2 april 2024
Grant Paling
Product Manager Global Service Lines
In het kort; niet elk bedrijf heeft zijn eigen SOC en niet ieder bedrijf kijkt om dezelfde reden naar MDR-services, dus die vraag is niet zo eenvoudig te beantwoorden. Over het algemeen kijken bedrijven om enkele van de volgende redenen naar MDR:
Sommige bedrijven hebben hun eigen SOC en zijn heel blij met die oplossing. Het is evengoed mogelijk om een gelijkwaardige functie aan anderen te bieden om de redenen die we eerder noemden: tijd, vaardigheden, geld. Als we bijvoorbeeld naar kleine bedrijven kijken - en laten we eens kijken naar de Britse markt – dan liggen de gemiddelde kosten van een beveiligingsanalist ergens in de buurt van de £ 50.000 per jaar. Om 24/7 te kunnen draaien heb je minstens 5 of 6 analisten in ploegendienst nodig, dat is (zonder rekening te houden met rekrutering, training, secundaire arbeidsvoorwaarden, enz.) alleen al £ 250.000 - 300.000 per jaar. En dan moet je die mensen nog gaan zoeken. Daarbij hebben we nog geen rekening gehouden met de noodzakelijke tools die ze nodig hebben, de processen die moeten worden ontwikkeld en de tijd die nodig is om operationeel te worden.
Een MDR-provider heeft middelen. Ze hebben alleen een functie specifiek voor Managed Detection and Response (Beheerde detectie en respons) (vaak inclusief een team dat ook de MDR-tooling uit zal voeren, wat minder werk is voor bedrijven).
Let op: sommige niet-gespecialiseerde Managed Security Services generalisten (beheerde beveiligingsservices) (of zelfs Managed Services) (beheerde services) proberen op te schuiven richting Managed Detection and Response na het zien van de groeiende markt. Het is echter niet eenvoudig om een goede service te leveren op het gebied van MDR. Het is verre van een consumptieartikel, dus als je voor deze optie kiest, let dan op de ervaring en de focus die de MDR-aanbieder op de functie legt (en dus op jou als klant).
Analistenrapporten kunnen innovatieve hulpmiddelen zijn om je te helpen bij het kiezen van de beste MDR-provider voor jouw bedrijf. De nieuwste, Gartner's Market Guide for Managed Detection and Response Services, werd gepubliceerd in februari 2023 en vermeldt Orange Cyberdefense als vertegenwoordiger van MDR-services.
MDR-providers hebben veel klanten voor wie ze wereldwijde bedreigingen kunnen tackelen. Het is een uitdaging om dit opnieuw te creëren in een SOC die binnen één bedrijf wordt uitgevoerd. Het gaat er niet alleen om dat je over de gegevens beschikt, maar ook om te weten hoe je deze moet analyseren. Onderzoeks- en ontwikkelingsfuncties zijn cruciaal om het potentieel van dreigingsinformatie te ontsluiten.
Elke volwassen MDR-provider zal beschikken over 24/7-middelen en rond de klok bemand zijn met beveiligingsanalisten. Dit is een groot voordeel voor elk bedrijf, omdat de MDR-provider die 24/7-middelen over zijn klanten kan verdelen, waardoor de kosten van een dergelijke service dalen.
Blijf waakzaam en pas op voor providers die enkel automatisering inzetten of medewerkers in hun ploegen hebben die geen beveiligingsanalist zijn. Dit kan zorgen voor een inconsistente ervaring buiten de kantooruren.
Onze analyse zou niet eerlijk zijn als we ons alleen op de positieve kanten van MDR zouden richten. Bij elke dienst zijn er dingen die je als klant moet weten:
Een MDR-provider zal nooit hetzelfde diepgaande zakelijke inzicht hebben als... jij. En daarom is coördinatie tussen jouw MDR-provider en jouw personeel van cruciaal belang. Een juiste MDR-provider beschikt over toegewijde experts. Ze treden op in de hoedanigheid van technisch accountbeheerder of consultant om samen te werken met het beveiligings- en IT-team teneinde de zakelijke context in de service in te voegen en deze, in de loop van de tijd, keer op keer bij te werken.
Bovendien heeft een MDR-provider vaak niet hetzelfde toegangsniveau tot IT-systemen als intern personeel en kan het als zodanig mogelijk niet zo snel reageren op een incident als het interne team dat zou kunnen. Dit moet aan het begin van de samenwerking worden aangepakt en er zullen manieren gevonden moeten worden om de reactietijd in geval van een aanval te verkorten. Een voorbeeld is om op zijn minst de mogelijkheid te hebben om de MDR-medewerker de mogelijkheid te bieden om eindpunten te isoleren of accounts te vergrendelen die worden gebruikt om aanvallen uit te voeren (of om deze functie en de bijbehorende tools te gebruiken als onderdeel van de Service).
Zoals in elk bedrijf zijn niet alle MSSP's gelijk. Er zijn veel verschillende manieren om een Managed Detection and Response-service op te zetten. En het resultaat kan heel anders zijn. Sommige MSSP's bieden niet genoeg waarde. Ze sturen alleen waarschuwingen dat bedrijven nog steeds veel onderzoek naar zichzelf moeten doen waardoor ze als zodanig de last voor het bedrijf dat hen in dienst heeft genomen niet verlichten.
Sommige bedrijven zijn teleurgesteld in de Service en ontvangen alleen e-mails als deze: "Er is sprake van een kritieke waarschuwing op uw firewall, je dient dit verder te onderzoeken." Dit is maar een voorbeeld van het ergste soort MDR. Het positieve element is dat, naarmate de tijd verstrijkt en er meer partijen in de markt zijn, MDR-providers het beter zullen moeten doen en hun klanten een grotere diepgang en een breder scala aan diensten en resultaten moeten bieden.
Als we met klanten praten is een van de eerste dingen die ons meestal wordt gevraagd: ‘Wat kunnen we doen om ervoor te zorgen dat dit een succes wordt?’
MDR zal niet werken zonder samenwerking met de klant. Zonder samenwerking krijg je een service die niet op maat is gemaakt, die niet aantrekkelijk is en geen enkel probleem oplost. Het eerste dat je moet doen als je met MDR begint is dus nauw samenwerken met de MDR-provider. Onthoud: het enige dat je nooit uit moet besteden is een diepgaande kennis van jouw bedrijf, die heb jij alleen, en dat is wat jouw MDR-provider nodig heeft.
De volgende stap is om goed te kijken waar je moet beginnen. Veel bedrijven vragen nog steeds om een traditionele, beheerde SOC/ SIEM-combinatie (SIEM: Security information and event management; Beveiligingsinformatie en gebeurtenisbeheer). Vroeger was dit een natuurlijke combinatie - als je een proactieve beveiligingsanalyse van gebeurtenissen uit jouw IT-omgeving wilt heb je een SIEM en een SOC-team nodig om het te beheren. Dit is niet langer het geval. Door de SOC Nuclear Triad als concept te introduceren, deelde Gartner het nieuwe idee (in 2015) dat SIEM niet meer voldoende was om volledige zichtbaarheid en volwassenheid in beveiligingsoperaties te bereiken. Recenter is dit idee niet alleen verder ontwikkeld maar is ook een concept ontstaan waarbij SIEM soms niet eens het uitgangspunt is.
Als we bijvoorbeeld teruggaan naar COVID-19 en het risicoprofiel voor de meeste bedrijven op dit moment, dan is het beveiligen van het eindpunt erg belangrijk. Dus Endpoint Detection and Response-oplossingen (EDR), met MDR-services, worden veel aantrekkelijker (vooral gezien hun time-to-deployment/time-to-value (benodigde tijd tot het ingezet kan worden/benodigde tijd tot het van waarde is) in vergelijking met SIEM). We zien ook een toename in netwerkdetectie en respons - je zou kunnen zeggen dat het een moderne versie van inbraakdetectiesystemen is - als reactie op meer diverse, door cloud computing aangedreven netwerken.
Nadat we onze services zo ver hebben ontwikkeld dat we alle drie deze opties aan kunnen bieden - afzonderlijk of krachtiger, samen als een volledige MDR-oplossing - heeft Orange Cyberdefense het eigen Threat Detection Framework (Framework voor bedreigingsdetectie) ontwikkeld om klanten te helpen visualiseren hoe de verschillende serviceopties eruitzien.
Expliciet gemodelleerd naar hun eigen specifieke omgeving en het type gegevens dat ze ons kunnen geven, werken we samen met klanten om de zichtbaarheid van doelen in de kritieke fasen van de cyber killchain vast te stellen en kijken we naar manieren om hen te helpen deze te beveiligen.
Dit framework heeft tot doel:
Het framework is ontwikkeld en actief gebruikt door onze 14 CyberSOC's die wereldwijd worden gedistribueerd, en verkoop- en servicesupport hebben in 160 landen. We bieden wereldwijde bescherming met lokale expertise.
Grant Paling
Product Manager Global Service Lines
Grant is verantwoordelijk voor het ontwikkelen en beheren van producten en diensten die onze klanten beschermen tegen cyberdreigingen. Grant heeft een trackrecord van voortdurende groei en aanpassing aan de evoluerende eisen van de sector.
Detectie en response vereist tijd, vaardigheden, resources en investering. Als je een idee wilt krijgen van wat de beste optie is voor jouw organisatie, probeer dan onze Managed Detection and Response Buyer’s Guide.
Probeer onze MDR Buyer's Guide!