0
0
O mercado de serviços de TI gerenciados está crescendo em tamanho e importância, à medida que mais organizações decidem que faz sentido fiscal e operacional terceirizar funções-chave. Isso é verdade mesmo para tarefas críticas orientadas à segurança, devido a fatores ambientais e organizacionais: o volume, a velocidade e a sofisticação das ameaças estão aumentando, enquanto o pessoal de segurança qualificado é escasso e caro.
Como resultado, um dos segmentos de crescimento mais rápido nesse espaço é a detecção e resposta gerenciadas (MDR); em 2022, existem mais de 40 empresas oferecendo serviços de MDR confiáveis . O valor do MDR é que ele cria um multiplicador de força para as organizações de segurança interna, oferecendo serviços diários de caça a ameaças e se unindo à equipe interna para repelir e remediar ataques.
O conceito de MDR é relativamente novo no espaço do provedor de serviços de segurança. As ofertas de MDR aumentam seu centro de operações de segurança (SOC) fornecendo ferramentas e conhecimentos de detecção e reação, que em alguns casos podem até substituir seus analistas de segurança de nível 1, que estão focados em responder a ameaças no ambiente mais amplo.
Os serviços de MDR foram populares entre empresas menores que não podiam pagar uma equipe completa de segurança cibernética. Mas um relacionamento MDR pode ser uma grande vitória, independentemente do tamanho da sua organização. No entanto, para obter o máximo benefício, há coisas a serem lembradas ao considerar um serviço de MDR.
MSSP vs MDR
Não podemos ter uma conversa sobre MDR sem primeiro falar sobre o Managed Security Service Provider (MSSPs). O mercado MSSP tem mais de duas décadas e surgiu à medida que o cenário de tecnologia, conformidade e segurança se tornava cada vez mais complexo. Os MSSPs normalmente gerenciam soluções de conformidade e algumas ferramentas de segurança sem necessariamente se envolver em funções do dia-a-dia, como revisão de incidentes ou desafios complexos e centrados em humanos, como caça a ameaças.
Enquanto os MSSPs evoluíram para oferecer uma participação mais ativa nas operações diárias, os provedores de MDR oferecem um conjunto específico de serviços de segurança, com ferramentas e tecnologias que dão suporte direto ao caso de uso de detecção e resposta. Isso envolve a coleta de tráfego de rede e logs gerados por dispositivos, aplicativos e usuários, bem como dados de dispositivos de endpoint mais tradicionais, como laptops e servidores. A mágica acontece quando esses planos de dados díspares são trazidos para um único ambiente para serem armazenados, acessados e analisados juntos por analistas de segurança qualificados. Eles podem realizar respostas básicas a incidentes, contenção de ameaças e, muitas vezes, atividades proativas de caça a ameaças.
Mas o valor de uma oferta de MDR está muito além da triagem visual que ela oferece. Afinal, um provedor de MDR não está fornecendo serviços apenas para você e sua organização. Eles também têm outros clientes, tanto dentro do seu segmento de mercado quanto fora dele. Como eles veem muitos clientes, um bom provedor de MDR pode ver os ataques à medida que eles começam a se formar. Como um meteorologista rastreando uma tempestade em desenvolvimento, seu serviço de MDR pode ver não apenas o impacto na primeira vítima, mas também o impacto potencial em outros clientes. Os MDRs ocupam um ponto de vista único, onde podem ver a grande imagem multiorganizacional que permite que eles ajudem proativamente a proteger toda a sua base de clientes.
Alguns MSSPs evoluíram para MDRs e, em outros casos, o provedor pode ter sido um MDR desde o primeiro dia de operação. A questão é que o MDR está olhando para o mesmo ambiente que um MSSP, mas com um conjunto diferente de lentes. Isso torna fundamental focar nas opções de serviço que eles oferecem.
Evite atritos e seja realista
Um ponto em que as organizações enfrentam atritos desnecessários com seu provedor de MDR é a emissão de tíquetes e o rastreamento de incidentes, que geralmente devem funcionar em todas as organizações à medida que as investigações ocorrem. Vale a pena gastar um tempo extra entendendo exatamente como seu provedor de MDR em potencial se integrará às suas plataformas existentes de emissão de tíquetes e gerenciamento de casos. Eles detectam problemas de segurança, mas, em última análise, sua equipe pode ter algum papel na resposta a eles. Portanto, não se contente com um plano de integração de gerenciamento de casos que soe como “meu sistema pode enviar um e-mail para o seu sistema”. Um player MDR moderno deve oferecer uma verdadeira conexão bidirecional entre o sistema de emissão de bilhetes e o seu.
Também é importante reconhecer que a contratação de um serviço de MDR não é uma relação de configuração e esquecimento. Embora seu provedor de MDR esteja trazendo conhecimento e tecnologia significativos para a mesa, você e sua equipe ainda são os que melhor conhecem seu ambiente. Você será chamado, pelo menos algumas vezes, para fornecer ajuda na investigação ou remediação.
Não cometa o erro de pensar que o esforço inicial de colocar seu novo serviço MDR em produção é o único tempo que você precisa gastar otimizando a tecnologia deles para funcionar bem com a sua. Planeje investir mais tempo após o lançamento para continuar trabalhando com eles para ajustar sua tecnologia e processos em seu ambiente. Por exemplo, como você planeja comunicar seu próprio processo de operações, que começa sempre que novas fontes de log ou novos endpoints aparecem em sua rede?
As ameaças continuam a evoluir, assim como seu MDR
Os provedores de MDR estão se multiplicando porque há uma necessidade premente desses serviços. Os atores de ameaças estão olhando para um futuro de curto prazo muito atraente, onde sua superfície de ataque está ficando maior, não menor; onde combinações de diferentes silos de dados confidenciais se tornarão ainda mais valiosas do que qualquer silo de dados único; e onde seus usuários estão consumindo cada vez mais aplicativos, fornecidos por sua organização ou não, qualquer um dos quais representa um ponto de entrada indireto ou mesmo direto em sua organização.
Alguns provedores de MDR podem não acompanhar o ritmo contínuo das mudanças. É inevitável que o provedor de MDR que você selecionou ontem não seja o parceiro ideal para você amanhã. Entre em um relacionamento MDR com uma visão clara de como você pode sair do relacionamento no futuro. Existem penalidades por rescindir o contrato antes da data de término? Dado o conhecimento íntimo que seu MDR tem sobre seu ambiente interno, como o provedor de MDR substituído lida com esse pós-relacionamento de dados? Esses dados são transferidos para você e depois destruídos e, em caso afirmativo, como exatamente? O provedor substituído está disposto e apto a trabalhar com um novo provedor para garantir uma transição limpa se você se mudar?
Quem você escolher como provedor de MDR, não seja um cliente passivo. Configure reuniões de ponto de contato agendadas regularmente. Certifique-se de que um indivíduo informado que monitore seu ambiente regularmente esteja sempre presente e participando. Bons provedores de MDR agradecem a oportunidade de transferir conhecimento para você sobre suas técnicas de caça a ameaças e conteúdo personalizado que eles desenvolvem para dar suporte ao seu ambiente exclusivo.
O MDR não substitui a implementação de um plano de resposta a incidentesatualizado . Em vez disso, você deseja aproveitar seu provedor de MDR como parte de seu próprio plano de IR documentado. Eles oferecem serviços de RI como um recurso ou serviço complementar? No caso de um incidente maior, ter os socorristas e a equipe de monitoramento na mesma página é essencial para uma resolução rápida. Que melhor maneira de fazer isso do que obter ambas as funções do mesmo provedor?
E não negligencie a maneira proativa e econômica de começar a responder a incidentes, obtendo um retentor de resposta a incidentes que garantirá que você seja priorizado se for atingido por uma grande intrusão. Sem um retentor, obter serviços de incidentes graves pode ser frustrante e dolorosamente lento, exatamente no momento em que você precisa urgentemente.
Prevendo o futuro
À medida que as ameaças continuam a evoluir e a escassez de habilidades de segurança cibernética continua, o MDR desempenhará um papel descomunal na detecção e prevenção de ameaças. Pode ser uma abordagem eficaz para aumentar a equipe que você tem para que eles possam se concentrar nas iniciativas estratégicas que você mantém internamente. Portanto, certifique-se de encontrar um parceiro MDR que vá além de defender você e seu ambiente, alguém que realmente queira ser parceiro e ajudá-lo a aprender a se defender.
As empresas estão sempre procurando a abordagem mais eficaz para proteger seus sistemas. Com sua experiência única em detecção e resposta, juntamente com sua capacidade de ver o “quadro geral”, os MDRs são uma ferramenta eficaz na proteção dos sistemas de segurança de sua organização.
FONTE: HELPNET SECURITY