Detecção e resposta gerenciada (MDR)

Os serviços de detecção e resposta gerenciada (MDR) são uma coleção de tecnologias de segurança cibernética baseadas em rede, host e endpoint que um provedor terceirizado gerencia para uma organização cliente. O provedor normalmente instala tecnologia nas instalações da organização cliente e fornece serviços adicionais externos e automatizados através de software.

MDRs melhoram a segurança cibernética ao pesquisar ameaças e responder a elas uma vez detectadas. Eles também permitem que os usuários se conectem com os especialistas em segurança do provedor, que podem ajudar a reforçar as habilidades de segurança do departamento de TI da empresa cliente. Isso os torna ideais para empresas que não possuem uma equipe de detecção de ameaças designada internamente.

Os serviços de detecção e resposta gerenciada estão crescendo em popularidade, em parte devido à crescente lacuna de habilidades em segurança cibernética. Gartner previu em 2018 que 15% das empresas de médio e grande porte usariam serviços MDR em 2020, em comparação com o 1% que os usou em 2018.

Que problemas a MDR resolve?

Os serviços de MDR desempenham um papel ativo na melhoria da estratégia de segurança da informação de uma empresa. Eles lidam com detecção de ameaças, resposta a incidentes, monitoramento contínuo e análise de ativos de TI.

Os serviços MDR abordam essas tarefas de uma forma que mitiga problemas comuns que os departamentos de TI modernos normalmente enfrentam, como:

  • Alto volume de alertas -- os MDRs podem ajudar as empresas a gerenciar o enorme volume de alertas de segurança cibernética que devem ser verificados individualmente. Alertas demais podem sobrecarregar equipes de segurança menores e fazê-las negligenciar outras responsabilidades.
  • Análise de ameaças -- Muitos alertas não se apresentam imediatamente como uma ameaça e requerem uma análise completa para determinar seu status. Os serviços MDR fornecem ferramentas analíticas avançadas e acesso a especialistas em segurança para ajudar com isso, interpretando eventos e fornecendo recomendações para melhorias.
  • Skills shortage -- A CIA estimou recentemente que até 2022 haverá uma lacuna de 1,8 milhões de funcionários de segurança. A Symantec também descobriu que quatro em cada cinco profissionais de segurança pesquisados sentem-se queimados e em um estado de sobrecarga crônica. Os serviços MDR podem mitigar isso fornecendo acesso à sua equipe de especialistas, que normalmente trabalham 24 horas por dia, 7 dias por semana para monitorar uma rede e estar disponíveis para consulta.li>Endpoint detection and response (EDR) -- As empresas podem não ter fundos, tempo ou habilidades para treinar os funcionários para as ferramentas EDR. Os serviços MDR vêm com ferramentas EDR e as integram nos processos de detecção, análise e resposta, eliminando a necessidade de segurança de endpoints internos extensivos.

As com muitos modelos X-as-a-service (XaaS) que terceirizam processos de TI modernos, as corporações negociam algum controle para maior conveniência e preços mais flexíveis. Os serviços MDR têm algumas desvantagens quando comparados com produtos de segurança gerenciados mais antigos e dependendo do uso que o cliente pretende dar aos serviços. No entanto, seu principal benefício é que eles são exclusivamente adaptados aos problemas atuais e emergentes enfrentados pelas empresas de TI hoje.

MDR vs. segurança gerenciada clássica

Both MDR e produtos de segurança gerenciada clássica desempenham a mesma função geral; auxiliando externamente empresas com ciber-segurança. Entretanto, existem algumas diferenças principais entre os serviços MDR e os serviços de segurança gerenciada clássicos, incluindo:

  • Compliance -- os serviços de segurança gerenciada clássicos, às vezes chamados de provedores de serviços de segurança gerenciada (MSSPs), são tipicamente focados muito mais em relatórios de conformidade e ajudar as empresas a cumprir os requisitos de conformidade. Os serviços MDR raramente se concentram nisto.
  • Formato de log -- os MSSPs são geralmente capazes de trabalhar com uma maior variedade de logs de eventos e contextos. Os MDRs, por outro lado, usam principalmente apenas os logs que vêm com suas ferramentas.
  • Interacção humana -- Os MSSPs lidam com qualquer comunicação com o fornecedor através de portais e emails online. Os MDRs têm equipes de especialistas -- às vezes referidos como um centro de operações de segurança (SOC) -- que pode ser alcançado através de múltiplos canais em tempo real.
  • Métodos de detecção -- Devido ao componente humano que os MDRs oferecem, eles podem aplicar análises mais profundas para alertas e detectar novas ameaças. Os MSSPs estão menos envolvidos na análise e, portanto, focam mais em ameaças conhecidas e que ocorrem frequentemente usando um sistema baseado em regras.
  • Visibilidade da rede -- os MDRs podem detectar eventos e movimentos dentro de uma rede cliente, enquanto os MSSPs focam principalmente no perímetro.

Cada opção tem seus pontos fortes e fracos. Os MSSPs são bons para gerenciar tecnologias de segurança fundamentais como firewalls e realizar tarefas de segurança do dia-a-dia. MDRs são serviços mais especializados projetados para lidar com redes modernas complexas e as novas vulnerabilidades que elas apresentam.

As empresas podem usar ambos os produtos em conjunto para maximizar os benefícios de cada um.

Características comuns nas ofertas MDR

MDRs são relativamente novos, e por isso cada empresa difere um pouco no que eles fornecem em suas ofertas MDR. Os fornecedores normalmente se concentrarão em tecnologias baseadas em redes, pontos finais ou log. Um MDR baseado em rede se concentraria em ameaças em um firewall, enquanto um produto baseado em endpoint funcionaria com software antimalware.

Independentemente do nível de rede em que o serviço funciona, ele une relatórios de várias tecnologias nesse nível para realizar essas funções:

  • Detecção de ameaças, em que o SOC monitora continuamente os dados e prioriza os alertas para análise.
  • Análise de ameaças, na qual o pessoal do SOC se apura as ameaças potenciais e determina a fonte e o escopo da ameaça.
  • Resposta a ameaças, na qual o provedor notifica o cliente sobre um incidente e oferece suas recomendações de análise para resolver o problema.

A etapa com a maior variação entre provedores é a etapa de resposta. Cada provedor decide o ponto em que seu trabalho termina, e o cliente assume o problema. Some providers might also offer additional features for a price, like on-premises expert consultation or additional on-premises hardware.

When choosing a provider, customers should consider:

  • The size of their organization.
  • The skill level and size of security teams.
  • The technology they already have.
  • The compliance regulations they must adhere to.