O que é Detecção e Resposta Gerenciada?
A Detecção e Resposta Gerenciada (MDR - Managed Discovery and Response) é um serviço que usa tecnologias de segurança endpoint, baseadas em rede e baseadas em host. Essas tecnologias são gerenciadas por um provedor terceirizado e configuradas pelo cliente. Os provedores normalmente distribuem tecnologia de segurança para organizações de clientes, implantando-a localmente e fornecendo automação e serviços de suporte remotamente.
O MDR melhora a segurança da rede e do endpoint, detectando ameaças e respondendo a elas com mais rapidez e eficácia do que a organização poderia ter feito com recursos internos. É ideal para empresas que não possuem uma equipe dedicada à resposta de incidentes. Os clientes também podem aproveitar os especialistas em segurança do provedor de MDR para complementar e melhorar as habilidades de segurança internas existentes.
O MDR está se tornando um modelo popular devido à escassez global de habilidades em segurança cibernética, o que torna difícil para as empresas preencherem funções de segurança internas.
Veja mais detalhes sobre a Detecção e Resposta Gerenciada a seguir.
A ascensão das soluções MDR
Muitas organizações estão descobrindo que os provedores de serviços gerenciados de segurança tradicionais (MSSPs) não são suficientes para proteger contra as ameaças cibernéticas de hoje. Os MSSPs oferecem alertas básicos, transmitindo ameaças ao cliente, sem fornecer a priorização e o contexto necessários para lidar com elas de maneira eficaz.
O MDR, por outro lado, fornece uma solução mais focada que promete detectar e erradicar ameaças. Ele fornece soluções tecnológicas que podem ajudar a alcançar isso, como orquestração de segurança, detecção e resposta de endpoint (EDR) e recursos de Threat Hunting.
De acordo com o Gartner, em 2024, 25% das organizações usarão serviços MDR e 40% das empresas de médio porte terão o MDR como seu único serviço de segurança gerenciado.
Quais desafios o MDR resolve?
Aqui estão alguns desafios enfrentados pelas organizações de segurança, que os serviços de MDR podem ajudar a resolver:
Restrições de mão de obra - o setor de segurança cibernética enfrenta uma grave escassez de talentos. Isso torna difícil para as organizações cumprirem funções críticas de segurança internamente. O MDR permite que as organizações cubram essa lacuna usando especialistas externos em segurança e, no caso de organizações menores, adicionando experiência em segurança a uma pequena equipe.
Acesso limitado à experiência - funcionários especializados com experiência em áreas como resposta a incidentes, caça a ameaças ou segurança na nuvem, são ainda mais difíceis de encontrar devido à escassez de habilidades. Com o MDR, uma organização recebe acesso imediato à experiência em segurança cibernética com várias especialidades, sem a necessidade de reter esses talentos internamente.
Lidando com ameaças persistentes avançadas (APT) - as APTs são grupos cibercriminosos com ferramentas e técnicas avançadas que, em muitos casos, os tornam indetectáveis pelas soluções de segurança cibernética existentes. O MDR dá à organização acesso a ferramentas de segurança igualmente avançadas e expertise de caça a ameaças, que podem ajudar a detectar e se recuperar dessas ameaças.
Reduzindo o tempo de permanência - muitos incidentes de segurança de rede permanecem sem detecção por um período significativo de tempo, aumentando os danos e impactando a organização visada. Muitos provedores de MDR oferecem acordos de nível de serviço (SLAs) que podem garantir que os incidentes sejam tratados rapidamente, minimizando custos e danos devido a violações cibernéticas.
Economia de tempo - construir um programa de segurança cibernética eficaz pode ser caro e demorado, devido à necessidade de implementar ferramentas, contratar pessoal e construir uma estrutura operacional. O MDR permite que as organizações implantem rapidamente um programa de segurança completo com detecção de ameaças 24 horas por dia, 7 dias por semana e com recursos de resposta.
Economia de custos - como os clientes MDR compartilham muitos dos custos entre a base de clientes do provedor de MDR, eles reduzem o custo total da posse (TCO) da segurança cibernética. Em muitos cenários, os provedores de MDR são mais baratos do que configurar uma operação de segurança interna.
Como funciona a segurança MDR?
Os serviços MDR podem monitorar, detectar e responder remotamente às ameaças detectadas em uma organização. Os provedores de MDR normalmente usam ferramentas de detecção e resposta de endpoint (EDR) para obter visibilidade dos incidentes de segurança de endpoint.
Dados relevantes de inteligência de ameaças e dados forenses são repassados para analistas humanos empregados pelo provedor de MDR. Os analistas classificam os alertas, determinam as respostas apropriadas e reduzem o impacto e o risco de incidentes de segurança. Finalmente, combinando o trabalho de especialistas em segurança humana e ferramentas automatizadas, o provedor de MDR remove a ameaça e restaura os endpoints infectados ao seu estado anterior à infecção.
Abaixo, entraremos em mais detalhes sobre os principais recursos de um serviço MDR.
Priorização
O MDR pode ajudar as organizações a priorizar questões de segurança, analisando um grande número de alertas, muito mais do que os que podem ser gerenciados internamente de maneira viável. Eles usam regras, análise comportamental e revisão manual para remover falsos positivos e identificar ameaças reais. Os sistemas MDR, incluindo EDR e plataformas de inteligência de ameaças, são usados para adicionar contexto aos alertas e são disseminados como um feed de alerta de alta qualidade.
Threat Hunting
Ameaças avançadas têm maneiras sofisticadas de escapar dos controles de segurança. É necessária uma análise humana para correlacionar elementos e eventos de uma forma que os sistemas automatizados não conseguem fazer. Os MDRs empregam caçadores de ameaças humanas com extensas habilidades e experiência, que podem identificar até mesmo as ameaças mais ocultas e evasivas, para compensar o que as ferramentas de segurança automatizadas deixam passar.
Investigação
Os serviços de investigação gerenciada podem ajudar as organizações a compreender melhor as ameaças, aprimorando os alertas de segurança com informações adicionais. As organizações têm um melhor entendimento do que aconteceu, quando aconteceu, quem foi afetado e até onde o invasor foi. Você pode usar essas informações para planejar uma resposta eficaz, notificar as partes interessadas e compreender as implicações de conformidade.
Resposta Guiada
A resposta guiada fornece recomendações acionáveis sobre como controlar e lidar com ameaças específicas após a ocorrência de uma violação. As organizações são incentivadas a realizar atividades básicas, como remover ameaças de sistemas afetados, isolar sistemas da rede e recuperar-se gradualmente de ataques.
Remediação
Depois de um incidente de segurança confirmado, a etapa final é a recuperação. Se esta etapa não for realizada corretamente, as etapas anteriores podem se tornar inúteis. A correção gerenciada restaura o sistema ao estado anterior ao ataque por meio da exclusão de malware, limpeza do registro, remoção de intrusos e exclusão de mecanismos de persistência - fazendo isso em todos os endpoints afetados. A recuperação gerenciada restaura a rede a uma condição conhecida e evita mais danos.
MDR vs. MSSP
MDR é uma nova versão de um modelo de segurança conhecido como Managed Security Service Provider (MSSP). MDR e MSSPs executam as mesmas funções gerais - fornecendo serviços de segurança cibernética remotamente. No entanto, existem algumas diferenças importantes entre o serviço MDR e o MSSP tradicional.
Formato de log - os MSSPs geralmente podem lidar com uma variedade de logs de eventos e contextos. Por outro lado, o MDR usa principalmente logs fornecidos pela plataforma EDR.
Formato de serviço - os MSSPs lidam com a comunicação com provedores por meio de portais online e um sistema de tíquetes. A MDR possui uma equipe de especialistas que pode ser contatada em tempo real por meio de vários canais, que podem incluir telefone e videoconferências.
Métodos de detecção - o MDR pode aplicar análises mais detalhadas a alertas para detectar novas ameaças. Os MSSPs estão menos envolvidos em análises e normalmente usam um sistema baseado em regras para se concentrar em ameaças conhecidas e frequentes.
Visibilidade da rede - o MDR pode detectar eventos e movimentos dentro da rede corporativa, enquanto o MSSP se concentra principalmente nas violações do perímetro da rede.
Threat hunting - os MSSPs normalmente não fornecem serviços de caça a ameaças ativas, enquanto os MDRs o fazem, aproveitando sua infraestrutura de segurança de endpoint.
Detecção e resposta gerenciadas com a Cynet
A Cynet 360 é uma plataforma autônoma de proteção contra violação que funciona em três níveis, fornecendo XDR, automação de resposta e MDR 24 horas por dia, 7 dias por semana, em uma solução unificada. A Cynet integra nativamente esses três serviços em uma plataforma de proteção contra violação totalmente automatizada de ponta a ponta.
As tecnologias inteligentes da Cynet podem ajudá-lo a detectar ataques correlacionando informações de endpoints, análise de rede e análise comportamental com quase nenhum falso positivo.
Com a Cynet, você pode monitorar proativamente ambientes internos inteiros, incluindo endpoints, rede, arquivos e hosts. Isso pode ajudá-lo a reduzir as attack surfaces e a probabilidade de vários ataques.
A Cynet fornece monitoramento e supervisão de especialistas, que inclui os seguintes recursos:
Monitoramento de alertas - Primeira linha de defesa contra alertas recebidos, priorizando e notificando o cliente sobre eventos críticos
Investigação de ataque - relatórios de análise detalhada sobre os ataques que visaram o cliente
Caça proativa de ameaças - Procura de artefatos maliciosos e IoC no ambiente do cliente
Orientação de resposta a incidentes - Assistência remota em isolamento e remoção de infraestruturas, presenças e atividades maliciosas.
A Maximize é parceira da Cynet no Brasil e está pronta para te fornecer a única solução XDR, SOAR e MDR integrada do mundo. Entre em contato conosco.