Những thách thức kinh doanh đối với việc áp dụng MDR
Thử thách #1: Nhân sự/Tài nguyên
Các tổ chức vốn đang gặp khó khăn trong việc duy trì đội ngũ bảo mật đầy đủ nhân viên đang phải đối mặt với những thách thức thậm chí còn lớn hơn khi họ áp dụng các công nghệ bảo mật đổi mới để giải quyết bối cảnh các mối đe dọa đang phát triển.
Ngày nay, hầu hết các tổ chức đều có các công cụ bảo mật mà họ không có thời gian để quản lý thành thạo.
Khoản đầu tư mà họ đã thực hiện vào các công cụ hàng đầu có thể sẽ gây hại cho họ thay vì giúp họ nếu họ thiếu thời gian hoặc nguồn lực để triển khai đầy đủ và tối ưu hóa các giải pháp của mình trước các mối đe dọa ngày càng phức tạp.
Thử thách #2: Cảnh báo mệt mỏi
Một thách thức khác là quản lý số lượng lớn các cảnh báo từ tất cả các công nghệ bảo mật mới này . Đây không phải là một vấn đề mới, nhưng nó đang phát triển theo cấp độ lớn khi các điểm cuối sinh sôi nảy nở dưới dạng IoT, nhân viên làm việc từ xa, đối tác chuỗi cung ứng được kết nối và mạng kết hợp.
Việc xác định cách phản hồi với từng cảnh báo đòi hỏi nhiều nhân lực và chuyên môn hơn mức thường được giữ lại trong nội bộ — và khi một mối đe dọa được xác định là nghiêm trọng, tổ chức cần có các kỹ năng liên quan để khắc phục và đưa điểm cuối trở lại trạng thái an toàn, và làm điều đó một cách nhanh chóng trước khi sự xâm nhập có thể trở thành một vi phạm nghiêm trọng.
LỜI KHUYÊN CỦA CHUYÊN GIA
Ngay cả khi một tổ chức có các nguồn lực và mong muốn xây dựng một nhóm bảo mật có thể xử lý tất cả các khía cạnh của mọi mối đe dọa, thì tổ chức đó cũng nên dành ít nhất vài tháng và nhiều khả năng là nhiều năm để xây dựng một chương trình phát hiện và ứng phó hoàn thiện . Tạm thời, doanh nghiệp vẫn dễ bị tổn thương.
MDR đã xuất hiện để lấp đầy những khoảng trống này. Các tổ chức có thể nhanh chóng đưa ra giải pháp MDR truy cập mạng từ xa để cung cấp phạm vi phủ sóng 24/7 và khả năng tiếp cận kiến thức chuyên môn cực kỳ khó tìm và nhân viên làm việc độc lập. Các chuyên gia này làm việc suốt ngày đêm, vì vậy họ có thể nhanh chóng phản hồi dựa trên kiến thức của họ về mọi khía cạnh của bảo mật điểm cuối, từ phát hiện đến khôi phục điểm cuối về trạng thái tốt đã biết để ngăn chặn sự xâm phạm thêm.
MDR hoạt động như thế nào?
MDR giám sát, phát hiện và phản hồi từ xa các mối đe dọa được phát hiện trong tổ chức của bạn. Công cụ phát hiện và phản hồi điểm cuối (EDR) thường cung cấp khả năng hiển thị cần thiết đối với các sự kiện bảo mật trên điểm cuối .
Thông tin tình báo về mối đe dọa có liên quan , phân tích nâng cao và dữ liệu pháp y được chuyển cho các nhà phân tích con người, những người thực hiện phân loại cảnh báo và xác định phản ứng thích hợp để giảm tác động và rủi ro của các sự cố tích cực. Cuối cùng, thông qua sự kết hợp giữa khả năng của con người và máy móc, mối đe dọa sẽ bị loại bỏ và điểm cuối bị ảnh hưởng được khôi phục về trạng thái trước khi bị lây nhiễm.
Các khả năng cốt lõi của MDR là:
1. Ưu tiên
Ưu tiên được quản lý giúp các tổ chức phải vật lộn với nỗ lực hàng ngày trong việc sàng lọc khối lượng cảnh báo khổng lồ của họ để xác định xem cần giải quyết vấn đề nào trước. Thường được gọi là “EDR được quản lý”, ưu tiên được quản lý áp dụng các quy tắc tự động và sự kiểm tra của con người để phân biệt các sự kiện lành tính và thông tin dương tính giả với các mối đe dọa thực sự. Các kết quả được làm phong phú thêm với bối cảnh bổ sung và chắt lọc thành một luồng cảnh báo chất lượng cao.
2. Săn lùng mối đe dọa
Đằng sau mỗi mối đe dọa là một con người đang suy nghĩ về cách tránh bị bắt bởi các biện pháp đối phó của mục tiêu. Mặc dù máy móc rất thông minh, nhưng máy móc không khôn ngoan: cần có trí tuệ con người để bổ sung yếu tố mà không hệ thống phát hiện tự động nào có thể cung cấp. Những thợ săn mối đe dọa con người với các kỹ năng và chuyên môn sâu rộng sẽ xác định và cảnh báo về các mối đe dọa lén lút và lẩn tránh nhất để nắm bắt những gì mà các lớp phòng thủ tự động đã bỏ sót.
3. Điều tra
Các dịch vụ điều tra được quản lý giúp các tổ chức hiểu các mối đe dọa nhanh hơn bằng cách làm phong phú các cảnh báo bảo mật với ngữ cảnh bổ sung. Các tổ chức có thể hiểu đầy đủ hơn về những gì đã xảy ra, khi nó xảy ra, ai bị ảnh hưởng và kẻ tấn công đã đi được bao xa. Với thông tin đó, họ có thể lập kế hoạch ứng phó hiệu quả.
4. Phản hồi có hướng dẫn
Phản hồi có hướng dẫn đưa ra lời khuyên khả thi về cách tốt nhất để ngăn chặn và khắc phục một mối đe dọa cụ thể. Các tổ chức được tư vấn về các hoạt động cơ bản như liệu có nên cách ly hệ thống khỏi mạng cho đến hệ thống phức tạp nhất hay không, chẳng hạn như cách loại bỏ mối đe dọa hoặc khôi phục sau cuộc tấn công trên cơ sở từng bước.
5. Khắc phục
Bước cuối cùng trong bất kỳ sự cố nào là phục hồi. Nếu bước này không được thực hiện đúng cách thì toàn bộ khoản đầu tư của tổ chức vào chương trình bảo vệ điểm cuối sẽ bị lãng phí. Biện pháp khắc phục được quản lý sẽ khôi phục hệ thống về trạng thái trước khi bị tấn công bằng cách xóa phần mềm độc hại, dọn dẹp sổ đăng ký, loại bỏ những kẻ xâm nhập và xóa cơ chế bảo trì. Biện pháp khắc phục được quản lý đảm bảo rằng mạng được đưa trở lại trạng thái tốt đã biết và ngăn chặn sự xâm phạm thêm.
Lợi ích của MDR là gì?
Các tổ chức sử dụng giải pháp MDR có thể ngay lập tức giảm thời gian phát hiện ( và do đó, thời gian phản hồi ) từ 280 ngày thông thường xuống chỉ còn vài phút – nhờ đó giảm đáng kể tác động của một sự kiện.
Nhưng việc giảm thời gian phát hiện từ hàng tháng xuống chỉ còn vài phút không phải là lợi ích duy nhất. Các tổ chức cũng có thể:
- Cải thiện tình hình bảo mật và trở nên linh hoạt hơn trước các cuộc tấn công tiềm ẩn bằng cách tối ưu hóa cấu hình bảo mật và loại bỏ các hệ thống giả mạo.
- Xác định và ngăn chặn các mối đe dọa tiềm ẩn, tinh vi thông qua hoạt động tìm kiếm mối đe dọa được quản lý liên tục .
- Ứng phó với các mối đe dọa hiệu quả hơn và khôi phục các điểm cuối về trạng thái tốt đã biết thông qua phản hồi có hướng dẫn và biện pháp khắc phục được quản lý.
- Chuyển hướng nhân viên từ công việc ứng phó sự cố mang tính thụ động và lặp đi lặp lại sang các dự án chiến lược hơn.
HƯỚNG DẪN NGƯỜI MUA MDR
Hướng dẫn dành cho người mua MDR của CrowdStrike đã được tạo để hướng dẫn bạn về các danh mục dịch vụ MDR khác nhau và giúp bạn tự tin xác định điều gì là tốt nhất cho tổ chức của mình.
Sự khác biệt giữa Dịch vụ MDR và các giải pháp bảo vệ thiết bị đầu cuối khác là gì?
MDR so với EDR
Phát hiện và phản hồi điểm cuối (EDR) là một phần của bộ công cụ được các nhà cung cấp MDR sử dụng. EDR ghi lại và lưu trữ các hành vi cũng như sự kiện trên các điểm cuối và đưa chúng vào các hệ thống phân tích và phản hồi tự động dựa trên quy tắc. Khi một sự bất thường được phát hiện, nó sẽ được gửi đến đội an ninh để điều tra con người. EDR cung cấp cho các nhóm bảo mật khả năng sử dụng nhiều thứ hơn là chỉ các chỉ số thỏa hiệp (IoC) hoặc chữ ký để hiểu rõ hơn về những gì đang xảy ra trên mạng của họ.
BÁO CÁO TIỀN TUYẾN
Hàng năm, nhóm dịch vụ của chúng tôi chiến đấu với một loạt đối thủ mới. Tải xuống báo cáo Cyber Front Lines để phân tích và các bước thực tế do các chuyên gia dịch vụ của chúng tôi đề xuất.
Theo thời gian, các dịch vụ EDR đã trở nên phức tạp hơn, kết hợp các công nghệ như học máy và phân tích hành vi, cũng như khả năng tích hợp với các công cụ phức tạp khác. Nhiều nhóm bảo mật nội bộ thiếu tài nguyên và thời gian để sử dụng đầy đủ các hệ thống EDR của họ, điều này có thể khiến tổ chức kém an toàn hơn so với trước khi mua giải pháp EDR.
MDR giải quyết vấn đề đó bằng cách giới thiệu kiến thức chuyên môn của con người, các quy trình trưởng thành và thông tin tình báo về mối đe dọa. MDR được thiết kế để giúp các tổ chức có được khả năng bảo vệ điểm cuối cấp doanh nghiệp mà không phải trả chi phí cho nhân viên bảo mật cấp doanh nghiệp hoặc trung tâm điều hành bảo mật (SOC) .
MDR so với MSSP
Nhà cung cấp dịch vụ bảo mật được quản lý (MSSP) là tiền thân của MDR. MSSP thường cung cấp khả năng giám sát mạng rộng rãi đối với các sự kiện và gửi cảnh báo đã được xác thực tới các công cụ khác hoặc tới nhóm bảo mật, cùng với một loạt dịch vụ khác như quản lý công nghệ, nâng cấp, tuân thủ và quản lý lỗ hổng, nhưng nhìn chung không chủ động phản hồi các mối đe dọa. Khách hàng chịu trách nhiệm thực hiện các hoạt động đó, những hoạt động này có thể yêu cầu chuyên môn chuyên môn mà thường không được duy trì nội bộ. Do đó, khách hàng của MSSP cũng phải thuê thêm chuyên gia tư vấn hoặc nhà cung cấp để thực hiện giảm thiểu và khắc phục.
Các dịch vụ MDR tập trung chặt chẽ vào việc phát hiện và ứng phó nhanh chóng với các mối đe dọa mới nổi. Ngoài ra, MDR cung cấp khả năng giảm thiểu và khắc phục, đồng thời có thể mang lại giá trị ngay lập tức với khoản đầu tư tối thiểu.
MDR so với SIEM được quản lý
Quản lý sự kiện và thông tin bảo mật (SIEM) là một danh mục công nghệ rộng. Tất cả các SIEM đều bắt đầu bằng cách tổng hợp dữ liệu từ nhiều nguồn mạng và các thiết bị bảo mật khác, đồng thời phân tích dữ liệu đó để phát hiện những điểm bất thường có thể báo hiệu hoạt động đáng ngờ. Sau đó, các khả năng của SIEM rất khác nhau. Một số là giải pháp chỉ dành cho công nghệ trong khi những giải pháp khác giống như dịch vụ cảnh báo và xử lý sự kiện được quản lý hơn.
Một điểm chung của tất cả các SIEM là khách hàng của họ báo cáo những khó khăn trong việc giải quyết các vấn đề do dữ liệu SIEM của họ đưa ra do họ gặp khó khăn trong việc hiểu kết quả. Gần 45 phần trăm người dùng SIEM nói rằng họ thiếu chuyên môn nội bộ để sử dụng đầy đủ giải pháp SIEM của họ. SIEM cũng có thể tốn kém và sử dụng nhiều tài nguyên. Mặt khác, MDR được đặc trưng bởi dấu ấn mạng nhẹ và thời gian tạo ra giá trị nhanh chóng.
Cách chọn dịch vụ MDR – 5 câu hỏi
Các giải pháp MDR bao gồm nhiều loại dịch vụ, vì vậy hãy đảm bảo biết các khả năng hiện tại của tổ chức bạn trước khi bắt đầu tìm kiếm để bạn có thể chọn một giải pháp bổ sung cho khoản đầu tư bảo mật hiện tại của mình. Dưới đây là năm câu hỏi chính để hỏi các nhà cung cấp MDR khi bạn bắt đầu nghiên cứu:
Câu hỏi 1. Các nhà phân tích thuộc MDR sở hữu loại chuyên môn nào?
Giải pháp bạn chọn nên giới thiệu các kỹ năng mới và sự trưởng thành mà không yêu cầu bạn phải thuê thêm nhân viên. Tìm kiếm một nhà cung cấp sẵn sàng cung cấp chuyển giao kiến thức.
Câu hỏi 2. Dịch vụ MDR của bạn có quyền truy cập vào dữ liệu và hệ thống cần thiết và kịp thời để có hiệu lực không?
Hiệu quả của giải pháp MDR của bạn sẽ phụ thuộc rất nhiều vào khả năng truy cập vào độ rộng và chiều sâu của dữ liệu cần thiết để thực hiện công việc của mình và nó phải có dữ liệu đó trong thời gian thực. Giải pháp gốc trên đám mây rất có thể có quyền truy cập tốt nhất vào đúng dữ liệu.
Câu hỏi số 3. Làm cách nào để nhóm MDR của bạn cập nhật các mối đe dọa mới nhất nhắm mục tiêu vào các tổ chức?
Các nhà phân tích bảo mật chú ý nhiều hơn đến khả năng công nghệ của đối thủ. Họ nghiên cứu các yếu tố văn hóa, địa chính trị và ngôn ngữ để xây dựng sự hiểu biết đầy đủ nhất có thể về các kỹ thuật, chiến thuật và thủ tục hiện tại được sử dụng để nhắm mục tiêu vào các doanh nghiệp. Rất ít nếu có bất kỳ doanh nghiệp nào có nhân viên có những kỹ năng này, vì vậy hãy chọn nhà cung cấp MDR có.
Câu hỏi số 4. Nhà cung cấp MDR sẽ giao tiếp với nhóm của bạn như thế nào?
Tại một thời điểm nào đó, nhóm MDR sẽ chuyển giao quy trình làm việc của họ cho nhóm của bạn. Điều này nên được thực hiện thông qua một trung tâm liên lạc trung tâm, chẳng hạn như một ô duy nhất của bảng điều khiển bằng kính, để đảm bảo rằng không có điểm xung đột mới hoặc bất kỳ nhu cầu tìm hiểu hệ thống mới nào phát sinh. Việc chuyển giao sẽ diễn ra mà không làm chậm phản ứng của nhóm của bạn theo bất kỳ cách nào.
Câu hỏi số 5. Dịch vụ của bạn có hoạt động 24/7 không?
Phần lớn các tổ chức không bố trí nhân viên cho các hoạt động bảo mật của họ suốt ngày đêm. Bảo hiểm MDR sẽ hoạt động suốt ngày đêm, bởi vì trong khi các công dân tuân thủ luật pháp đang ngủ, thì những kẻ tấn công vẫn làm việc chăm chỉ.
