Select your country

Not finding what you are looking for, select your country from our regional selector:

Search

MDR tjänster: Allt ni behöver veta

De vanligaste frågorna om Managed Detection and Response-tjänster

Vilka företag har störst nytta av MDR-tjänster?

Det korta svaret är att inte alla företag har en egen SOC, så om de inte har det är MDR ett attraktivt förslag. Alla tittar dock inte på MDR-tjänster av samma skäl, så det är inte så enkelt att svara på. Sammantaget tittar företag på MDR av några av följande skäl:

  • De har inte ett säkerhetsoperationsteam och vill därför lägga ut säkerhetsövervakningsverksamheten till en tredje-part som är specialiserad på det området
  • De har ett begränsat säkerhetsoperationsteam, men att använda en MDR-leverantör kommer att säkerställa att teamet förblir mer fokuserat på serviceproduktion än att behöva göra det mesta av frontlinjens arbetsbelastning (liksom många andra säkerhetsoperationsuppgifter)
  • De har ett säkerhetsoperationsteam och kan (eller kanske redan) göra 24×7-övervakningen själva. Ändå skulle de vilja avlasta hotdetekteringen i frontlinjen till ett företag som specialiserat sig på att göra just det. Frågor om personalretention driver ofta detta. Att hitta säkerhetsanalytiker är svårt, och att behålla dem är ännu mer utmanande. När de kan utföra mer varierande och spännande arbete (t.ex. hotjakt eller incidenthantering) blir deras jobb mer attraktivt och tillfredsställande, och det är mer sannolikt att de stannar
     

SOC: Varför inte bygga min egen?

Vissa företag har sin egen SOC och är helt nöjda med den lösningen. Men för andra är det omöjligt att själva tillhandahålla en motsvarande funktion, av de skäl som vi nämnde tidigare: tid, kompetens och pengar. När vi till exempel tittar på små företag - och låt oss ta den brittiska marknaden - är den genomsnittliga kostnaden för en säkerhetsanalytiker någonstans i storleksordningen 50 000 pund per år[i]. För att leverera 24×7 behöver du minst 5 eller 6 analytiker på skift, så redan (utan rekrytering, utbildning, förmåner etc.) blir det 250-300 000 pund per år. Och naturligtvis måste du och hitta dessa personer. Det är utan att ta hänsyn till de nödvändiga verktyg som de behöver, de processer som måste utvecklas och den tid det tar att vara operativ.

 

Vilka är fördelarna med att ha MDR-tjänster?

Resurser

En MDR-leverantör kommer att ha resurser. De kommer att ha en dedikerad funktion bara för Managed Detection and Response (ofta inklusive ett team som också driver MDR-verktygen, vilket innebär mindre arbete för företagen).

Varning: Vissa icke-specialiserade Managed Security Services-generalister (eller till och med Managed Services-generalister) försöker ta sig in på Managed Detection and Response efter att ha sett den växande marknaden. Det är inte lätt att leverera bra tjänster inom MDR. Det är långt ifrån en handelsvara, så om du väljer det här alternativet bör du vara uppmärksam på den erfarenhet och det fokus som MDR-leverantören tillför funktionen (och därmed er som kund).

Analytikernas rapporter kan vara innovativa verktyg som hjälper er att välja den bästa MDR-leverantören för ert företag. Den senaste i datum, Gartner's Market Guide for Managed Detection and Response Services, publicerades i februari 2023 och listar Orange Cyberdefense som en Representative Vendor för MDR-tjänster.

Threat Intelligence

MDR-leverantörer har många kunder från vilka de kan samla in global hotinformation. Något som är utmanande att återskapa i en SOC som körs inom ett enda företag. Det handlar inte bara om att ha data, utan också om att veta hur man analyserar den. Forsknings- och utvecklingsfunktioner är avgörande för att frigöra potentialen i hotunderrättelser.

TID

Varje MDR-leverantör kommer att ha 24×7 resurser, fullt bemannade med säkerhetsanalytiker. Detta är en verklig fördel för alla företag eftersom MDR-leverantören kan dela dessa 24×7-resurser mellan kunder, vilket därmed sänker kostnaden för en sådan funktion.

Var vaksam och var försiktig med leverantörer som använder automatisering eller skiftarbetare som inte är säkerhetsanalytiker. Detta kan leda till en inkonsekvent upplevelse utanför kontorstid.

Vilka är nackdelarna med MDR-tjänster?

Vår analys skulle inte vara rättvis om vi bara fokuserade på den positiva sidan av MDR. Med alla tjänster finns det saker ni behöver veta som kund.

En MDR-leverantör kommer aldrig att ha samma djupa affärsförståelse som ... ni. Och det är därför som samordningen mellan er MDR-leverantör och er personal är avgörande. En bra MDR-leverantör kommer att ha dedikerade experter. De agerar i en teknisk kontohanteringskapacitet eller konsultkapacitet för att samarbeta med säkerhets- och IT-teamet för att föra in det affärssammanhanget i tjänsten och anpassa det över tid, om och om igen.

En MDR-leverantör har ofta inte samma tillgång till IT-system som den interna personalen och kan därför kanske inte reagera på en incident lika snabbt som det interna teamet skulle kunna göra. Detta måste tas upp redan i början av samarbetet för att hitta sätt att förkorta svarstiden om en attack skulle inträffa. Ett exempel är att åtminstone ha möjlighet att ge MDR-teamet möjlighet att isolera endpoints eller spärra konton som används för att utföra attacker (eller ta denna funktion och de tillhörande verktygen för att göra det som en del av tjänsten).

Precis som i alla företag är inte alla MSSP:er lika. Det finns många olika sätt att producera en Managed Detection and Response-tjänst. Och resultatet kan bli väldigt, väldigt olika. Vissa MSSP:er ger inte tillräckligt med värde. De skickar bara varningar om att företagen fortfarande måste göra en hel del undersökningar själva och avlastar därför inte det företag som har upphandlat deras tjänster.

Vissa företag blir besvikna på tjänsten och får bara e-postmeddelanden som detta: ”Det finns en kritisk varning på din brandvägg, du bör undersöka detta vidare.” Det är bara ett exempel på MDR när det är som värst. Det positiva är att i takt med att tiden går och det blir allt trängre på marknaden måste MDR-leverantörerna bli bättre och erbjuda sina kunder ett större utbud av tjänster och resultat.

Hur kommer man igång med MDR?

När vi pratar med kunder är en av de första frågorna vi brukar få: ”Vad kan vi göra för att se till att det här blir en framgång?”.

Utan kundsamarbete fungerar inte MDR. Ni får en tjänst som inte är skräddarsydd, inte engagerande och som inte löser något problem. Så det första ni ska göra när ni börjar med MDR är att ha ett nära samarbete med MDR-leverantören och förbereda er för att ta emot tjänsten. Kom ihåg - det enda ni aldrig kommer att kunna outsourca är djupgående kunskap om er verksamhet som bara ni har, och det är vad er MDR-leverantör behöver.  Titta på hur befintliga policyer för incidenthantering och incidentrespons kommer att fungera med en extern MDR-leverantör och om de inte gör det - ändra dem!  

Ni måste vara redo och en bra MDR-leverantör kommer att ha rådgivande konsulter till hands för att kunna hjälpa er genom denna del också om ni behöver det.

Nästa steg är att fundera på var man ska börja. Många företag frågar fortfarande efter en traditionell, hanterad SOC/SIEM-kombination. Detta brukade vara ett naturligt när ni vill ha proaktiv säkerhetsanalys av händelser från er IT-miljö, då ja, ni behöver ett SIEM- och ett SOC-team för att hantera det. Så är inte längre fallet. När Gartner introducerade SOC Nuclear Triad som ett koncept, delade de med sig av nya idéer (redan 2015) om att SIEM inte längre var tillräckligt för att uppnå full synlighet och mognad i säkerhetsverksamheten. På senare tid har inte bara denna idé utvecklats utan också konceptet att SIEM ibland inte ens är utgångspunkten.

Om vi går tillbaka till COVID-19 och pandemins inverkan, till exempel, och riskprofilen för de flesta företag just nu, är det oerhört viktigt att säkra endpoint. Därför blir EDR-lösningar (Endpoint Detection and Response), som ofta ingår i MDR-tjänster, mycket mer attraktiva (särskilt med tanke på deras tid till implementering/tid till värde jämfört med SIEM). Vi har också sett en utveckling mot utökad detektering och respons (XDR) för att möjliggöra ännu mer ”försprång” utan att behöva en SIEM-plattform, för att köpa sig lite tid att planera för vad man kanske vill göra om 2 eller 3 år och om man då behöver investera i ytterligare säkerhetsanalyssystem.

Varför välja Orange Cyberdefense?

Efter att ha utvecklat våra tjänster till den punkt där vi kan erbjuda alla dessa alternativ - antingen individuellt eller, mer kraftfullt, tillsammans som ett komplett MDR-erbjudande - har Orange Cyberdefense utvecklat vårt Threat Detection Framework för att hjälpa kunderna att visualisera hur distributionen av olika tjänstealternativ ser ut.

Med en tydlig modell för deras miljö och den typ av data som de kan förse oss med, arbetar vi med kunderna för att sätta upp mål för synlighet i de kritiska faserna av dödskedjan och tittar på sätt att hjälpa dem att uppnå detta.  För att bygga förtroende är transparens nyckeln.

 

Figure 1: Threat Detection Framework example visualization. Source: Orange Cyberdefense

Detta ramverk syftar till att:

  • Se till att kunden förstår vår täckning och var vi eventuellt saknar insyn för närvarande.
  • Identifiera möjligheter att öka synligheten - genom att lägga till ytterligare loggar, genom att placera nya nätverkssensorer i deras nätverk eller rulla ut EDR-agenter.
  • Visualisera och modellera effekterna av att lägga till en ny tjänst eller hjälpa till att övertyga affärsintressenterna om att tillhandahålla ytterligare loggdata (där det ibland finns interna utmaningar att göra det).

Ramverket utvecklas och används aktivt av våra 14 CyberSOCs som finns utspridda över hela världen, samt av försäljnings- och servicesupport i 160 länder. Vi erbjuder globalt skydd med lokal expertis.

 

[i]IT Jobs Watch 

[ii]Gartner blog

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.