéder à un large éventail d'outils et de solutions de cybersécurité avancés qui seraient autrement très coûteux. De plus, de nombreux services MDR permettent des implémentations entièrement sur mesure en fonction des besoins spécifiques des clients, ce qui est souvent difficile, même pour les équipes internes les plus importantes et les mieux dotées.
Le MDR est plus qu'une simple détection
MDR détecte non seulement les menaces, mais aide également à les prévenir et à les arrêter. Chaque menace détectée est d'abord évaluée pour son authenticité afin d'éviter les fausses alarmes et la fatigue des alarmes. Lorsqu'une menace réelle est découverte, les fournisseurs de MDR travaillent directement avec l'organisation pour fournir le confinement le plus rapide possible. En règle générale, toutes les offres MDR partagent les caractéristiques suivantes :
- Les Services sont fournis à l'aide des technologies et des outils du fournisseur MDR, mais sont déployés sur site dans l'entreprise.
- Le MDR s'appuie fortement sur l'analyse avancée et la gestion des événements de sécurité
- Le MDR nécessite généralement des professionnels de la sécurité pour surveiller le réseau cible XNUMXh/XNUMX et XNUMXj/XNUMX, même lorsqu'une certaine automatisation est utilisée.
Différences entre le MDR et les services de sécurité gérés (MSS)
À première vue, MDR ressemble beaucoup à des services de sécurité gérés (MSS), mais il existe quelques différences notables. La première différence réside dans le niveau de couverture : les fournisseurs de services MDR travaillent avec des journaux d'événements fournis automatiquement par leurs propres outils ou des outils dédiés pris en charge par le fournisseur, installés sur site et surveillés à distance. À l'inverse, le MSS peut fonctionner avec une gamme beaucoup plus large de contextes et de protocoles différents, mais il appartient au client de transmettre les données au fournisseur MSS.
Tim Bandos, responsable de la sécurité de l'information chez Digital Guardian
Une autre différence est le niveau de service lors de la réponse aux incidents. Avec MDR, la réponse aux incidents à distance est généralement incluse dans le service de base, il n'y a donc que des coûts distincts si les organisations souhaitent également une réponse aux incidents sur site. En revanche, de nombreux fournisseurs de MSS encourent des coûts pour la réponse aux incidents sur site et à distance. Avec une solution MDR, les entreprises ont également beaucoup plus souvent des contacts directs quotidiens avec des experts en sécurité et des analystes. En revanche, la plupart des communications avec les fournisseurs de MSS se font par e-mail ou via des portails spéciaux.
Ce qu'il faut rechercher lors du choix d'un fournisseur MDR
Un fournisseur MDR efficace doit être en mesure de surveiller les événements des utilisateurs, du système et des données pour détecter les comportements suspects, se protéger contre les logiciels malveillants et empêcher la compromission des données. Il doit fournir un aperçu complet de la situation de menace des systèmes critiques. Cela inclut, par exemple, sur quels appareils les menaces ont été détectées, si un tiers était le vecteur d'entrée des attaques, si des données ont été exfiltrées ou si des comptes d'utilisateurs privilégiés ont été utilisés à mauvais escient pour un accès non autorisé, et des informations sur les temps d'arrêt des systèmes de production.
Vérifier les capacités du fournisseur
Les entreprises doivent tester minutieusement les capacités du fournisseur dans la pratique au préalable. Pour ce faire, ils peuvent créer une liste de cas d'utilisation documentés de visibilité, de correction et de réponse, et d'investigation qu'ils souhaitent qu'un fournisseur résolve et teste leurs services à l'aide de services de pénétration ou de simulation de menaces. Cela leur donne un aperçu complet de la technologie et des services proposés. Un bon fournisseur de MDR sera en mesure de faire face aux menaces avancées telles que les mouvements latéraux des pirates, le vol d'informations d'identification et l'activité C2, mais également de détecter et d'arrêter les attaques moins sophistiquées.
Compléter les outils de sécurité existants
Avec autant d'offres différentes sur le marché, les entreprises doivent également examiner attentivement si le service qu'elles choisissent offre le type et le niveau de support de sécurité dont elles ont besoin à un prix compétitif. En outre, le fournisseur doit compléter, plutôt que remplacer complètement, les outils et technologies de sécurité existants, et être en mesure de respecter les réglementations locales et sectorielles en matière de confidentialité afin de respecter toutes les obligations de conformité de l'entreprise.
Alors que le paysage des menaces continue d'évoluer, de nombreuses organisations se retrouvent dans l'incapacité de poursuivre la lutte avec les seules ressources internes. Ici, la bonne solution MDR peut être un bon moyen de renforcer la sécurité de l'entreprise rapidement et à moindre coût.
En savoir plus sur DigitalGuardian.com
À propos de Digital Guardian Digital Guardian offre une sécurité des données sans compromis. La plate-forme de protection des données fournie dans le cloud est spécialement conçue pour empêcher la perte de données due aux menaces internes et aux attaquants externes sur les systèmes d'exploitation Windows, Mac et Linux. La plate-forme de protection des données Digital Guardian peut être déployée sur le réseau de l'entreprise, les terminaux traditionnels et les applications cloud. Depuis plus de 15 ans, Digital Guardian permet aux entreprises gourmandes en données de protéger leurs actifs les plus précieux sur une base de service SaaS ou entièrement géré. La visibilité des données unique et sans politique et les contrôles flexibles de Digital Guardian permettent aux organisations de protéger leurs données sans ralentir leurs opérations commerciales.