Від троянських програм для віддаленого доступу та програм-вимагачів до фішингових і стиральних атак – зростаючий ландшафт загроз і обмежені внутрішні ресурси означають, що зараз багато компаній звертаються до зовнішнього посилення безпеки. Кероване виявлення та реагування (MDR) є популярним варіантом, але з такою кількістю доступних рішень вибрати правильного постачальника може бути важко.
Основна перевага MDR полягає в тому, що він може надати організаціям повну команду експертів із безпеки за одну ніч за ціною, яку вони можуть собі дозволити. MDR також надають організаціям доступ до широкого спектру передових інструментів і рішень кібербезпеки, які в іншому випадку були б дуже дорогими. Крім того, багато послуг MDR дозволяють повністю індивідуальне впровадження на основі конкретних потреб клієнтів, що часто є складним завданням навіть для найбільших і найкращих внутрішніх команд.
MDR — це більше, ніж просто виявлення
MDR не тільки виявляє загрози, але й допомагає запобігати їм і зупиняти їх. Кожна виявлена загроза спочатку перевіряється на достовірність, щоб уникнути помилкових тривог і втоми тривоги. Коли виявляється реальна загроза, постачальники MDR працюють безпосередньо з організацією, щоб забезпечити якнайшвидше стримування. Як правило, усі пропозиції MDR мають такі характеристики:
- Послуги надаються за допомогою технологій та інструментів постачальника MDR, але розгортаються локально в компанії.
- MDR значною мірою покладається на розширену аналітику та керування подіями безпеки
- MDR зазвичай вимагає, щоб спеціалісти з безпеки контролювали цільову мережу XNUMX/XNUMX, навіть якщо використовується певна автоматизація.
Відмінності між MDR і керованими службами безпеки (MSS)
На перший погляд MDR дуже схоже на керовані служби безпеки (MSS), але є деякі помітні відмінності. Перша відмінність полягає в рівні охоплення: постачальники послуг MDR працюють із журналами подій, які автоматично надаються їхніми власними або спеціальними інструментами, які підтримуються постачальниками, встановленими на місці та контролюються віддалено. І навпаки, MSS може працювати з набагато ширшим діапазоном різних контекстів і протоколів, однак передавати дані постачальнику MSS залежить від клієнта.
Тім Бандос, директор з інформаційної безпеки Digital Guardian
Іншою відмінністю є рівень обслуговування при реагуванні на інциденти. З MDR віддалене реагування на інциденти зазвичай включено в базову послугу, тому існують лише окремі витрати, якщо організації також хочуть реагувати на інциденти на місці. На відміну від цього, багато постачальників послуг MSS несуть витрати як на виїзне, так і на дистанційне реагування на інциденти. З рішенням MDR компанії також мають щоденний прямий контакт з експертами та аналітиками з безпеки набагато частіше. Навпаки, більшість спілкування з провайдерами MSS відбувається через електронну пошту або спеціальні портали.
На що звернути увагу при виборі постачальника MDR
Ефективний постачальник MDR повинен мати можливість відстежувати події користувача, системи та даних, щоб виявляти підозрілу поведінку, захищати від зловмисного програмного забезпечення та запобігати компрометації даних. Він повинен забезпечити всебічне розуміння ситуації загрози критичних систем. Це включає, наприклад, інформацію про те, на яких пристроях були виявлені загрози, чи була третя сторона вектором входу для атак, дані були викрадені чи облікові записи привілейованих користувачів були використані з метою несанкціонованого доступу, а також інформація про простої виробничих систем.
Перевірте можливості постачальника
Компанії повинні заздалегідь ретельно перевірити можливості провайдера на практиці. Для цього вони можуть створити список задокументованих випадків видимості, виправлення та реагування, а також випадків використання криміналістики, які вони хочуть, щоб постачальник розв’язав і перевірив їхні послуги за допомогою послуг симуляції проникнення чи загрози. Це дає їм повне уявлення про пропоновані технології та послуги. Хороший постачальник MDR зможе впоратися зі складними загрозами, такими як бічний рух хакерів, крадіжка облікових даних і активність C2, а також виявляти та зупиняти менш складні атаки.
Доповнюють існуючі інструменти безпеки
Оскільки на ринку так багато різних пропозицій, організаціям також слід уважно розглянути, чи пропонує обрана ними послуга необхідний тип і рівень підтримки безпеки за конкурентоспроможною ціною. Крім того, постачальник повинен доповнювати, а не повністю замінювати існуючі інструменти та технології безпеки, а також мати можливість дотримуватися місцевих і галузевих правил конфіденційності, щоб виконати всі корпоративні зобов’язання щодо відповідності.
Оскільки ландшафт загроз продовжує розвиватися, багато організацій виявляються не в змозі продовжувати боротьбу лише за допомогою внутрішніх ресурсів. Тут правильне рішення MDR може стати гарним способом швидкого та економічного посилення корпоративної безпеки.
Дізнайтесь більше на DigitalGuardian.com
Про Digital Guardian Digital Guardian пропонує безкомпромісну безпеку даних. Хмарну платформу захисту даних створено спеціально для запобігання втраті даних через внутрішні загрози та зовнішніх зловмисників в операційних системах Windows, Mac і Linux. Платформу захисту даних Digital Guardian можна розгорнути в корпоративній мережі, традиційних кінцевих точках і хмарних програмах. Понад 15 років Digital Guardian дозволяє компаніям, які потребують великих даних, захистити свої найцінніші активи на основі SaaS або повністю керованих послуг. Унікальна видимість даних Digital Guardian без політики та гнучкі елементи керування дозволяють організаціям захищати свої дані, не сповільнюючи бізнес-операції.