多くの企業は、IT セキュリティのために外部リソースを導入することを望んでいます。 そのため、Managed Detection and Response (略して MDR) は、サイバーセキュリティ業界では比較的新しく、重要性が増しているサービスです。
しかし、MDR でできることと、サービスを選択する際に考慮すべきことは何でしょうか? この記事では、積極的な行動、サイバー脅威の検索、24 時間 7 日のサービスの可用性という XNUMX つのアドバイスと MDR の標準化を求めています。
MDR、MXDR、MEDR、または検出と対応だけですか?
MDR にはさまざまな定義があり、どれが最も適切であるかは、主に学術的な問題です。 これは、プロバイダがさまざまな方法で MDR サービスを提供しているため、分類と比較が難しくなっているからです。 しかし、企業とその IT セキュリティは、自社のリソースだけではますます多くの新しい脅威に対応することが困難になっているため、外部の MDR サービスにますます依存するようになっています。アラート。 この数は非常に多く、実際には多くの SOC チームが受信アラートの半分以下を優先することができません。 ほとんどの SOC チームは、時間や人員が不足しているだけでなく、インシデントを完全に分析するための専門知識を欠いていることが多く、その結果、不適切な対応が行われています。 システムの復元も効果的ではありません。 ここで、MDR がサービスとして登場します。
MDR は実際の問題を解決します
サイバーセキュリティでは、新しいテクノロジー、トレンド、流行語、専門用語が絶えず出現しています。 また、進化し続ける脅威の状況に対応して、企業のセキュリティを向上させるように設計された新しい製品が登場しています. しかし、MDR は単なる一過性のものではないようです。 業界関係者やアナリスト企業は、MDR サービスの市場が 2025 年までに 2,2 億ドルに達すると予想しています。 Gartner によると、同じ年までに全企業の半数以上が MDR サービスを使用するようになります。 この急速な成長は、サービスが実際に問題を解決し、自分で管理する必要のない IT セキュリティ サービスを提供する場合にのみ実現できます。 企業は、とにかく求人市場で見つけるのが難しいスタッフを自分で雇わないために、そのようなオファーを探しています.
MDRサービスのXNUMXつの基本的な特徴
すべての CISO の目標は、ビジネスをこれまで以上に保護する新しいテクノロジーを導入することです。 しかし、セキュリティ技術の市場は CISO にとって理解が非常に難しく、さらに急速に発展しています。 さらに、用語、プロセス、およびテクノロジが標準化されていないため、ベンダーのサービス、ツール、またはテクノロジを比較、評価、および選択することが難しくなっています。 MDR はその好例であり、脅威ハンティングおよび対応サービスの構成要素を定義する業界全体の基準について合意する時が来ました。 さまざまな MDR サービスがさまざまな特性を示す可能性がありますが、MDR サービスの 24 つの基本的なコンポーネントであるプロアクティブであること、サイバー脅威を探すこと、および 7 時間年中無休の可用性については同意することができます。
MDR サービスを評価する際の注意事項
1.積極的に行動する
MDR サービスは、XNUMX 時間年中無休で組織を監視するセキュリティ専門家のチームとしての役割を果たします。 これらは、すでにネットワーク内に存在するものであっても、攻撃を検出して対応できるセキュリティへの成熟した包括的なアプローチでデータを保護することを約束します。 それはいいことのように思えますが、ベンダーが言う「応答」の意味を理解することが重要です。 一部のプロバイダーは、顧客にインシデントを通知するだけで、攻撃の処理は顧客に任せています。 したがって、反応に関しては、潜在的な MDR プロバイダーに明示的に尋ねることが重要です。
- どのようなプロアクティブな対応機能が含まれていますか?
- これらの対応措置はどの程度自動化されていますか?
- 対応策において顧客はどのような役割を果たしますか?
- 応答アクションの承認プロセスはどのようなものですか?
2. サイバー脅威の検索
このような脅威の検索は、MDR サービスの重要なコンポーネントです。 正しく行うには、高度な専門知識と、関連するコンテキスト データが必要です。 脅威ハンティングには、悪意のあるアクターとその戦術、手法、および手順の状況に応じたビューと、防御するビジネスおよび IT 環境の明確な理解が含まれている必要があります。 サービスを評価するときは、次の質問に答えないでおくべきではありません。
- 脅威ハンティングはどのように定義されていますか?
- この検索はどのように測定されますか?
- どのパフォーマンス指標を利用できますか?
- 検索はどの程度自動化されていますか?
- 脅威インテリジェンスは脅威ハンティング プログラムにどのように統合されていますか?
- プログラムの目的と成果は何ですか?
- 脅威スキャンをトリガーするものは何ですか?
3. 24 時間年中無休の運用
一見すると、MDR サービスが 24 時間年中無休の運用を提供しているかどうかを評価するのは簡単に思えるかもしれません。 しかし、そのような声明でさえ、多くのことを意味する可能性があります。 適切な質問により、運用、人員配置レベル、およびデータ保護を担当するアナリストの場所を完全に理解できます。 次の質問をする必要があります。
- 営業時間外に回収手続きはありますか?
- 営業時間外にスタッフは常駐していますか?
- 展開時間は、それぞれのタイム ゾーンの「太陽」に従いますか?
- リモート SOC、コソーシング SOC、または地域に依存しない SOC は提供されますか? これは、アナリストのチームが単一の顧客ベースのためにリモートで作業しているかどうか、または国際地域の異なる SOC が同じ地域の顧客にサービスを提供しているかどうかに関するものです。
結論:サービスだけを選ぶな
MDR サービスは、独自の運用を構築するための専門知識やリソースを持たない組織にとって、重要なアドオン リソースになる可能性があります。 また、他のコントロールが失敗した場合のセーフティ ネットとしても機能します。 中心的な付加価値は、会社の環境とその個々のリスク状況の継続的な概要です。 MDR の業界標準はまだないため、適切な質問をして潜在的なサービスとパートナーを評価し、企業のセキュリティを長期的に改善することは企業の責任です。
詳しくは Bitdefender.com をご覧ください
Bitdefenderについて Bitdefender は、サイバーセキュリティ ソリューションとウイルス対策ソフトウェアのグローバル リーダーであり、500 か国以上で 150 億を超えるシステムを保護しています。 2001 年の設立以来、同社のイノベーションは、優れたセキュリティ製品と、デバイス、ネットワーク、およびクラウド サービスのインテリジェントな保護を、個人の顧客や企業に定期的に提供してきました。 最適なサプライヤーとして、Bitdefender テクノロジは、世界で展開されているセキュリティ ソリューションの 38% で使用されており、業界の専門家、メーカー、および顧客から信頼され、認められています。 www.bitdefender.de