Τι είναι η υπηρεσία MDR

και γιατί είναι τόσο σημαντική!

Είναι γεγονός ότι η τεχνολογία, όσο προηγμένη και αν είναι, δεν γίνεται να σταματήσει κάθε επίθεση. Σήμερα, πολλές, καλά χρηματοδοτούμενες -ακόμα και από κράτη- ομάδες χάκερ εκμεταλλεύονται κλεμμένα διαπιστευτήρια, λανθασμένες ρυθμίσεις σουίτες προϊόντων κυβερνοασφαλείας και νόμιμων εργαλείων πληροφορικής για να παρακάμψουν τις σημερινές τεχνολογίες άμυνας ενώ ταυτόχρονα καινοτομούν και βιομηχανοποιούν συνεχώς τις προσεγγίσεις τους.

Ο μόνος τρόπος για τον αξιόπιστο εντοπισμό και την εξουδετέρωση των αποφασισμένων επιτιθέμενων είναι η 24/7 παρακολούθηση της υποδομής σας από επαγγελματίες επιχειρήσεων ασφαλείας. Για τους περισσότερους οργανισμούς ωστόσο, ακόμα και αν διαθέτουν καλά καταρτισμένα εσωτερικά τμήματα ασφάλειας πληροφορικής, τέτοια 24ωρη κάλυψη από ειδικούς δεν αποτελεί ρεαλιστική ή βιώσιμη επιλογή. Ως εκ τούτου, οι περισσότερες εταιρείες απευθύνονται όλο και συχνότερα σε εξειδικευμένους παρόχους υπηρεσιών απομακρυσμένου εντοπισμού και αντιμετώπισης περιστατικών «Managed Detection & Response (MDR)» για υποστήριξη.

Τι προσφέρουν οι υπηρεσίες MDR;

Οι παροχές των υπηρεσιών MDR ποικίλουν, ωστόσο τυπικά συμπεριλαμβάνουν:

Παρακολούθηση και αντιμετώπιση περιστατικών με τη βοήθεια ειδικών 24 ώρες το 24ωρο, 7 ημέρες την εβδομάδα
Καταδίωξη απειλών (χειροκίνητος εντοπισμός απειλών) υπό την καθοδήγηση εμπειρογνωμόνων.
Περιορισμός απειλών: οι επιθέσεις διακόπτονται, αποτρέποντας την εξάπλωση τους.
Αντιμετώπιση περιστατικών σε πλήρη κλίμακα: ολοκληρωτική εξάλειψη των απειλών.
Ανάλυση της κύριας αιτίας: για την αποτροπή μελλοντικής επανάληψης
Έλεγχοι υγείας για να διασφαλιστεί μία ισχυρή στάση ασφαλείας
Εβδομαδιαίες και μηνιαίες αναφορές

Πως λειτουργούν οι υπηρεσίες MDR;

Υπάρχουν έξι κύρια επίπεδα στη διαδικασία απομακρυσμένου εντοπισμού και ανταπόκρισης σε περιστατικά ασφαλείας:

Συλλογή – Η τηλεμετρία ασφαλείας συλλέγεται από το σύνολο του οικοσυστήματος πληροφορικής: τερματικές συσκευές, τείχος προστασίας, δίκτυο, νέφος (cloud), ηλεκτρονικό ταχυδρομείο και λύσεις ταυτότητας. Όσο περισσότερα δεδομένα είναι στη διάθεση των αναλυτών, τόσο ταχύτερα μπορούν να ανταποκριθούν.
Εντοπισμός απειλών – Στα δεδομένα προστίθενται πληροφορίες απειλών και το σχετικό επιχειρηματικό πλαίσιο για την παροχή μίας περισσότερο ολοκληρωμένης εικόνας. Τα σχετικά συμβάντα ασφαλείας ομαδοποιούνται και κατηγοριοποιούνται για πλήρη και αποτελεσματική διερεύνηση.
Καταδίωξη απειλών – Οι άρτια εκπαιδευμένοι αναλυτές εντοπίζουν προληπτικά απειλές που παρακάμπτουν τα προϊόντα ασφαλείας. Αναζητούν τακτικές, τεχνικές και διαδικασίες (TTP) οι οποίες χρησιμοποιούνται τακτικά από κυβερνοεγκληματίες καθώς και απειλές που ενδέχεται να έχουν την ικανότητα να παρακάμπτουν διάφορα εργαλεία ασφαλείας.
Διερεύνηση – Οι αναλυτές καθορίζουν το εύρος και τη σοβαρότητα της απειλής και προσδιορίζουν τα επόμενα βήματα.
Αποκατάσταση – Οι αναλυτές διακόπτουν την επίθεση για να αποτρέψουν την εξάπλωση της, απομακρύνοντας το κακόβουλο λογισμικό και απομονώνοντας τα επηρεαζόμενα συστήματα.
Εξουδετέρωση – Οι αναλυτές προχωρούν στην ανάλυση της κύριας αιτίας για την πλήρη εξουδετέρωση του επιτιθέμενου και την αποτροπή της επανάληψης ενός τέτοιου περιστατικού.

Ποιος μπορεί να αξιοποιήσει μία υπηρεσία σαν το Managed Detection and Response;

Όλοι οι τύποι οργανισμών σε όλους τους τομείς μπορούν να αξιοποιήσουν τις υπηρεσίες MDR, από μικρές εταιρείες με περιορισμένους πόρους πληροφορικής έως μεγάλες επιχειρήσεις με εσωτερική ομάδα και κέντρο επιχειρήσεων ασφαλείας (SOC).

Το πραγματικό ερώτημα είναι άλλο:

πως μπορούν να λειτουργήσουν οι οργανισμοί σε συνδυασμό με τις υπηρεσίες MDR;

Η απάντηση βρίσκεται στα τρία βασικά μοντέλα ανταπόκρισης MDR που υπάρχουν:

Η ομάδα MDR διαχειρίζεται πλήρως την αντιμετώπιση απειλών για λογαριασμό του πελάτη
Η ομάδα MDR συνεργάζεται με την εσωτερική ομάδα, συνδιαχειριζόμενη την αντιμετώπιση απειλών
Η ομάδα MDR ειδοποιεί την εσωτερική ομάδα και παρέχει οδηγίες αποκατάστασης

Καθώς κάθε οργανισμός είναι διαφορετικός, υπάρχει δυνατότητα επιλογής του μοντέλου ανταπόκρισης MDR που ταιριάζει καλύτερα στις ιδιαίτερες ανάγκες του.

Ποιοι είναι οι κύριοι τύποι παρόχων υπηρεσιών MDR;

Υπάρχουν τρεις κύριοι τύποι παρόχων υπηρεσιών MDR:

Φέρτε τη δική σας τεχνολογία – Τέτοιοι πάροχοι (bring your own technology) συλλέγουν πληροφορίες ασφαλείας από πολλαπλές πηγές, αλλά συνήθως παρέχουν μόνο ειδοποιήσεις και δεν αναλαμβάνουν δράση- επιπλέον, είναι περιορισμένοι ως προς το βάθος και την ταχύτητα της εσωτερικής πληροφόρησης τους.
Ένας πάροχος ή προμηθευτής για όλα – Η δεύτερη κατηγορία αποτελείται από προμηθευτές που παρέχουν υπηρεσίες MDR για τα δικά τους προϊόντα ασφαλείας- σε αυτή τη περίπτωση, τα τεχνολογικά εργαλεία και η υπηρεσία MDR είναι ενσωματωμένα ωστόσο απαιτούν από τον πελάτη να καταργήσει και να αντικαταστήσει τα υπάρχοντα εργαλεία κυβερνοασφάλειας στην υποδομή του. Επιπλέον, περιορίζονται σε δράσεις και ενέργειες που μπορούν να πραγματοποιηθούν μόνο από τα δικά τους προϊόντα.
Πλήρους ευελιξίας – Οι πάροχοι που προσφέρουν πλήρη ευελιξία συνδυάζουν τα πλεονεκτήματα και των δύο προσεγγίσεων. Μπορούν να χρησιμοποιήσουν οποιονδήποτε συνδυασμό των υφιστάμενων προϊόντων ασφαλείας σας (αφαιρώντας την ανάγκη να καταργήσετε και να αντικαταστήσετε οτιδήποτε) και του δικού τους προϊόντος ασφαλείας (παρέχοντας δυνατότητες βαθιάς ανταπόκρισης).

Ποια είναι τα οφέλη μίας υπηρεσίας MDR;

Ανώτερη κυβερνοάμυνα – Ένα από τα σημαντικότερα πλεονεκτήματα της χρήσης ενός παρόχου MDR έναντι των αποκλειστικά εσωτερικών προγραμμάτων επιχειρήσεων ασφαλείας είναι η αυξημένη προστασία από το ransomware και άλλες προηγμένες κυβερνοαπειλές. Με μία υπηρεσία MDR μπορείτε να επωφεληθείτε του εύρους και του βάθους της εμπειρίας των αναλυτών του παρόχου υπηρεσιών και προϊόντων κυβερνοασφαλείας. Ένας πάροχος MDR έχει βιώσει και αντιμετωπίσει πολύ μεγαλύτερο όγκο και ποικιλία επιθέσεων από οποιονδήποτε μεμονωμένο οργανισμό, γεγονός που του δίνει ένα επίπεδο εμπειρογνωμοσύνης που είναι σχεδόν αδύνατο να αναπαραχθεί από οποιαδήποτε εταιρεία εσωτερικά.
Απελευθέρωση πόρων από το τμήμα IT – Ο εντοπισμός και η αντιμετώπιση απειλών αποτελεί μία χρονοβόρα και απρόβλεπτη εργασία. Η επείγουσα φύση αυτής της εργασίας μπορεί να εμποδίσει τις εσωτερικές ομάδες να επικεντρωθούν σε πιο στρατηγικές – και συχνά πιο ενδιαφέρουσες – προκλήσεις. Η συνεργασία με μια υπηρεσία MDR σας επιτρέπει να απελευθερώσετε πόρους από το τμήμα ΙΤ για την υποστήριξη πρωτοβουλιών που σχετίζονται με άλλους βασικούς τομείς της επιχείρησης.
Έχετε ήσυχο το κεφάλι σας, 24 ώρες το 24ωρο – Μία κυβερνοεπίθεση μπορεί να πραγματοποιηθεί ανά πάσα στιγμή. Οι αντίπαλοι επιτιθέμενοι συνήθως είναι πιο δραστήριο τις ώρες που η εσωτερική ομάδα πληροφορικής/ κυβερνοασφαλείας σας είναι πιθανότερο να είναι εκτός σύνδεσης και εκτός του χώρου εργασίας, όπως τα απογεύματα και τα βράδια, τα Σαββατοκύριακα ή τις περιόδους των διακοπών. Κατά συνέπεια, ο εντοπισμός και η αντιμετώπιση απειλών είναι ένα έργο που πρέπει να εκτελείται διαρκώς, 24 ώρες το 24ωρο, 7 ημέρες την εβδομάδα, 365 ημέρες τον χρόνο: αν εκτελείται μόνο τις εργάσιμες ώρες, αφήνετε την επιχείρησή σας εκτεθειμένη. Παρέχοντας κάλυψη 24/7, οι υπηρεσίες MDR εξασφαλίζουν εμπιστοσύνη και ψυχική ηρεμία. Και αυτό, για τις εσωτερικές ομάδες πληροφορικής/κυβερνοασφαλείας, σημαίνει ότι μπορούν κυριολεκτικά να κοιμούνται ήσυχες τα βράδια. Μπορούν να χαλαρώσουν γνωρίζοντας ότι το βάρος της ασφάλειας του οργανισμού πέφτει στους ώμους του παρόχου MDR – και όχι σε εκείνους – με αποτέλεσμα να μπορούν να αξιοποιήσουν στο έπακρο τον προσωπικό τους χρόνο. Για τα υψηλόβαθμα στελέχη και τους πελάτες, η κάλυψη από ειδικούς 24 ώρες το 24ωρο και το υψηλό επίπεδο ετοιμότητας ανά πάσα στιγμή παρέχει ισχυρές διαβεβαιώσεις ότι τα δεδομένα τους και ο ίδιος ο οργανισμός τους προστατεύονται επαρκώς.
Προσθέστε τεχνογνωσία, όχι υπαλλήλους – Η ανίχνευση και αντιμετώπιση απειλών είναι μια εξαιρετικά περίπλοκη διαδικασία. Τα άτομα που δραστηριοποιούνται στον συγκεκριμένο τομέα πρέπει να κατέχουν ένα συγκεκριμένο και εξειδικευμένο σύνολο δεξιοτήτων. Αυτός ο σπάνιος συνδυασμός δεξιοτήτων και εμπειρίας, σε συνδυασμό με την αξιοσημείωτη έλλειψη τεχνικής κατάρτισης καθιστά τη πρόσληψη αναλυτών με εμπειρία στην ανάλυση και την αντιμετώπιση απειλών ένα εξαιρετικά δύσκολο -ή ακατόρθωτο- για πολλούς οργανισμούς έργο. Οι υπηρεσίες MDR παρέχουν την απαραίτητη τεχνογνωσία δίνοντας την ικανότητα στους οργανισμούς να επεκτείνουν τις δυνατότητες των επιχειρήσεων ασφαλείας τους χωρίς να αυξήσουν τον αριθμό των υπαλλήλων τους.
Βελτιώστε την απόδοση της επένδυσης σας στην κυβερνοασφάλεια – Η διατήρηση μίας ομάδας καταδίωξης απειλών επί 24ώρου βάσεως είναι ιδιαίτερα δαπανηρή. Για ολοκληρωμένη 24ωρη κάλυψη, απαιτείται μία ομάδα κυβερνοασφαλείας που αποτελείται από τουλάχιστον 5 ή 6 άτομα να εργάζονται σε βάρδιες. Αξιοποιώντας οικονομίες κλίμακας, οι υπηρεσίες MDR παρέχουν έναν οικονομικά βιώσιμο και αποδοτικό τρόπο για να ασφαλίσετε τον οργανισμό σας χωρίς να αυξήσετε δραματικά τον προϋπολογισμό σας για την κυβερνοασφάλεια.

Επιπλέον, αυξάνοντας την προστασία σας, οι υπηρεσίες MDR μειώνουν σημαντικά τον κίνδυνο να πέσετε θύματα μίας δαπανηρής παραβίασης δεδομένων και να αποφύγετε τον οικονομικό πόνο που συνεπάγεται ένα σημαντικό περιστατικό. Με το μέσο κόστος αποκατάστασης μιας επίθεσης ransomware να ανέρχεται σε $1,4 εκατομμύρια το 2021 για μία μεσαίου μεγέθους επιχείρηση, η επένδυση στην πρόληψη είναι μια σοφή, και από οικονομικής άποψης, απόφαση. Επιλέγοντας μία προσφορά που ενσωματώνεται με την τρέχουσα τεχνολογική στοίβα ασφαλείας σας μπορείτε να αυξήσετε την απόδοση της υφιστάμενης επένδυσής σας. Επιπλέον, οι υπηρεσίες MDR δίνουν τη δυνατότητα στους οργανισμούς να ικανοποιήσουν τους ελέγχους ασφαλείας που αποτελούν κλειδιά για την ασφαλιστική ικανότητα τους (είναι πιθανότερο να αποκτήσετε ασφαλιστική κάλυψη, αν έχετε αυτό το σημαντικό πλεονέκτημα), τα μεγαλύτερα ασφάλιστρα και τα καλύτερα προγράμματα κάλυψης.

Πως συγκρίνεται το MDR με τα Endpoint Detection & Response (EDR) και Extended Detection & Response (XDR);

Το MDR δεν πρέπει να συγχέεται με το EDR (Εντοπισμός και Αντιμετώπιση απειλών Τερματικών συσκευών) και το XDR (Εκτεταμένος Εντοπισμός και Αντιμετώπιση απειλών). Την ώρα που τα MDR, EDR και XDR υποστηρίζουν και επιτρέπουν την ανίχνευση και την αντιμετώπιση απειλών, τα EDR και XDR αποτελούν εργαλεία που επιτρέπουν στους αναλυτές να καταδιώκουν απειλές και να διερευνούν πιθανές παραβιάσεις- το MDR είναι μια υπηρεσία όπου οι αναλυτές ενός προμηθευτή ασφάλειας καταδιώκουν, διερευνούν και εξουδετερώνουν απειλές για λογαριασμό σας.

Όπως υποδηλώνουν και οι ονομασίες τους, τα εργαλεία EDR λειτουργούν με τηλεμετρία από την τεχνολογία προστασίας τερματικών συσκευών (endpoint) ενώ τα εργαλεία XDR επεκτείνουν τις πηγές δεδομένων τους σε μια ευρεία στοίβα ΙΤ (συμπεριλαμβανομένων λύσεων ασφαλείας τείχους προστασίας, ηλεκτρονικού ταχυδρομείου, νέφους, δικτύου, ταυτότητας και φορητών συσκευών) για να παρέχουν καλύτερη ορατότητα και πληροφόρηση.

Στη Sophos χρησιμοποιούμε κορυφαίες λύσεις EDR και XDR για την παροχή της υπηρεσίας MDR μας.

Sophos 2024 State of Ransomware Report

Πόσο πιθανό είναι να πληγείτε από το ransomware;

Πόσοι από τους υπολογιστές σας θα επηρεαστούν;

Βρείτε τις απαντήσεις και πολλά άλλα στην έκθεση Sophos 2024 State of Ransomware Report.