Managed detection and response (MDR)



door

Managed detection and response (MDR) services zijn een verzameling van netwerk-, host- en endpoint-gebaseerde cyberbeveiligingstechnologieën die een derde partij voor een klantorganisatie beheert. De provider installeert meestal technologie op locatie bij de klantorganisatie en biedt aanvullende externe en geautomatiseerde diensten via software.

MDR's verbeteren de cyberbeveiliging door te zoeken naar bedreigingen en daarop te reageren zodra ze zijn gedetecteerd. Ze stellen gebruikers ook in staat contact te leggen met de beveiligingsexperts van de leverancier, die de beveiligingsvaardigheden van de IT-afdeling van de klant kunnen helpen versterken. Dit maakt ze ideaal voor bedrijven die geen speciaal team voor het opsporen van bedreigingen in huis hebben.

Beheerde detectie- en responsdiensten groeien in populariteit, deels vanwege de groeiende vaardigheidskloof in cybersecurity. Gartner voorspelde in 2018 dat 15% van de middelgrote tot grote bedrijven in 2020 gebruik zou maken van MDR-diensten, vergeleken met de 1% die er in 2018 gebruik van maakte.

Welke problemen lost MDR op?

MDR-diensten spelen een actieve rol bij het verbeteren van de informatiebeveiligingsstrategie van een bedrijf. Ze houden zich bezig met het opsporen van bedreigingen, het reageren op incidenten, voortdurende bewaking en analyse van IT-middelen.

MDR-diensten benaderen deze taken op een manier die veelvoorkomende problemen waarmee moderne IT-afdelingen gewoonlijk worden geconfronteerd, zoals:

  • Hoog waarschuwingsvolume -- MDR's kunnen bedrijven helpen bij het beheren van het enorme volume cyberbeveiligingswaarschuwingen dat op individuele basis moet worden gecontroleerd. Te veel waarschuwingen kunnen kleinere beveiligingsteams overweldigen en ertoe leiden dat ze andere verantwoordelijkheden verwaarlozen.
  • Bedreigingsanalyse -- Veel waarschuwingen presenteren zich niet onmiddellijk als een bedreiging en vereisen een grondige analyse om hun status te bepalen. MDR-diensten bieden geavanceerde analysetools en toegang tot beveiligingsexperts om hierbij te helpen, gebeurtenissen te interpreteren en aanbevelingen voor verbetering te doen.
  • Vaardigheidstekort -- De CIA schatte onlangs dat er in 2022 een tekort aan beveiligingsmedewerkers zal zijn van 1,8 miljoen. Symantec heeft ook vastgesteld dat vier van de vijf ondervraagde beveiligingsprofessionals zich burn-out en chronisch overbelast voelen. MDR-diensten kunnen dit verlichten door toegang te bieden tot hun team van deskundigen, dat gewoonlijk 24/7 werkt om een netwerk te bewaken en beschikbaar is voor overleg.
  • Endpoint detection and response (EDR) -- Het kan bedrijven ontbreken aan de middelen, tijd of vaardigheden om medewerkers te trainen voor EDR-tools. MDR-diensten worden geleverd met EDR-tools en integreren deze in detectie-, analyse- en reactieprocessen, zodat er geen uitgebreide interne endpointbeveiliging nodig is.

Net als bij veel X-as-a-service (XaaS)-modellen die moderne IT-processen uitbesteden, ruilen bedrijven enige controle in voor meer gemak en flexibelere prijzen. MDR-diensten hebben een aantal nadelen in vergelijking met oudere beheerde beveiligingsproducten en zijn afhankelijk van het beoogde gebruik van de diensten door de klant. Hun belangrijkste voordeel is echter dat ze uniek zijn toegesneden op de huidige en opkomende problemen waarmee IT-bedrijven tegenwoordig worden geconfronteerd.

MDR vs. klassieke managed security

Zowel MDR- als klassieke managed security-producten vervullen dezelfde algemene functie; het extern bijstaan van bedrijven op het gebied van cybersecurity. Er zijn echter een paar kernverschillen tussen MDR-diensten en klassieke managed security-diensten, waaronder:

  • Compliance -- klassieke managed security-diensten, soms managed security service providers (MSSP's) genoemd, zijn doorgaans veel meer gericht op compliancerapportage en het helpen van bedrijven om aan compliance-eisen te voldoen. MDR-diensten richten zich hier zelden op.
  • Logformaat -- MSSP's zijn over het algemeen in staat om met een grotere verscheidenheid aan eventlogs en contexten te werken. MDR's daarentegen gebruiken voornamelijk alleen de logs die bij hun tools worden geleverd.
  • Menselijke interactie -- MSSP's behandelen alle communicatie met de provider via online portals en e-mails. MDR's hebben teams van experts -- soms aangeduid als een security operations center (SOC) -- die via meerdere kanalen in real time bereikbaar zijn.
  • Detectiemethoden -- Vanwege de menselijke component die MDR's bieden, kunnen ze diepere analyses toepassen op waarschuwingen en nieuwe bedreigingen detecteren. MSSP's zijn minder betrokken bij de analyse en richten zich daarom meer op bekende en vaak voorkomende bedreigingen met behulp van een op regels gebaseerd systeem.
  • Zichtbaarheid van het netwerk -- MDR's kunnen gebeurtenissen en bewegingen binnen een klantnetwerk detecteren, terwijl MSSP's zich vooral op de perimeter richten.

Elke optie heeft zijn sterke en zwakke punten. MSSP's zijn goed voor het beheer van fundamentele beveiligingstechnologie zoals firewalls en het uitvoeren van dagelijkse beveiligingstaken. MDR's zijn meer gespecialiseerde diensten die zijn ontworpen voor complexe moderne netwerken en de nieuwe kwetsbaarheden die deze met zich meebrengen.

Bedrijven kunnen beide producten in combinatie gebruiken om de voordelen van elk te maximaliseren.

Gemeenschappelijke kenmerken in MDR-aanbiedingen

MDR's zijn relatief nieuw, en dus verschilt elk bedrijf enigszins in wat ze in hun MDR-aanbiedingen bieden. Aanbieders zullen zich doorgaans richten op netwerk-, endpoint- of loggebaseerde technologieën. Een netwerkgebaseerde MDR zou zich richten op bedreigingen in een firewall, terwijl een endpoint-gebaseerd product zou werken met antimalware-software.

Of het netwerkniveau waarop de dienst werkt, het verenigt rapporten van meerdere technologieën op dat niveau om deze functies uit te voeren:

  • Detectie van bedreigingen, waarbij het SOC continu gegevens controleert en prioriteit geeft aan waarschuwingen voor analyse.
  • Bedreigingsanalyse, waarbij SOC-medewerkers potentiële bedreigingen in kaart brengen en de bron en omvang van de bedreiging bepalen.
  • Reactie op bedreigingen, waarbij de provider de klant op de hoogte stelt van een incident en zijn analyse-aanbevelingen doet om het probleem op te lossen.

De stap met de meeste variatie tussen providers is de reactiestap. Elke aanbieder bepaalt het punt waarop zijn werk eindigt en de klant het probleem overneemt. Some providers might also offer additional features for a price, like on-premises expert consultation or additional on-premises hardware.

When choosing a provider, customers should consider:

  • The size of their organization.
  • The skill level and size of security teams.
  • The technology they already have.
  • The compliance regulations they must adhere to.