Zoeken

MDR-services: Alles wat u moet weten

Managed Detection and Response services

De meest gestelde vragen van onze klanten over Managed Detection and Response-services.

Welke bedrijven hebben MDR-services nodig?

In het kort; niet elk bedrijf heeft zijn eigen SOC en niet ieder bedrijf kijkt om dezelfde reden naar MDR-services, dus die vraag is niet zo eenvoudig te beantwoorden. Over het algemeen kijken bedrijven om enkele van de volgende redenen naar MDR:

  • Ze hebben geen team voor beveiligingsactiviteiten en willen daarom hun beveiligingsbewaking uitbesteden aan een derde partij die gespecialiseerd is op dat gebied.
  • Ze hebben een beperkt team voor hun beveiligingsactiviteiten, maar het inschakelen van een MDR-provider zorgt ervoor dat het team meer gefocust blijft op de output van de service in plaats van dat het team de werklast in de frontlinie op zich moet nemen (evenals tal van andere taken op het gebied van beveiligingsoperaties).
  • Ze hebben een security operations team (beveiligingsteam) en kunnen (of doen misschien al) de 24/7 monitoring zelf. Toch willen ze de eerstelijnsdetectie van dreigingen uit handen geven aan een bedrijf dat hierin gespecialiseerd is. Problemen met het behoud van personeel zijn hier vaak de oorzaak van. Het vinden van beveiligingsanalisten is moeilijk, en het behouden ervan een nog grotere uitdaging. Dus wanneer ze meer divers en interessanter werk kunnen doen (zoals Threat Hunting of Incident Response) (opsporen van bedreigingen of het reageren op incidenten), wordt hun baan aantrekkelijker en bevredigender en is de kans groter dat ze blijven.

SOC: Waarom niet mijn eigen SOC bouwen?

Sommige bedrijven hebben hun eigen SOC en zijn heel blij met die oplossing. Het is evengoed mogelijk om een gelijkwaardige functie aan anderen te bieden om de redenen die we eerder noemden: tijd, vaardigheden, geld. Als we bijvoorbeeld naar kleine bedrijven kijken - en laten we eens kijken naar de Britse markt – dan liggen de gemiddelde kosten van een beveiligingsanalist ergens in de buurt van de £ 50.000 per jaar. Om 24/7 te kunnen draaien heb je minstens 5 of 6 analisten in ploegendienst nodig, dat is (zonder rekening te houden met rekrutering, training, secundaire arbeidsvoorwaarden, enz.) alleen al £ 250.000 - 300.000 per jaar. En dan moet je die mensen nog gaan zoeken. Daarbij hebben we nog geen rekening gehouden met de noodzakelijke tools die ze nodig hebben, de processen die moeten worden ontwikkeld en de tijd die nodig is om operationeel te worden.

Wat zijn de voordelen van MDR-services?

Middelen

Een MDR-provider heeft middelen. Ze hebben alleen een functie specifiek voor Managed Detection and Response (Beheerde detectie en respons) (vaak inclusief een team dat ook de MDR-tooling uit zal voeren, wat minder werk is voor bedrijven).

Let op: sommige niet-gespecialiseerde Managed Security Services generalisten (beheerde beveiligingsservices) (of zelfs Managed Services) (beheerde services) proberen op te schuiven richting Managed Detection and Response na het zien van de groeiende markt. Het is echter niet eenvoudig om een goede service te leveren op het gebied van MDR. Het is verre van een consumptieartikel, dus als je voor deze optie kiest, let dan op de ervaring en de focus die de MDR-aanbieder op de functie legt (en dus op jou als klant).

Analistenrapporten kunnen innovatieve hulpmiddelen zijn om u te helpen bij het kiezen van de beste MDR-provider voor uw bedrijf. De nieuwste, Gartner's Market Guide for Managed Detection and Response Services, werd gepubliceerd in februari 2023 en vermeldt Orange Cyberdefense als vertegenwoordiger van MDR-services.

Threat Intelligence

MDR-providers hebben veel klanten voor wie ze wereldwijde bedreigingen kunnen tackelen. Het is een uitdaging om dit opnieuw te creëren in een SOC die binnen één bedrijf wordt uitgevoerd. Het gaat er niet alleen om dat je over de gegevens beschikt, maar ook om te weten hoe je deze moet analyseren. Onderzoeks- en ontwikkelingsfuncties zijn cruciaal om het potentieel van dreigingsinformatie te ontsluiten.

Tijd

Elke volwassen MDR-provider zal beschikken over 24/7-middelen en rond de klok bemand zijn met beveiligingsanalisten. Dit is een groot voordeel voor elk bedrijf, omdat de MDR-provider die 24/7-middelen over zijn klanten kan verdelen, waardoor de kosten van een dergelijke service dalen.

Blijf waakzaam en pas op voor providers die enkel automatisering inzetten of medewerkers in hun ploegen hebben die geen beveiligingsanalist zijn. Dit kan zorgen voor een inconsistente ervaring buiten de kantooruren.
 

Wat zijn de nadelen van MDR-services?

Onze analyse zou niet eerlijk zijn als we ons alleen op de positieve kanten van MDR zouden richten. Bij elke dienst zijn er dingen die u als klant moet weten:

Een MDR-provider zal nooit hetzelfde diepgaande zakelijke inzicht hebben als... jij. En daarom is coördinatie tussen jouw MDR-provider en jouw personeel van cruciaal belang. Een juiste MDR-provider beschikt over toegewijde experts. Ze treden op in de hoedanigheid van technisch accountbeheerder of consultant om samen te werken met het beveiligings- en IT-team teneinde de zakelijke context in de service in te voegen en deze, in de loop van de tijd, keer op keer bij te werken.

Bovendien heeft een MDR-provider vaak niet hetzelfde toegangsniveau tot IT-systemen als intern personeel en kan het als zodanig mogelijk niet zo snel reageren op een incident als het interne team dat zou kunnen. Dit moet aan het begin van de samenwerking worden aangepakt en er zullen manieren gevonden moeten worden om de reactietijd in geval van een aanval te verkorten. Een voorbeeld is om op zijn minst de mogelijkheid te hebben om de MDR-medewerker de mogelijkheid te bieden om eindpunten te isoleren of accounts te vergrendelen die worden gebruikt om aanvallen uit te voeren (of om deze functie en de bijbehorende tools te gebruiken als onderdeel van de Service).

Zoals in elk bedrijf zijn niet alle MSSP's gelijk. Er zijn veel verschillende manieren om een ​​Managed Detection and Response-service op te zetten. En het resultaat kan heel anders zijn. Sommige MSSP's bieden niet genoeg waarde. Ze sturen alleen waarschuwingen dat bedrijven nog steeds veel onderzoek naar zichzelf moeten doen waardoor ze als zodanig de last voor het bedrijf dat hen in dienst heeft genomen niet verlichten.

Sommige bedrijven zijn teleurgesteld in de Service en ontvangen alleen e-mails als deze: "Er is sprake van een kritieke waarschuwing op uw firewall, u dient dit verder te onderzoeken." Dit is maar een voorbeeld van het ergste soort MDR. Het positieve element is dat, naarmate de tijd verstrijkt en er meer partijen in de markt zijn, MDR-providers het beter zullen moeten doen en hun klanten een grotere diepgang en een breder scala aan diensten en resultaten moeten bieden.

Hoe aan de slag te gaan met MDR?

Als we met klanten praten is een van de eerste dingen die ons meestal wordt gevraagd: ‘Wat kunnen we doen om ervoor te zorgen dat dit een succes wordt?’

MDR zal niet werken zonder samenwerking met de klant. Zonder samenwerking krijg je een service die niet op maat is gemaakt, die niet aantrekkelijk is en geen enkel probleem oplost. Het eerste dat je moet doen als je met MDR begint is dus nauw samenwerken met de MDR-provider. Onthoud: het enige dat je nooit uit moet besteden is een diepgaande kennis van jouw bedrijf, die heb jij alleen, en dat is wat jouw MDR-provider nodig heeft.

De volgende stap is om goed te kijken waar je moet beginnen. Veel bedrijven vragen nog steeds om een ​​traditionele, beheerde SOC/ SIEM-combinatie (SIEM: Security information and event management; Beveiligingsinformatie en gebeurtenisbeheer). Vroeger was dit een natuurlijke combinatie - als je een proactieve beveiligingsanalyse van gebeurtenissen uit jouw IT-omgeving wilt heb je een SIEM en een SOC-team nodig om het te beheren. Dit is niet langer het geval. Door de SOC Nuclear Triad als concept te introduceren, deelde Gartner het nieuwe idee (in 2015) dat SIEM niet meer voldoende was om volledige zichtbaarheid en volwassenheid in beveiligingsoperaties te bereiken. Recenter is dit idee niet alleen verder ontwikkeld maar is ook een concept ontstaan waarbij SIEM soms niet eens het uitgangspunt is.

Als we bijvoorbeeld teruggaan naar COVID-19 en het risicoprofiel voor de meeste bedrijven op dit moment, dan is het beveiligen van het eindpunt erg belangrijk. Dus Endpoint Detection and Response-oplossingen (EDR), met MDR-services, worden veel aantrekkelijker (vooral gezien hun time-to-deployment/time-to-value (benodigde tijd tot het ingezet kan worden/benodigde tijd tot het van waarde is) in vergelijking met SIEM). We zien ook een toename in netwerkdetectie en respons - je zou kunnen zeggen dat het een moderne versie van inbraakdetectiesystemen is - als reactie op meer diverse, door cloud computing aangedreven netwerken.

Waarom kiezen voor Orange Cyberdefense?

Nadat we onze services zo ver hebben ontwikkeld dat we alle drie deze opties aan kunnen bieden - afzonderlijk of krachtiger, samen als een volledige MDR-oplossing - heeft Orange Cyberdefense het eigen Threat Detection Framework (Framework voor bedreigingsdetectie) ontwikkeld om klanten te helpen visualiseren hoe de verschillende serviceopties eruitzien.

Expliciet gemodelleerd naar hun eigen specifieke omgeving en het type gegevens dat ze ons kunnen geven, werken we samen met klanten om de zichtbaarheid van doelen in de kritieke fasen van de cyber killchain vast te stellen en kijken we naar manieren om hen te helpen deze te beveiligen.

Dit framework heeft tot doel:

  • Ervoor te zorgen dat de klant onze dekking begrijpt en begrijpt waar we momenteel mogelijk geen zicht op hebben.
  • Het identificeren van mogelijkheden om de zichtbaarheid te vergroten - door extra logboeken toe te voegen, door nieuwe netwerksensoren in hun netwerk te plaatsen of door EDR-agents uit te rollen.
  • Visualiseer en modelleer de impact van het toevoegen van een nieuwe service of het helpen overtuigen van de zakelijke belanghebbenden om aanvullende logboekgegevens te verstrekken (soms is er een interne uitdaging om dit te doen).

Het framework is ontwikkeld en actief gebruikt door onze 14 CyberSOC's die wereldwijd worden gedistribueerd, en verkoop- en servicesupport hebben in 160 landen. We bieden wereldwijde bescherming met lokale expertise.

Als je meer wilt weten, gebruik dan het contactformulier.

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.

Tel: +31 184 78 81 11