top of page
Oct 4, 2022

Managed Detection & Response (MDR) - rastući trend

Postizanje operativne svijesti i vidljivosti događaja vezanih za sigurnost organizacije obično bi zahtijevalo SIEM tip rješenja koji može primiti hiljade događaja iz sigurnosnih alata. Ideja je bila klasifikovati i izvještavati o događajima, što bi dalo mogućnost upravljanja i obuzdavanja ovih prijetnji.


Zapravo, SIEM nikada nije bilo posebno uspješno rješenje: zahtijevalo bi visoke troškove implementacije i detaljno održavanje. U regionu Jugoistočne Evrope to bi obično vodili korisnici kao internu uslugu putem SOC pristupa (Security Operations Center). Internom timu je nedostajalo vremena da pravilno reaguje na sve događaje i vrlo brzo su bili opterećeni. Loša vidljivost događaja je bila dodatna komplikacija, posebno onih koji su se desili na end pointovima, kojima upravljaju zaposleni.


To je jedan od razloga zašto Endpoint Detection and Response (EDR) postaje tako popularan: fokusira se na sredstva end pointova, otkriva mnoge događaje koji su ranije bili nepoznati uređajima kao što su zaštitni zidovi

ili antimalware softver. Takođe, automatizuje mogućnosti otkrivanja kondenzacijom više unosa u log, u jedan značajniji događaj, što analitičarima olakšava procenu rizika.


Međutim, sa dodatkom EDR ili XDR tehnologije u bezbednosni paket organizacije, broj sigurnosnih stackova iznenada raste čak i iznad onoga što se obično očekuje od SIEM implementacije. Događaji koji iznenada postaju očigledni uključuju:

  • Zloupotrebu Powershell-a

  • Izvršavanje zlonamjernih skripti

  • Proces i kernel hook događaj

  • Bočno učitavanje DDL-a

  • Promjene registra

  • Eksfiltraciju memorije

  • Napade bez fajlova

  • i više

Razumijevanje svih tih događaja, procjena rizika i njihovo razlikovanje od lažno pozitivnih, zahtijeva znanje, vještinu, iskustvo - i vrijeme.


Sve to znači da interni pristup postaje još teži za SOC. Eksterno upravljana usluga detekcije i odgovora (MDR), stoga, postaje sastavni dio EDR ponude. Cilj nije samo obavijestiti organizaciju o napadima ili sumnjivim događajima, već poduzeti ciljane radnje u njeno ime kako bi se suzbile i neutralizirale prijetnje. S obzirom da će sigurnosni događaji i napadi samo rasti, ne čudi što Gartner predviđa da će do 2025. 50% organizacija koristiti MDR usluge za praćenje prijetnji, otkrivanje i funkcije odgovora, koje nude mogućnosti ublažavanja i suzbijanja prijetnji.


Ali što trebate uzeti u obzir kada izračunavate povrat ulaganja s MDR-om? Ovo su najvažniji parametri:

  • Broj korištenih sigurnosnih alata: firewall, sigurni web gateway, VPN, antimalware, sigurni gateway e-pošte itd.

  • Upozorenja generirana po alatu

  • Broj upozorenja koje analitičar može obraditi dnevno (obično pretpostavlja 50)

  • Puni trošak po analitičaru (plata, bonus, beneficije, onboarding)

  • Godišnji troškovi obuke po broju zaposlenih (sertifikati, putovanja, konferencije)

  • Godišnja stopa fluktuacije zaposlenih

  • Troškovi zapošljavanja

Naravno, ovo je samo vrlo bazična procjena. Parametri bi mogli biti precizniji (npr. vrijeme za odgovor, vrijeme rezolucije, itd.), ali čak i s ovim unosima možete brzo razumjeti koliko bi vam osoblja bilo potrebno da efikasno riješite sigurnosna upozorenja, posebno nakon uvođenja EDR-a.



Latest news

bottom of page