Search

  1. Sweden
  2. Kunskap
  3. Blogg
  4. Detect och respond
  5. Managed Detection and Respons (MDR)-tjänster: allt du behöver veta

Managed Detection and Respons (MDR)-tjänster: allt du behöver veta

Blogg Detect och respond
man-tittar-pa-data

Share

Våra kunders mest ställda frågor om Managed Detection and Response-tjänster.

 

Vilka företag behöver MDR-tjänster?

Det korta svaret är, alla företag som inte har en egen SOC. Dock… så tittar inte alla på MDR-tjänster av samma anledning, så det är inte så enkelt att svara på. Sammantaget ser vi att företag går mot MDR baserat på något eller några av följande skäl:

  • De har inte ett Security Operation Center (SOC) 24×7 och vill därför lägga ut övervakning och initiala åtgärder, till en tredje part som är specialiserad inom detta område.
  • De har ett begränsat driftsteam inom säkerhet, och genom att använda en MDR-leverantör säkerställs att teamet förblir mer fokuserat på att leverera en hög service, än att behöva göra det mesta av första linjens arbetsuppgifter (liksom en del andra säkerhetsåtgärder).
  • De har en säkerhetsgruppering och kan (eller kanske redan gör) 24×7-övervakningen själva. Ändå vill de utnyttja ett företag som är specialiserat på detektering av hot och incidenter. Ofta driver också frågor angående personal denna fråga. Det är svårt att hitta säkerhetsanalytiker och att behålla dem är ännu mer utmanande. Så när de kan göra mer mångsidigt och spännande arbete (som ”threat research” eller hantering av incidenter) blir deras jobb mer attraktivt och tillfredsställande, och de är mer benägna att stanna.

 

SOC: varför inte bygga en egen?

För andra är det inte möjligt att tillhandahålla en motsvarande funktion själva, av de skäl vi nämnde tidigare: tid, kunskap, pengar. När vi till exempel tittar på små företag – och låt oss ta den svenska marknaden. För att leverera 24×7 behöver du minst 5 eller 6 analytiker på skift, så redan (utan rekrytering, utbildning, förmåner etc.) är det en kostnad på ca 5 milj kr per år inkl alla personalkostnader . Naturligtvis måste du då också hitta dessa människor. Detta är också utan att beakta de nödvändiga verktygen de behöver, de processer som behöver utvecklas och den tid det tar att vara i drift.

 

Vilka är fördelarna med att ha MDR-tjänster?

Resurser

En MDR-leverantör har resurserna. De kommer att ha en dedikerad funktion bara för Managed Detection and Response (ofta inklusive ett team som hanterar själva MDR-verktyget också).

Notera: vissa icke-specialiserade Managed Security Services (eller till och med Managed Services) generalister , försöker komma in på området Managed Detection and Response efter att ha sett den växande marknaden. Det är inte lätt att leverera en bra tjänst på MDR. Det är långt ifrån en ”commodity”, så om du väljer det här alternativet, var uppmärksam på erfarenheten MDR-leverantören har och det värde den kan ge.

Analytikers rapporter kan vara verktyg som hjälper dig att välja bland MDR-leverantörer till ditt företag. Den senaste, Gartner’s Market Guide for Managed Detection and Response Services, publicerades i augusti 2020 och listar bla Orange Cyberdefense som noterad leverantör för MDR-tjänster.

Hotinformation

MDR-leverantörer har många kunder från vilka de kan samla global hotinformation. Något som är utmanande att få tillgång till i en SOC som körs inom ett enda företag. Det handlar inte bara om att ha data utan också om att veta hur man analyserar det. Research- och utvecklingsfunktioner, är avgörande för att få ut essensen av all information som samlas in.

Tid

Alla MDR-leverantörer med kvalité  kommer att ha 24×7 resurser, fullt bemannade med säkerhetsanalytiker. Detta är en kostnadsfördel för alla företag, eftersom MDR-leverantören kan dela den kostsamma för bemanningen för 24×7 över flera kunder.

Var vaksam på om leverantören använder automatiseringsverktyg eller icke-bemannad 24×7. En kvalitativ MDR tjänst kräver säkerhetsanalytiker under dygnets alla timmar.

 

Vilka är nackdelarna med MDR-tjänster?

Vår analys skulle inte vara rättvis om vi bara fokuserade på den positiva sidan av MDR. Med vilken tjänst som helst finns det saker du behöver veta som kund:

En MDR-leverantör kommer aldrig att ha samma djupgående affärsförståelse som du själv. Det är därför som samarbetet och koordinering mellan din MDR-leverantör och din personal är en avgörande framgångsfaktor. En bra MDR-leverantör kommer att ha dedikerade experter. Experter som agerar som tekniska rådgivare, som samarbetar med säkerhets- och IT-teamet på företaget för att få ut affärsnyttan i tjänsten och anpassa den över tid, om och om igen.

En MDR-leverantör har oftast inte samma åtkomst till IT-system som intern personal och kan därför inte svara på en incident så snabbt som det interna teamet kan göra. Detta måste tas om hand i början av samarbetet, för att hitta sätt att förkorta svarstiden om en attack skulle inträffa. Ett exempel är att åtminstone ge tjänsteleverantören av MDR möjligheten att isolera klienter eller låsa konton som används för att utföra attacken (eller ha den funktionen och tillhörande verktyg som en del av tjänsten).

Som i alla segment så är inte alla tjänsteleverantörer – Managed Security Service Provider(MSSP)- lika. Det finns många olika sätt att producera en Managed Detection and Response-tjänst, och resultaten kan bli väldigt olika. Vissa MSSP ger inte tillräckligt med värde. De skickar bara larm och företaget behöver fortfarande lägga kraft på att göra en hel del utredning själva, vilket inte lättar belastningen på företaget som upphandlat tjänsten.

Vissa företag finner sig besvikna över tjänsten när leveransen endast är ett e-postmeddelanden likt: “Det finns en kritisk varning i din brandvägg, du bör undersöka detta vidare.” Detta är bara ett exempel på en dåligt levererad MDR-tjänst.

I takt med att marknaden blir mer mogen och fler aktörer dyker upp, så kommer också den generella kvalitén att öka. Konkurrensen kommer tvinga fram både ett större utbud av tjänster samt säkerställd kvalité i både leverans och resultat.

Hur kommer du igång med MDR?

När vi pratar med kunder så är en av de första frågorna vi ställer: “Vad kan vi göra för att se till att detta blir en framgång?”.

Utan kundsamarbete fungerar inte en MDR-tjänst. Du får en tjänst som inte är anpassad och löser därmed inte några problem. Så redan i det initiala skedet så måste du arbeta nära MDR-leverantören. Kom ihåg – det du aldrig finner någon annan stans är djup insikt om ditt företag. Det är din kunskap som MDR-leverantören behöver av dig, för att kunna leverera enligt förväntan.

Nästa steg är att titta på var man ska börja. Många företag ber fortfarande om en traditionell, Managed SOC / SIEM-kombination.

Detta brukade vara en naturlig kombination. När proaktiv säkerhetsanalys av händelser från IT-miljön efterfrågades, så behövdes tidigare ett SIEM-verktyg och ett SOC-team för att hantera det. Så är inte längre fallet. Genom att introducera SOC Nuclear Triaden Triad som ett koncept, delade Gartner (redan 2015) nya idéer där de förmedlade insikten kring -för att uppnå full synlighet och mognad i SOC-arbetet räcker inte SIEM längre. På senare tid har inte bara denna idé utvecklats, utan också konceptet där SIEM ibland inte ens är utgångspunkten.

Om vi ​​till exempel går tillbaka till COVID-19, där riskbedömningen för de flesta företag innebär att just nu är prioriteten att säkra klienten. Så Endpoint Detection and Response (EDR) -lösningar, med MDR-tjänster, blir mycket mer attraktiva (särskilt med tanke på hur snabbt man kan vara igång / time-to-value jämfört med SIEM). Vi ser också en utveckling av nätverksdetektering och responsfunktion kopplat till det – vissa hävdar att det är den moderna versionen av system för intrångsdetektering – som svar på de allt mer varierande miljöer och molnbaserade nätverk som finns idag.

 

Varför välja Orange Cyberdefense?

Efter att ha utvecklat våra tjänster under långt tid så kan vi erbjuda olika alternativ – antingen som en enskild lösning eller, mer kraftfullt, tillsammans som ett fullständigt MDR-erbjudande. Orange Cyberdefense har utvecklat ett ramverk baserat på hotbilden, för att hjälpa kunderna att visualisera hur användningen av olika servicealternativ skulle ge mest effekt.

Unikt för varje kund och miljö, baserat på data de kan förse oss med, modelleras synlighet i de typiskt kritiska faserna i en attackkedja och typ av detekteringsmetod som uppnår maximal effekt .

Denna modell syftar till att:

  • Visualisera så att kunden förstår detektions-täckning och var det kan saknas synlighet för närvarande.
  • Identifiera möjligheter att öka synligheten – genom att exempelvis lägga till ytterligare loggkällor, placera nya nätverkssensorer i nätverket eller rulla ut EDR-agenter.
  • Visualisera och modellera effekterna av att lägga till en ny tjänst eller hjälpa till att påverka servicesägare internt att få tillhandahålla ytterligare loggdata (där det ibland finns interna utmaningar att göra det)

Modellen utvecklas och används aktivt av våra 11 CyberSOCs som finns över hela världen (Storbritannien, Sverige, Polen, Ryssland, Kina, Indien, Frankrike, Nederländerna och Tyskland) samt support och försäljning i 160 länder. Vi erbjuder globalt skydd med lokal expertis.

 

https://www.itjobswatch.co.uk/jobs/uk/cyber%20security%20analyst.do
https://blogs.gartner.com/anton-chuvakin/2015/08/04/your-soc-nuclear-triad/

Varför välja Orange Cyberdefense?

Efter att ha utvecklat våra tjänster under långt tid så kan vi erbjuda olika alternativ – antingen som en enskild lösning eller, mer kraftfullt, tillsammans som ett fullständigt MDR-erbjudande. Orange Cyberdefense har utvecklat ett ramverk baserat på hotbilden, för att hjälpa kunderna att visualisera hur användningen av olika servicealternativ skulle ge mest effekt.

Unikt för varje kund och miljö, baserat på data de kan förse oss med, modelleras synlighet i de typiskt kritiska faserna i en attackkedja och typ av detekteringsmetod som uppnår maximal effekt .

Denna modell syftar till att:

  • Visualisera så att kunden förstår detektions-täckning och var det kan saknas synlighet för närvarande.
  • Identifiera möjligheter att öka synligheten – genom att exempelvis lägga till ytterligare loggkällor, placera nya nätverkssensorer i nätverket eller rulla ut EDR-agenter.
  • Visualisera och modellera effekterna av att lägga till en ny tjänst eller hjälpa till att påverka servicesägare internt att få tillhandahålla ytterligare loggdata (där det ibland finns interna utmaningar att göra det)

Modellen utvecklas och används aktivt av våra 11 CyberSOCs som finns över hela världen (Storbritannien, Sverige, Polen, Ryssland, Kina, Indien, Frankrike, Nederländerna och Tyskland) samt support och försäljning i 160 länder. Vi erbjuder globalt skydd med lokal expertis.

 

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.