Managed Detection & Response (MDR) - rastući trend
Postizanje operativne svijesti i vidljivosti događaja povezanih sa sigurnošću organizacije obično bi zahtijevalo SIEM tip rješenja koji može primiti tisuće događaja iz sigurnosnih alata. Ideja je bila klasificirati i izvještavati o događajima, što bi dalo mogućnost upravljanja i obuzdavanja tih prijetnji.
Zapravo, SIEM nikada nije bilo posebno uspješno rješenje: zahtijevao bi visoke troškove implementacije i revno održavanje. U regiji Jugoistočne Europe (SEE) SIEM bi obično uvodili korisnici kao internu uslugu putem SOC pristupa (Security Operations Center). Međutim, internom timu bi nedostajalo vremena da pravilno reagira na rastući broj događaja i vrlo brzo su bili pretrpani analizom. Dodatna komplikacija koja je postala očita sa sve učestalijim napadima na Windows endpointe, jest loša vidljivost odnosno manjak događaja sa endpoint računala koje koriste zaposlenici.
To je jedan od razloga zašto Endpoint Detection and Response (EDR) postaje tako popularan: fokusira se na IT imovinu kao što su laptopi i serveri, pri čemu zapisuje mnoge događaje koji su prije bili nepoznati mrežnim uređajima poput vatrozida ili antimalware softveru. Također, automatizira mogućnosti otkrivanja sažimanjem višestrukih log zapisa u jedan smisleniji događaj, time olakšavajući analitičarima procjenu rizika.
Međutim, s dodatkom EDR ili XDR tehnologije u sigurnosni stack organizacije, broj sigurnosnih događaja iznenada raste čak i iznad onoga što se obično očekuje od implementacije SIEM-a. Događaji koji iznenada postaju vidljivi uključuju:
Zlouporabu Powershell-a
Izvršavanje zlonamjernih skripti
Proces i kernel hook događaji
Bočno učitavanje DDL-ova
Izmjene registra
Eksfiltraciju memorije
Napade bez datoteka
i još mnogo toga
Razumijevanje svih tih događaja, procjena rizika i razlikovanje od lažno pozitivnih, zahtijeva znanje, vještinu, iskustvo - i vrijeme.
Sve to znači da interni pristup postaje SOC-u još teže za izvesti. Vanjska usluga upravljane detekcije i odgovora (MDR), stoga, postaje sastavni dio EDR ponude. Cilj nije samo obavijestiti organizaciju o napadima ili sumnjivim događajima, već poduzeti ciljane radnje u njezino ime za suzbijanje i neutraliziranje prijetnji.
Budući da će sigurnosni događaji i napadi samo rasti, nije iznenađujuće što Gartner predviđa da će do 2025. 50% organizacija koristiti MDR usluge za praćenje prijetnji, otkrivanje i funkcije odgovora, koje nude mogućnosti ublažavanja i suzbijanja prijetnji.
Ali što trebate uzeti u obzir kada izračunavate povrat ulaganja s MDR-om? Ovo su najvažniji parametri:
Broj korištenih sigurnosnih alata: vatrozid, sigurni web gateway, VPN, antimalware, sigurni gateway e-pošte itd.
Upozorenja generirana po alatu
Broj upozorenja koje analitičar može obraditi po danu (obično pretpostaviti 50)
Puni trošak po analitičaru (plaća, bonus, beneficije, onboarding)
Godišnji troškovi obuke po broju zaposlenih (certifikati, putovanja, konferencije)
Godišnja stopa fluktuacije zaposlenih
Troškovi zapošljavanja
Naravno, ovo je samo vrlo bazični popis glavnih faktora. Parametri bi mogli biti precizniji (npr. vrijeme za odgovor, vrijeme za rješavanje itd.), ali čak i s ovim unosima možete brzo shvatiti koliko bi vam osoblja trebalo za učinkovito rješavanje sigurnosnih upozorenja, posebno nakon uvođenja EDR-a.