Кероване виявлення та реагування є великою темою для компаній, оскільки немає спеціалістів для оцінки EDR, XDR & Co. Дослідження показує, чого компанії очікують від постачальників MDR - включено в специфікацію для постачальників послуг ІТ-безпеки.
Зважаючи на дедалі складніші загрози, команди ІТ-безпеки в компаніях будь-якого розміру рано чи пізно будуть перевантажені забезпеченням безпеки даних, програм і процесів. Але яка їм потрібна допомога? Який профіль вимог до постачальника послуг керованого виявлення та реагування (MDR)? І як служба ІТ-безпеки та її зовнішні експерти з безпеки покращують ситуацію з безпекою в компаніях? Це показали результати інтерв’ю з відповідальними особами в США та Канаді, проведені Bitdefender і Enterprise Strategy Group у серпні 2022 року.
Кероване виявлення та реагування: що воно має вміти?
Йорг фон дер Гейдт, регіональний директор DACH у Bitdefender, коментує дослідження з німецької точки зору: «Дуже схожа картина випливає з обговорень з німецькими клієнтами. Діапазон вимог до постачальників послуг MDR так само широкий, як і мотивація розглядати послугу MDR. Однак спільним для них є той факт, що кваліфікованих працівників, тобто аналітиків і спеціалістів з ІТ-безпеки, стає все важче отримати й утримати, а кількість і складність атак постійно зростає. Такою ж мірою зростає залежність від цифрових, тобто ІТ-підтримуваних процесів. Дилема, яку, ймовірно, можна вирішити лише шляхом більшого використання керованих служб безпеки».
Основні результати дослідження
Багато ІТ-команд починають з керованого виявлення та реагування в плановому порядку
🔎 Причини, чому компанії хочуть використовувати службу MDR (Зображення: Bitdefender).
У багатьох випадках МЛУ не є екстреним заходом. Більшість респондентів - 57 відсотків - вказали, що майбутні перевірки безпеки були причиною співпраці з постачальниками MDR. 47% хотіли переглядати вразливості та керувати ними. Лише 39% вжили конкретних заходів, щоб запобігти або стримати подію, виявити інциденти, пов’язані з безпекою, або відновити ІТ-системи та цифрові процеси після атаки. 37% стосувалися пом’якшення вторгнення в мережу або надання більш широкого реагування на подію безпеки. Приблизно кожен третій (33%) сподівався на допомогу з попереднім сортуванням і визначенням пріоритетів щоденних будильників.
Коли запитують про їхню мотивацію, стає зрозуміло, наскільки терміново опитані офіцери безпеки потребують допомоги, щоб віддати належне як масштабу ІТ-безпеки, так і збільшенню площі атак і складності атак. 41% учасників дослідження припустили, що зовнішні експерти з безпеки можуть подбати про кіберзахист краще, ніж їхні власні команди. Чудова знахідка, оскільки брали участь багато компаній, які, враховуючи їх розмір, повинні мати власну кваліфіковану команду безпеки. Частка респондентів, які шукали більш масштабовану операційну модель для своєї ІТ-безпеки, була такою ж високою. 37% прямо визнали, що не мають інструментів і систем безпеки, необхідних для виконання процесів кіберзахисту. Цікаві також такі мотиви:
- 29% купили MDR, щоб отримати кіберстрахування.
- 27% не змогли внутрішньо закріпити безпеку та досвід, необхідні для захисту ІТ.
- 27% не вважали кібербезпеку своєю основною компетенцією і тому віддали її на аутсорсинг.
- 18% також просили захисту після роботи.
Захист хмарних робочих навантажень має високий пріоритет
З одного боку, учасники дослідження шукають допомоги у захисті складних ІТ-ландшафтів. Але навіть у базових оборонних технологіях відповідальні так само часто сподіваються на зовнішню допомогу.
Клієнти очікують, що постачальник MDR захищатиме хмарні додатки (53%), а потім інфраструктура публічної хмари (50%). Здатність оцінювати хмарні робочі навантаження на предмет їх вразливості (46%) і приватна хмара також відіграють важливу роль (43%).
Але класичний захист кінцевих точок також залишається важливим. 43% опитаних очікують аналізу вразливості кінцевої точки від постачальника послуг MDR. Захист ідентичності та прав доступу (41%), кінцевих точок (40%) і навантаження на сервер (39%) майже однаково важливі.
🔎 Очікування постачальника MDR (Зображення: Bitdefender).
Необхідні знання клієнта та близькість до клієнта
Вибираючи постачальника MDR, клієнти вимагають постачальника MDR, який пропонує послуги, що стосуються конкретної компанії. Таким чином, для 49% важливу роль відіграла здатність підтримувати існуючі інструменти та технології безпеки. 39% учасників дослідження вимагали галузевих знань щодо ризикової ситуації у відповідній галузі. Зрештою, більше ніж кожен п’ятий (21%) також має регіональну спрямованість.
Відповідно, компанії хочуть мати тісні стосунки з клієнтами на додаток до класичних факторів компетенції. 38% вважають кращу участь в обороні (кращу модель залучення) мотивом для розгляду інших постачальників послуг. 29% опитаних заявили, що причиною для зміни постачальника МЛУ може бути бажання мати спеціальну контактну особу.
Загалом компанії вважають за краще працювати довгостроково з постачальником MDR. 61% працювали зі своїм нинішнім партнером три-чотири роки, 21% навіть п'ять і більше років. Однак у багатьох компаніях також працює кілька постачальників MDR: 46% два, 34% три або навіть більше партнерів.
Бажані комплексні навички
Лише меншість опитаних фахівців із безпеки очікує повного покриття поверхні атаки постачальниками послуг MDR. Лише 31% вимагають від зовнішніх постачальників послуг моніторингу від 76% до 100% поверхні атаки. Однак 42% вимагають захисту від 51 до 75%. Основними областями, які слід відстежувати, є хмарні робочі навантаження (67%), мережа (66%) або DevOps, включаючи безпеку програм (56%) та Інтернет речей (51%).
MDR – це багатогранне завдання
Якщо ви запитаєте ІТ-менеджерів про результати зобов’язань MDR, один результат не здасться вражаючим: лише 42% змогли значно знизити рівень успішних атак на свою компанію. Однак, зрештою, це також чудовий результат. Атаки, на які аналітики кібербезпеки постачальника MDR реагують у центрі безпеки (SOC), зазвичай мають серйозний характер. Крім того, це також може бути ознакою того, що класичні технології захисту, такі як антивірус і захист кінцевих точок, пропонують основний внесок проти все ще важливих опортуністичних, автоматизованих і, очевидно, численних атак. Ще 42% засвідчили значно покращену програму безпеки. Тим не менш, 77% вважають MDR стратегічним операційним партнером. Кожен другий скористався ноу-хау експертів з безпеки.
Але конкретні результати також відіграють свою роль: 38% виконали вимоги відповідності MDR, 38% знизили операційні витрати на ІТ-безпеку, а 32% змогли зменшити суми полісів свого кіберстрахування. І останнє, але не менш важливе: на 35% знизився рівень стресу у команді внутрішньої безпеки.
Про хід навчання
У дослідженні, проведеному на замовлення Bitdefender, ESG опитала 3 фахівців з кібербезпеки в Сполучених Штатах і Канаді в період з 14 по 2022 серпня 373 року. Вони працювали в компаніях різного розміру, від 100 співробітників і більше, з широкого діапазону галузей. Близько половини (54%) учасників працювали в компаніях з кількістю співробітників від 1.000 до 4.000 осіб.
Більше на Bitdefender.com
Про Bitdefender Bitdefender є світовим лідером у сфері рішень для кібербезпеки та антивірусного програмного забезпечення, що захищає понад 500 мільйонів систем у понад 150 країнах. З моменту заснування в 2001 році інновації компанії регулярно забезпечували відмінні продукти безпеки та інтелектуальний захист для пристроїв, мереж і хмарних сервісів для приватних клієнтів і компаній. Як найкращий постачальник, технологія Bitdefender міститься в 38 відсотках розгорнутих у світі рішень безпеки, їй довіряють і визнають професіонали галузі, виробники та споживачі. www.bitdefender.de