MDR: Hur ser framtiden ut?

Världen i allmänhet är en galen plats inför 2022. Sociala medier fortsätter att infiltrera våra liv och påverka vad vi gör, hur vi beter oss och vad vi tror på. COVID-19 pandemin fortsätter att påverka hur vi lever vår vardag. Klimatförändringarna fortsätter att vara ett bekymmer för vår långsiktiga framtid och framför allt för våra barn och våra barns barn.

Hur är det med cybersäkerheten? Hör den hemma bland dessa frågor? Jag skulle absolut säga ja. Det arbete vi utför är viktigare och för varje vecka verkar det som om säkerhetsfrågorna får allt större betydelse i företagens styrelser. Och varför skulle de inte göra det? Under så lång tid har regeringar över hela världen fört krig mot narkotika. Men när det gäller kriminella företag är cyberbrottslighet säkrare, enklare och har mycket mindre hinder för att komma in.

Konsekvenserna för samhället börjar också bli kännbara för dem som inte tillhör de företag som utsatts för intrång. När vi tänker på Colonial Pipeline och andra incidenter sedan dess som påverkar de mycket grundläggande saker som vi förväntar oss ska vara stabila i våra liv - bränsle, vattenförsörjning, elförsörjning, livsmedel, tekniska komponenter - listan kan göras lång och alla dessa saker kan nu störas på några minuter. Senare har cyberattacker spelat en viktig roll i situationen i Ukraina/Ryssland, något som nu ligger till grund för moderna konflikter mellan nationalstater. Cybersäkerhet har aldrig varit viktigare för att bevara vårt sätt att leva.

Vad kan vi göra för att bekämpa nätbrottslighet?

Managed Detection and Response (MDR) har länge utropats som lösningen, men som koncept känner vi fortfarande att det har en hel del att växa upp. Och parallellt med detta måste våra begrepp om MDR kanske också anpassas på nytt.

För det första måste vi förstå vad all denna jargong betyder. Våra tankar om detta finns här. Sedan måste vi verkligen förstå vad vi förväntar oss av MDR, vilket Pete Shoard från Gartner beskriver i sin blogg här. Därefter är det upp till ledande MDR-leverantörer som Orange Cyberdefense att uppfylla dessa förväntningar och i många fall ta täten för att omdefiniera dessa förväntningar.

För mig måste 2022 bli året då MDR växer upp. Och så här gör vi.

Vi måste sluta prata löst om upptäckt och svar i molnet.

Molnet är en megatrend. Det är inte en upptäcktskälla. Enbart AWS har nu över 200 tjänster. Att säga "Jag vill övervaka AWS" räcker inte riktigt. Liknande begrepp gäller för Microsoft, Google och alla andra molnleverantörer.

Det viktigaste budskapet om MDR som vi förmedlar till våra kunder har alltid varit att "göra grunderna rätt". Anpassning kan komma senare, men majoriteten av de hot vi möter idag kommer att komma via ganska standardiserade tekniker. Cyberbrottslighet är en stor affärsverksamhet och det innebär att ekosystemet måste skala med efterfrågan. Detta har i sin tur gett upphov till "företag" som RaaS, Ransomware-as-a-Service. Att fokusera på viktiga, vanliga hot är en bra början.

Och när det gäller molnet gäller samma mantra. Grunderna i det här fallet kan vara lite annorlunda, men det finns fortfarande viktiga saker vi kan göra som kommer att ha en enorm inverkan på att stoppa attacker innan det är för sent. Exempel som:

• Upptäcka komprometterade identiteter/konton som utför misstänkta aktiviteter i din molnmiljö
• Upptäcka exponerade data på osäkra molnresurser, t.ex. ansluten lagring, exponerade databaser eller GitHub-sidor
• Upptäckt av missbruk av molnbaserad samarbetsteknik, för att säkerställa att den inte öppnar en bakdörr in i verksamheten
• Anpassning av processer och förfaranden för incidenthantering för att ta hänsyn till modellen med delat ansvar i molnet

Det finns fortfarande olika sätt att upptäcka attacker i molnet (alla inom ramen för den traditionella SOC-triaden av logg-, endpoint- och nätverksbaserad upptäckt), men vi bör börja med riskerna.

Sammanfattningsvis kan man säga att "molnet" inte är en risk. Det är en källa till många risker. Därför måste vi känna igen riskerna för att upptäcka dem och reagera därefter. Om du är intresserad av att veta mer, kom och prata med oss om de risker vi ser som bör hanteras i molnsäkerhet på olika säkerhetsmognadsnivåer. Vi hjälper dig att komma igång med en heltäckande upptäcktsstrategi, oavsett om du är ett Azure-, AWS-, GCP- eller ett multimoln-hus.

MDR ger ett resultat, det är inte en plattformsförvaltning

Det krävs mycket arbete för att tillhandahålla MDR-tjänster av hög kvalitet. Mitt hjärta sjunker när vi blir ombedda att "stödja" en teknik. Det är resultatet som kommer att göra skillnad. Vi förstår att ni har investerat mycket pengar i en massa verktyg. Men när rörmokaren kommer för att laga läckan, ger du honom verktygen och säger: "laga läckan med dessa verktyg, tack"? Eller säger du bara åt rörmokaren att laga läckan?

Det krävs mycket mer än teknik för att tillhandahålla en smidig och skalbar tjänst som ger de utlovade resultaten. Några viktiga faktorer som verkligen får MDR att fungera är följande:

• Forskning och utveckling: Utan ett engagerat forskningsteam och utan en solid funktion för upptäcktsteknik är det nästan omöjligt att vara så flexibel och exakt som du behöver vara i den moderna världen. Hoten dyker upp och förändras ständigt. Att förlita sig på tekniska uppdateringar och "levererade regler" räcker inte.
• Kontinuerlig förbättring: Upptäcknings- och svarsfunktioner måste ständigt mätas och utvecklas. Det är så långt ifrån att man kan ställa in och glömma som man kan vara med en lösning. Och i slutändan kommer kundtillfredsställelsen att bli lidande utan ett sådant tankesätt
• Starka processer: För att uppnå både säkerhet och enhetlighet måste processerna vara mogna. Särskilt i MDR-världen, där både du och dina kunder är måltavlor och där arbetet är oförlåtande för varje form av nonchalant tillvägagångssätt
• Information om cyberhot: Det är en självklarhet för att tillhandahålla MDR-tjänster. Men det är inte heller allt som är lika. Med koppling tillbaka till forskning och utveckling är skapandet av egna underrättelser (och inte bara att förlita sig på kommersiella listor med indikatorer eller listor med öppen källkod) nyckeln, liksom tillämpningen av dessa underrättelser på olika nivåer - från tekniska (t.ex. fler insatser för att proaktivt identifiera angriparens infrastruktur) till mer taktiska (log4j-problem någon?) och strategiska (t.ex. att förstå hela kedjan av hur utpressningsgrupper arbetar och hitta sätt att spåra attacker genom hela cyberutpressningsprocessen)
• Säkerhetsautomatisering och orkestrering: snabbhet är fortfarande nyckeln. Att automatisera tråkiga och upprepbara processer är bra för själen (hos säkerhetsanalytikern!). Det finns inte bara effektivitetsvinster, utan också det mycket mänskliga faktum att man gör de intressanta delarna där det verkliga tänkandet behöver göras och låter datorerna göra det de är bäst på - hantera stora delar av samma databehandling, om och om igen
• Rekryteringsprogram: Alla fem punkterna ovan har en sak gemensamt. De fungerar inte utan människor. Och antalet människor vi behöver minskar inte, eftersom arbetsbelastningen inte minskar utan ökar exponentiellt. Att kunna identifiera, utbilda och erbjuda en gedigen uppsättning karriäralternativ för nästa generation säkerhetsanalytiker har därför aldrig varit viktigare än nu.

Jag har gett er vår syn på Orange Cyberdefense. Ställ dig nu ärligt frågan till dig själv. Vem kommer att ge dig det bästa resultatet? Den som stöder dina plattformar och gör allt du ber dem om? Eller den som tillför allt det ovan nämnda till bordet?

Okej, kanske kan båda vara möjliga att uppnå. Men jag föredrar resultatet framför tekniken, vilken dag som helst i veckan.

Läs mer i del 2 som kommer nästa vecka!

• Research & development: Without a dedicated research team, without a solid detection engineering function, it is almost impossible to be as agile and as accurate as you need to be in the modern world. Threats emerge and change constantly. Relying on technology updates and “shipped rules” just doesn’t cut it.
• Continuous improvement: Detection and response capabilities must continually be measured and evolved. It is about as far from set and forgets as you could possibly be with a solution. And ultimately, without such a mindset – customer satisfaction is going to suffer.
• Strong processes: for the purpose of both security and consistency, processes must be mature. Especially in the MDR world, where you and your customers are both a target and the work is unforgiving of any kind of lackadaisical approach.
• Cyber Threat Intelligence: it’s a given for providing MDR services. But it’s also not all created equal. Linking back to research & development, the creation of your own intelligence (not just relying on commercial or open-source indicator lists) is key, as well as the application of that intelligence at different levels – from technical (such as more efforts to proactively identify attacker infrastructure) to more tactical (log4j troubles anyone?) and strategic (like understanding the entire chain of how ransomware groups work and finding ways to track attacks throughout the whole cyber extortion process).
• Security Automation and Orchestration: speed remains key. Automating boring and repeatable processes is great for the soul (of the security analyst!). There are not only efficiency gains but also the very human fact of doing the interesting bits where the real thinking needs doing and letting computers do what they do best – handle large swathes of the same data processing, over and over again.
• Recruitment program: All five of the points above have one thing in common. They don’t work without humans. And the number of humans we need is not reducing, because the workload is not reducing but growing exponentially. So being able to identify, train and provide a solid set of career options for the next generation of security analysts has never been more important.

I’ve given you our view at Orange Cyberdefense. Now ask yourself honestly. Who is going to give you the best outcome? The one who supports your set of platforms and does whatever you ask them to? Or the one who brings all the above to the table?

Okay, maybe both might be achievable. But give me the outcome over the tech, any day of the week.

Read more in part 2, coming to you next week!