1. Blogg
  2. Managed Detection & Response
  3. Alt du trenger å vite om MDR-tjenester

Alt du trenger å vite om MDR-tjenester

Våre kunder sine mest stilte spørsmål om Managed Detection and Response-tjenester.

Hvilke selskaper trenger MDR-tjenester?

Det korte svaret er selskap som ikke har sin egen SOC (Security Operation Center). Det er allikevel ikke alle som vurderer MDR-tjenester med dette grunnlaget som base, og derfor er det ikke et enkelt svar. Samlet sett er de viktigste årsakene til at selskap vurderer MDR noen av de følgende punktene:

  • De har ikke et dedikert Cyber security team og vil outsource sikkerhetsovervåking til en tredjepart som er spesialisert på dette feltet.
  • De har et begrenset antall som jobber i driftsteamet, og ved å bruke en MDR-leverandør vil de sikre at teamet forblir mer fokusert på den daglige tjenesteproduksjon, enn hvis de også må håndtere det meste av Cyber security frontlinjens arbeidsmengde.
  • De har et Cyber security team og kan -eller gjør kanskje allerede 24×7 overvåking selv. Allikevel vil de overlate frontlinje trussel deteksjon til et selskap som spesialiserer seg på å gjøre nettopp dette. Det er utfordrende å finne gode sikkerhetsanalytikere, og det er enda mer utfordrende å holde dem. Så når de kan gjøre mer mangfoldig og spennende arbeid (som trusseljakt eller hendelsesrespons), blir jobben deres mer attraktiv og oppfyllende, og det er mer sannsynlig at de blir værende.

SOC: hvorfor ikke bygge vår egen?

Noen selskaper har sin egen SOC og er fornøyd med den løsningen. Men for andre er det umulig å sette opp en tilsvarende funksjon i selskapet, av grunnene vi nevnte tidligere: tid, kompetanse og penger. Når vi for eksempel ser på små selskaper, er den gjennomsnittlige kostnaden for en sikkerhetsanalytiker f.eks. i det Norske markedet ca. 600.000 NOK per år. For å levere 24×7 trenger du minst 5 eller 6 analytikere på turnus, så allerede (uten rekruttering, opplæring, bonus osv.) er det NOK 3 MNOK – 4 MNOK per år. Og selvfølgelig må du få tak i disse menneskene. I tillegg kommer kostnader for de nødvendige verktøyene de trenger, prosessene som må utvikles, og tiden det tar å være operativ.

Hva er fordelene med å ha MDR-tjenester?

Ressurser

En MDR-leverandør vil ha ressurser. De vil ha en dedikert funksjon bare for «Managed Detection and Response» (ofte inkludert et team som også kjører MDR-verktøyet, noe som innebærer mindre arbeid for bedrifter).

NB: Noen ikke-spesialiserte Managed Security Services (eller til og med Managed Services) generalister prøver å komme seg inn i Managed Detection and Response markedet fordi etterspørselen er høy. Og det er ikke lett å levere god service på MDR, så hvis du velger dette alternativet, vær oppmerksom på opplevelsen og fokuset som MDR-leverandøren tilføyer deres funksjoner for «Managed Detection and Response».

Analytikerrapporter kan være innovative verktøy som hjelper deg å velge den beste MDR-leverandøren for din virksomhet. Gartners Market Guide for «Managed Detection and Response Services» som ble publisert i august 2020, lister Orange Cyberdefense som en «Representative Vendor of Managed Detection and Response services».

Trussel etterretning

En MDR-leverandører har mange kunder som de får global trusselinformasjonsdata fra. Og det er noe som vil være utfordrende å gjenskape i en SOC som kjører i en enkeltstående virksomhet. Det er ikke bare det å ha dataene, men også det å vite hvordan de skal analyseres. Forsknings- og utviklingsfunksjoner er avgjørende for å hente ut det fulle potensialet fra trusselinformasjonen i dataene som samles inn.

Tid

En godt drevet MDR-leverandør vil ha 24×7 ressurser, fullt bemannet med sikkerhetsanalytikere. Dette er en reell fordel for enhver bedrift, fordi MDR-leverandøren kan dele disse 24×7 ressursene på tvers av kundene, og dermed redusere kostnadene for ha en slik funksjon.

Vær årvåken og forsiktig med leverandører som bruker automatiserings- eller ikke-sikkerhetsanalytikere. Dette kan gi en inkonsekvent opplevelse og få konsekvenser utenfor kontortid.

Hva er ulempene med MDR-tjenester?

Analysen vår ville ikke være rettferdig hvis vi bare satte søkelys på den positive siden av MDR. Med en MDR-tjeneste som med en hvilken som helst annen tjeneste er det ting du trenger å vite som kunde:

En MDR-leverandør vil aldri ha samme dype forretningsforståelse for din bedrift/ditt konsern som deg. Og det er derfor koordinering mellom MDR-leverandøren og ditt personalet er avgjørende for en god opplevelse og leveranse. En god MDR-leverandør vil ha dedikerte eksperter. Det kan være en TAM (Technical Account Manager) eller konsulentkapasitet til å samarbeide med sikkerhets- og IT-teamet for å bringe den forretningskonteksten inn i tjenesten og tilpasse den over tid.

En MDR-leverandør har ofte ikke samme tilgangsnivå til IT-systemer som internt personale og kan derfor ikke svare på en hendelse så raskt som det interne teamet ville gjort. Dette må tas opp i begynnelsen av samarbeidet, for å finne måter å forkorte responstiden hvis et angrep skulle oppstå. Et eksempel er å gi en MDR-leverandør muligheten til å isolere endepunkter eller låse brukerkontoer som brukes til å utføre angrep, eller ta denne funksjonen og tilhørende verktøy for å gjøre det som en del av tjenesten.

Som i enhver virksomhet er ikke alle MSSP-er like. Det er mange forskjellige måter å produsere en «Managed Detection and Response-tjeneste» på og resultatet deretter forskjellig. Noen MSSP-er gir ikke nok verdi. De sender bare varsler om at bedrifter fortsatt trenger å gjøre mye analyser selv, og letter dermed ikke belastningen på selskapet som har anskaffet tjenestene deres. Noen selskaper er skuffet over tjenesten, og mottar bare e-post som dette: “Det er et kritisk varsel på brannmuren din, du bør undersøke dette nærmere.” Dette er bare et eksempel på MDR på sitt verste. Det fine er at etter hvert som tiden går og tilbydere blir flere, må MDR-leverandører gjøre det bedre og tilby større dybde og utvalg av tjenester for å gi en merverdi og resultater for sine kunder.

Hvordan komme i gang med MDR?

Når vi snakker med kunder, er en av de første tingene vi vanligvis blir spurt: «Hva kan vi gjøre for å sikre at dette blir en suksess?».

Uten kundesamarbeid fungerer ikke MDR. Du får en tjeneste som ikke er tilpasset eller engasjerende og som ikke løser noe problem. Helt essensielt med MDR er å jobbe tett med MDR-leverandøren. Noe å tenke over – Den ene tingen du aldri vil outsource er dybde kunnskap om virksomheten din som bare du har, og dette er hva MDR-leverandøren din trenger.

Det neste trinnet er virkelig å se på hvor du skal begynne. Mange selskaper ber fortsatt om en tradisjonell, administrert SOC / SIEM-kombinasjon.

Dette pleide å være en naturlig sammenkobling – du vil ha proaktiv sikkerhetsanalyse av hendelser fra IT-miljøet ditt, så ja, du trenger et SIEM og et SOC-team for å administrere det. Dette er ikke lenger tilfelle. Ved å introdusere SOC Nuclear Triad [i] som et konsept, delte Gartner nye ideer (tilbake i 2015) som for å oppnå full synlighet og modenhet i sikkerhetsoperasjoner, var ikke SIEM lenger nok. I nyere tid har ikke bare denne ideen utviklet seg, men også konseptet om at SIEM ikke alltid er utgangspunktet.

Hvis vi for eksempel ser på situasjonen vi har under COVID-19 og ser på it-sikkerhetsrisikoprofilen for de fleste selskaper akkurat nå, så er det nå viktigere enn noen gang å sikre endepunktene. Vi ser nå at «Endpoint Detection and Response» (EDR) kombinert med  MDR-tjenester er blitt et mye mer attraktivt området, og da spesielt gitt deres tid til distribusjon / «time-to-value» sammenlignet med SIEM. Vi ser også en økning i Nettverksgjenkjenning og respons – det som noen kan si er den moderne versjonen av inntrengingsdeteksjonssystemer – som svar på mer varierte, cloud-computing-drevne nettverk.

Hvorfor velge Orange Cyberdefense?

Etter å ha modnet tjenestene våre til det punktet hvor vi kan tilby alle disse tre alternativene – enten hver for seg eller, eller samlet som et komplett MDR-tilbud – har Orange Cyberdefense utviklet vårt rammeverk for å hjelpe kundene å visualisere hvordan distribusjon av forskjellige tjenester og alternativer kan se ut.

Modellert til kundens miljø og med type data de kan gi oss, jobber vi med sammen for å sette mål for synlighet i kritiske faser og se på måter vi kan hjelpe kundene med å oppnå dette.

Threat Detection framework

Figur 1: Eksempel på visualisering av Threat Detection Framework; kilde: Orange Cyberdefense

Dette rammeverket har som mål å:

  • Sørge for at kunden forstår dekningen vår og hvor vi for øyeblikket kan mangle synlighet.
  • Identifisere muligheter for å øke synligheten – ved å legge til flere logger, ved å plassere nye nettverkssensorer i deres nettverk eller rulle ut EDR-agenter.
  • Visualisere og modellere effekten av å legge til en ny tjeneste eller bidra til å overbevise interessentene om å gi ytterligere loggdata (der det noen ganger er interne utfordringer å gjøre det).

Rammeverket er utviklet og aktivt brukt av våre 11 CyberSOC-er distribuert over hele verden (Storbritannia, Sverige, Polen, Russland, Kina, India, Frankrike, Nederland og Tyskland), og av salgs- og tjenestestøtte i 160 land. Vi tilbyr global beskyttelse med lokal ekspertise.

Hvis du vil vite mer, kontakt oss via linken under.

[i] https://blogs.gartner.com/anton-chuvakin/2015/08/04/your-soc-nuclear-triad/

Kontakt oss

Share