Керована послуга із виявлення та реагування на загрози (Managed Detection and Response або ж MDR) є основою операційної кібербезпеки організації. Вона передбачає безперервний моніторинг IT інфраструктури клієнта, ретельний аналіз наявних та потенційних кіберзагроз, а також функцію реагування на ці загрози.
Спеціальні агенти встановлюються на робочі станції/сервери, за допомогою яких здійснюється збір детальної інформації про роботу системи і користувачів з подальшою відправкою даних у SOC для аналізу. Таким чином, керована послуга MDR дозволяє швидко ідентифікувати та стримувати потенційні та наявні загрози для вашої організації.
Разом з тим, існує думка, що MDR – це заскладне для впровадження рішення, що підходить лише великим підприємствам з високим кіберризиками. Але це не так. Чому? Пояснює Сергій Поята, директор з операційної діяльності ISSP, який розвінчує три поширених міфи про MDR послугу.
Міф №1. MDR не є пріоритетним рішенням, тому його доцільно замінити іншими більш простішими сервісами чи технологіями.
Існує думка, що технології захисту по типу MDR варто впроваджувати лише тим компаніям, які досягли високого рівня кіберзрілості чи масштабування бізнесу. З одного боку це так, але є важливий нюанс.
Жодна комбінація рішень превентивного захисту (антивірус, файервол, підвищення обізнаності персоналу, тощо) не може замінити операційну кібербезпеку (частиною якої є MDR сервіси), оскільки «закриває» інші завдання.
Файервол (навіть добре налаштований, чим можуть похвалитися далеко не всі організації) першочергово націлений на недопущення реалізації атаки. Від нього не так багато користі, коли кібератака вже триває.
Крім того, не варто забувати, що ефективність будь-якого превентивного захисту не може становити 100%. Відповідно зловмиснику для досягнення успіху необхідно просто здійснити більше спроб. Потенційними наслідками успішної кібератаки можуть стати не лише фінансові та репутаційні ризики для бізнесу, а й припинення існування компанії. Не забуваймо і про supply chain attack, коли від дій хакерів страждає не лише сама жертва, а й її ділові партнери.
Виключно процеси операційної безпеки здатні виявити кіберзагрози на максимально ранніх стадіях та забезпечити адекватне реагування на них для недопущення розвитку та реалізації кінцевої цілі зловмисника.
Отже, послуга MDR є базисом операційної безпеки, що перекриває вищезазначені ризики.
Аналогія: встановлення більш надійних замків на дверях офісу не перекриває необхідності мати систему сигналізації всередині приміщення та службу оперативного реагування (охорони).
Міф №2. MDR є маркетинговим кроком для роздування вартості аналогічних технічних рішень щодо захисту кінцевих точок (endpoints).
Послуги MDR дійсно в більшості випадків більш дорогі у порівнянні зі схожими за функціоналом технологіями, що пропонують у вигляді підписки на системи захисту робочих станцій чи серверів.
Причина – MDR рішення є більш комплексним та включає в себе не лише підписку на програмну продукцію, а й додаткові можливості.
Зокрема, залучення декількох ліній аналітиків та сталі процеси детектування та реагування на загрози. Це генерує додаткові витрати, однак і надає принципові переваги.
Придбавши «пакет технологій» за підпискою, клієнт не завжди розуміє, навіщо залучати додаткові ресурси чи нести додаткові витрати. Але без них процес управління інцидентами суттєво втрачає ефективність, створюючи типову проблему уявного захисту. Навіть сучасні технології з залученням штучного інтелекту застосовані окремо не спроможні досягти необхідних результатів, а саме:
Обробку додаткового контексту, який неможливо отримати на рівні програмного забезпечення (передбачаються мінімальні комунікації з ІТ персоналом).
Виявлення комплексних атак, що умисно реалізуються у прихованому режимі, коли кожна рознесена у часі ітерація (складова комплексної атаки) в кращому випадку ідентифікується як інцидент із низьким пріоритетом та не поєднується у єдиний ланцюг атаки з критичними наслідками.
Опрацювання та відсіювання фальш-позитивних спрацювань, які за статистикою становлять переважну більшість усіх алертів та відволікають увагу.
Адаптацію процесів під специфіку конкретної компанії із врахуванням її масштабу та кваліфікаційного рівня персоналу.
Аналогія: Порівняння оренди корпоративного автомобіля зі службою корпоративного таксі чи логістичних перевезень.
Міф №3. Вигідніше та безпечніше розбудувати власну послугу MDR, не залучаючи треті сторони
Такий підхід є хибним і може спрацювати лише у виключних ситуаціях.
Як ми вже пояснили раніше, розвінчуючи міф№2, MDR - це не технологія, а комплексне рішення чи сервіс, який включає технологію, персонал з відповідними компетенціями та розбудовані процеси моніторингу та реагування. Відповідно, розбудова власного сервісу MDR мало чим відрізняється від розбудови будь-якого нового бізнес-процесу в організації.
Навіть у спрощеній моделі це потребує:
Чималого часу для навчання співробітників, впровадження технологій та розбудови процесів, що може зайняти більше року для виходу на адекватний рівень якості послуги.
Суттєвих інвестицій для володіння технологічними рішеннями, необхідними обчислювальними потужностями і головне – знаходження, навчання та утримання кваліфікованого персоналу з сегментованим набором компетенцій в кібербезпеці.
Залучення ресурсу менеджменту для управління ризиками та ефективністю. Адже лише так можна гарантувати досягнення очікуваних результатів.
Висновок напрошується сам по собі. Такі суттєві інвестиції можуть бути виправдані лише в деяких випадках, зокрема, якщо компанія планує надавати послугу MRD як комерційний сервіс зовнішнім компаніям. Інший приклад – потужні корпорації чи холдингові компанії, що передбачає обслуговування великої кількості афілійованих компаній-споживачів.
Натомість придбання MDR сервісу від надійного зовнішнього провайдера, такого як ISSP, на порядок зменшує його вартість та гарантує, що клієнт отримає кінцевий продукт у адаптованому і зрозумілому форматі з гарантованими параметрами та мінімальними ризиками реалізації кібератаки.
Аналогія: Розбудова власної служби фізичної охорони повного циклу для потреб невеликої ІТ компанії.
Таким чином, керована послуга із виявлення та реагування на загрози MRD є важливою складовою всієї стратегії кібербезпеки організації. Співпрацюючи з надійним постачальником MDR сервісів, бізнес будь-якого розміру та галузі може скористатися передовими технологіями виявлення та реагування на загрози, професійними консультаціями та фаховою підтримкою. MDR забезпечує прогнозований та ефективний підхід до кібербезпеки, що допомагає бізнесам відстежувати ландшафт все більш складних та масштабних кіберзагроз.
Більше про послуги SOC від ISSP можна дізнатися за посиланням.