Поскольку Microsoft присоединяется к вечеринке, не пора ли попробовать MDR?

Недавно Microsoft вошла в мир решений управляемого обнаружения и реагирования (MDR) со своим «Microsoft Defender Experts for XDR». Дополнение к постоянно растущему портфелю средств безопасности Microsoft, которое может показаться привлекательным для многих клиентов.

Имея в виду этот запуск, я подумал, что сейчас самое время вернуться к некоторым исследованиям, которые я провел здесь, в -, в начале этого года, рассматривая решения MDR, что они из себя представляют и что они могут сделать для вас (подписчики могут нажать на эти ссылки, чтобы получить доступ к Ключевые критерии и Радар отчет).

MDR — это быстро развивающееся пространство, скорость развития которого определяется спросом. Организации всех типов пытаются эффективно решать постоянно растущие и развивающиеся проблемы безопасности, будь то из-за нехватки ресурсов, навыков или технологий; существует значительный пробел, который необходимо заполнить, и во многих случаях Microsoft и многие другие понимают, что MDR может его заполнить.

Что такое XDR?

На высоком уровне MDR — это услуга, обеспечивающая управление платформами XDR. Зачем им управление? Это хороший вопрос. Начнем с обзора того, что такое XDR.

Платформы XDR (расширенное обнаружение и реагирование) объединяют обширную телеметрию угроз безопасности из таких областей, как конечные точки, сети, облачные приложения и платформы идентификации, в единую платформу. Затем, используя сочетание аналитики и информации об угрозах, платформы будут автоматически оценивать потенциальные угрозы и меры по их устранению, необходимые для обеспечения безопасности организации. Это мощные решения, которые улучшат состояние безопасности организации.

Платформы XDR являются интеллектуальными и автоматизируют многие процессы безопасности и смягчения последствий. Но они по-прежнему являются инструментами, для управления которыми нужны ресурсы и навыки. В разговорах с руководителями высшего звена я часто слышу это. Они инвестировали в технологические платформы, которыми они очень довольны, но им нужны внутренние ресурсы для управления ими. Это поднимает вопросы о том, как продолжать их эффективно использовать.

Именно здесь вступает в действие MDR — обеспечение человеческого управления для платформы XDR. Обычно это делается с помощью сочетания инструментов аналитики и автоматизации, под контролем хорошо укомплектованных, высококвалифицированных групп аналитиков SOC, которые проверяют платформу и выполняют задачи по исправлению по мере необходимости.

Подход MDR обычно состоит из использования машинного обучения и аналитики для фильтрации миллионов точек данных, чтобы отфильтровать ложные срабатывания и проблемы низкого уровня, оставив только ключевые инциденты, требующие проверки. Эти инциденты представляются аналитику SOC, который добавит человеческое понимание и сделает звонок о том, является ли этот инцидент приоритетным или нет. Затем, в зависимости от соглашения с поставщиком MDR, они будут выполнять это смягчение или предупреждать клиентов о действиях, которые необходимо предпринять.

Это чрезвычайно эффективное сочетание технологии и человеческого взаимодействия, и, что важно, обеспечивает очень быструю возможность «предупреждения для исправления», при этом лидеры в области заявляют, что среднее время составляет около 30 минут, по сравнению со средним показателем по отрасли в 16 минут. часов для внутренней группы SOC, и в области, где скорость реагирования настолько важна, уже одно это может стать веским аргументом в пользу рассмотрения MDR.

Но я не хочу все бросать!

Все это звучит здорово, но если вы вложили средства в инструменты безопасности, вы не захотите их выбрасывать. Это часть преимуществ того, как развивается пространство MDR. Сегодня ведущие поставщики MDR не продвигают подход «наш агент везде». Вместо этого они осознали важность интеграции с существующими корпоративными технологиями. Скорее, речь идет об интеграции с этой технологией, использовании ее для подпитки своей платформы, а затем использовании ее интеллекта и аналитиков SOC для оценки рисков и принятия мер по их снижению. У этого могут быть недостатки, особенно в отношении автоматизации шагов по снижению угроз, но он позволяет дополнить существующие инвестиции квалифицированными командами SOC, которые могут добавить дополнительную ценность этим существующим инвестициям.

Кто такие игроки MDR?

Существует два основных типа решений MDR; Поставщики, добавляющие управление к существующим XDR, такие как Microsoft, Sophos, CrowdStrike, Palo Alto и Sentinel One, а также создающие сервис MDR без необходимости использования их технологий, такие как Artic Wolf, Expel и Deepwatch. С точки зрения покупателя, нет правильного или неправильного подхода к этому рынку. Это просто понимание того, что подходит.

Подходит ли мне МДР?

Название этой статьи о том, стоит ли вам попробовать MDR. Вы должны? В нашем первоначальном исследовании MDR я выделил несколько вопросов, которые организации должны задать себе, чтобы убедиться, что управляемая безопасность им подходит. Эти вопросы остаются в силе и касаются того, есть ли у вашей организации навыки и ресурсы для:

• Постоянно понимать меняющиеся угрозы?
• Контролировать безопасность в той мере, в какой это необходимо?
• Своевременно реагировать на угрозы?
• Своевременно справляться со сложным инцидентом кибербезопасности?
• Эффективно восстановиться после инцидента безопасности?

Если ответ на любой из этих вопросов отрицательный, то, вероятно, пришло время оценить рынок MDR и посмотреть, может ли поставщик помочь вам заполнить эти пробелы в безопасности коммерчески эффективным способом.

Ландшафт угроз кибербезопасности будет становиться все более сложным и ресурсоемким для организаций. Способность находить ресурсы, навыки и технологии для быстрого устранения угроз будет становиться все труднее. MDR может быть очень эффективным инструментом, поэтому, возможно, пришло время взглянуть на него!