Managed Detection & Response (MDR) - rastući trend
Postizanje operativne svesti i vidljivosti događaja u vezi sa bezbednošću organizacije obično bi zahtevalo SIEM tip rješenja koji može da primi hiljade događaja iz bezbednosnih alata. Ideja je bila da se klasifikuju i izveštavaju događajima, što bi dalo mogućnost upravljanja i obuzdavanja ovih pretnji.
U stvari, SIEM nikada nije bilo posebno uspešno rešenje: zahevao bi visoke troškove implementacije i detaljno održavanje. U regionu Jugoistočne Evrope ovim bi obično upravljali korisnici kao internom uslugom putem SOC pristupa (Security Operations Center). Internom timu je nedostajalo vremena da pravilno reaguje na sve događaje i vrlo brzo su bili preopterećeni. Loša vidljivost događaja je bila dodatna komplikacija, posebno onih koji su se desili na end pointovima, kojima upravljaju zaposleni.
Ovo je jedan od razloga zašto Endpoint Detection and Response (EDR) postaje toliko popularan: fokusira se na sredstva end pointova, otkriva mnoge događaje koji su ranije bili nepoznati uređajima kao što su zaštitni zidovi ili antimalware softver. Takođe, automatizuje mogućnosti otkrivanja tako što sažima više unosa u log, u jedan značajniji događaj, olakšavajući analitičarima procenu rizika.
Međutim, sa dodatkom EDR ili XDR tehnologije u bezbednosni paket organizacije, broj sigurnosnih stackova odjednom raste čak i iznad onoga što se obično očekuje od SIEM implementacije. Događaji koji iznenada postaju očigledni uključuju:
Zloupotrebu Powershell-a
Izvršavanje zlonamernih skripti
Proces i kernel hook događaj
Sideloading DDL
Promene registra
Eksfiltraciju memorije
Napade bez datoteka
i više
Razumevanje svih ovih događaja, procena rizika i njihovo razlikovanje od lažnih pozitivnih, zahteva znanje, veštinu, iskustvo - i vreme.
Sve to znači da interni pristup postaje još teži za SOC. Spoljno upravljana usluga detekcije i odgovora (MDR), stoga, postaje sastavni deo EDR ponude. Cilj nije samo da obavesti organizaciju o napadima ili sumnjivim događajima, već da u njeno ime preduzme ciljane akcije za suzbijanje i neutralisanje pretnji. S obzirom da se bezbednosni događaji i napadi samo povećavaju, ne čudi što Gartner predviđa da će do 2025. 50% organizacija koristiti MDR usluge za praćenje pretnji, otkrivanje i funkcije odgovora, koje nude mogućnosti ublažavanja i suzbijanja pretnji.
Ali šta treba da uzmete u obzir prilikom izračunavanja povrata ulaganja s MDR-om? Ovo su najvažniji parametri:
Broj korišćenih bezbednosnih alata: firewall, bezbedni web gateway, VPN, antimalware, bezbedni gateway e-pošte itd.
Upozorenja generisana po alatu
Broj upozorenja koje analitičar može da obradi dnevno (obično pretpostavlja 50)
Puni trošak po analitičaru (plata, bonus, beneficije, onboarding)
Godišnji troškovi obuke po broju zaposlenih (sertifikati, putovanja, konferencije)
Godišnja stopa fluktuacije zaposlenih
Troškovi zapošljavanja
Naravno, ovo je samo osnovna procena. Parametri bi mogli biti precizniji (npr. vreme odgovora, vreme rezolucije, itd.), ali čak i s ovim ulazima možete brzo da razumete koliko bi vam osoblja bilo potrebno da biste efikasno rešavali bezbednosna upozorenja, posebno nakon uvođenja EDR-a.