Hva er administrert oppdagelse og respons (MDR)
Administrert oppdagelse og respons, eller MDR («managed detection and response»), er en fullt administrert nettsikkerhetsløsning som kombinerer sikkerhetseksperter, trusselintelligens og avanserte verktøy for å gi 24/7-beskyttelse til organisasjoner.
Den økende trusselen som nettsikkerhet utgjør for enkeltpersoner og bedrifter over hele verden, er godt dokumentert, men det som kanskje er mindre kjent, er hvor mye noen organisasjoner sliter med å opprettholde sterke forsvar og responsmekanismer.
Ifølge forskning fra Kaspersky sier 41 % av InfoSec-fagfolk at organisasjonens nettsikkerhetsteam er «noe» eller «betydelig underbemannet». Dette betyr at sikkerhetspersonell er svært etterspurt, og organisasjoner sliter med å tiltrekke seg og beholde nok ansatte med riktige ferdigheter. Dette påvirker alle typer virksomheter: The World Economic Forum har funnet at kompetansehull er den største utfordringen ved nettbeskyttelse for 52 % av offentlige organisasjoner. Samtidig sier mindre enn halvparten av mindre organisasjoner at de har ferdighetene til å svare på og komme seg etter et nettangrep.
Av denne grunn velger mange bedrifter å benytte seg av forvaltede tjenester for å få tilgang til løsninger og ekspertisen de trenger for å holde data, systemer, applikasjoner og brukere trygge. En av de mest effektive måtene å oppnå dette på er gjennom administrert oppdagelse og respons (MDR), men det er først nå organisasjoner gradvis begynner å innse hvor viktig MDR-sikkerhet er for virksomhetene deres. Forskning fra Gartner har funnet at bare 30 % av organisasjonene aktivt brukte funksjoner for ekstern trusselbekjempelse og -kontroll fra MDR-leverandører i 2023 – men det forventes å stige til 50 % innen 2025. Og det er ikke et øyeblikk for tidlig. Kaspersky MDR (administrert oppdagelse og respons) behandlet mer enn 430 sikkerhetshendelser i 2023, og de fleste av de kritiske hendelsene ble oppdaget i offentlige etater og industrielle og finansielle organisasjoner. Nettrusselbildet er stadig i endring, og det er vanskelig for mange organisasjoner å holde tritt.
Hvordan fungerer administrer oppdagelse og respons
Så hvordan fungerer MDR i praksis? Det er en form for nettsikkerhet, levert som en administrert tjeneste og designet for å fremskynde identifisering og utbedring av trusler og minimere omfanget av innvirkningene de kan ha på virksomheter. Menneskelig sikkerhetskompetanse og avansert teknologi kombineres innen MDR, noe som betyr at det er mulig å oppnå betydelige kostnads- og ressursbesparelser.
Gode MDR-tjenester omfatter vanligvis fem hovedfunksjoner:
Prioritering av hendelser
Inspeksjoner av sikkerhetshendelser av dyktig personell i kombinasjon med vurderinger av hendelser i samsvar med forhåndsinnstilte automatiserte regler identifiserer hvilke hendelser som er mer relevante eller risikable enn andre. Falske positive hendelser og de som sannsynligvis ikke er et problem, blir nedprioritert, mens de største problemene settes først i køen for å bli adressert av andre MDR-tjenester og vurdert nærmere.
Trusselsøk
Automatisering er et svært kraftig verktøy for å identifisere potensielle trusler – men det er ikke en pålitelig løsning for alt. Svært erfarne «trusseljegere» er godt kjent med å oppdage unormal aktivitet og former for atferd som nettkriminelle opptrer med når de planlegger et potensielt datainnbrudd eller angrep. Trusler kan flagges mye raskere ved bruk av både menneskelig og digital innsats, noe som igjen muliggjør raskere utbedringstiltak.
Trusselundersøkelse
Etter å ha identifisert truslene er neste trinn å utforske dem grundig og komme til bunns i saken. Administrerte undersøkelsestjenester avdekker alle spørsmålene rundt en hendelse og identifiserer systemer, data, applikasjoner og brukere som har blitt – eller kan bli – påvirket. All denne konteksten er avgjørende for å informere de mest effektive og passende måtene å stoppe trusselen på.
Responsassistanse
Å jobbe med en partner for MDR-sikkerhet gir organisasjoner tilgang til råd så vel som løsninger. Eksperter kan dra nytte av egen erfaring og informasjon samlet gjennom trusselundersøkelser og etterforskning, for å gi råd om den beste måten å takle problemet på. Dette kan være å eliminere en trussel som kan være i ferd med å skje, eller hvordan man skal respondere på og komme seg etter et angrep som allerede har skjedd.
Administrert utbedring
Når utbedringsprosesser er nødvendig, har de som mål å fjerne alle spor av en trussel og returnere systemer, applikasjoner og data til tilstanden de var i før angrepet skjedde. Dette kan innebære en rekke prosesser, for eksempel fjerning av skadelig programvare, opprydding av registeret, avvisning av uautorisert tilgang, systemgjenoppretting og andre tiltak. Hvilke tiltak som brukes, vil variere avhengig av trusselens eller angrepets art, og velges i samråd med MDR-sikkerhetspersonell.
Hvordan skiller MDR seg fra tradisjonell antivirusprogramvare
Den største forskjellen mellom MDR-tjenester og tradisjonell antivirusbasert sikkerhet er at MDR er proaktivt, mens antivirus er reaktivt.
Generelt sett er antivirus-systemer avhengige av signaturdeteksjon, der ulike varianter av skadelig programvare har egne fingeravtrykk som systemene deretter ser etter. Imidlertid utvikler stadig flere nettkriminelle unike varianter av skadeprogrammer som er ulik alle andre, og derfor ikke kan oppdages gjennom disse fingeravtrykkene. Og uansett kan ikke antivirusprogrammer oppdage disse variantene før de allerede er der, og da kan det ofte være for sent å forhindre noen konsekvenser.
Verktøy for administrert oppdagelse og respons går derimot aktivt ut for å lete etter skadevareinfeksjoner på systemer 24 timer i døgnet, syv dager i uken, og redusere dermed effektene av virusene.
Hva er forskjellen mellom MDR og EDR
EDR står for «Endpoint Detection and Response» (oppdagelse og svar ved endepunktet) og fungerer med de automatiserte reglene som brukes på prioriteringsstadiet av MDR. En EDR-implementering registrerer hendelser og adferdsmønstre på alle endepunkter,
som deretter vurderes mot de automatiserte reglene etablert av sikkerhetsteamene. Eventuelle mistenkelige mønstre eller aktiviteter som oppdages, blir deretter flagget til sikkerhetsteamet for videre undersøkelse.
For mange organisasjoner er EDR derfor en del av MDR, og det brukes sammen med dyktige IT-sikkerhetseksperter og etablerte prosesser og metoder.
Er administrert oppdagelse og respons det samme som XDR
Ikke helt. Den enkleste måten å si det på er at XDR – som står for «Extended Detection and Response» (utvidet oppdagelse og respons) – tar prinsippene til MDR til neste nivå. XDR integrerer en stor mengde data samlet fra ulike kilder for å gjøre trusseljakt og undersøkelser enda mer informerte og proaktive. Det benytter også mer avanserte verktøy, inkludert forebygging av datatap og identitets- og tilgangsstyring («Identity and Access Management» – IAM), for å oppnå full synlighet av trusselbildet over hele virksomheten.
Hva er hovedfordelene med MDR
Tjenester for administrert oppdagelse og respons kan forvandle sikkerhetsmetoden til en organisasjon på en rekke forskjellige måter og forbedre ytelsen for nesten alle områdene av sikkerhetsoperasjoner. Fordelene med MDR-sikkerhet inkluderer, og er på ingen måte begrenset til, følgende:
Redusert påvisningstid
Noen organisasjoner bruker flere måneder på å oppdage en sikkerhetshendelse, i løpet av hvilken tid utallige ødeleggelser kan ha blitt påført systemer, applikasjoner og data – noen ganger uten at bedriften engang vet det. MDR kan redusere dette ikke bare til dager eller timer, men til minutter, slik at det potensielle omfanget av angrepets innvirkning reduseres betydelig.
Forbedret sikkerhetsposisjon
MDR-tjenester kan gjøre en bedrift sterkere og mer motstandsdyktig i tilfelle et angrep, ettersom sjansene for at et brudd får store konsekvenser, vil være mye lavere. Det hjelper også med å sikre at den generelle sikkerhetskonfigurasjonen til bedriften er bedre optimalisert, og at den forblir slik selv når forretningsbehov og angrepsprofiler utvikler seg.
Kontinuerlig trusseloppdagelse
Verktøy for administrert oppdagelse og respons har evnen til å søke etter trusler 24 timer i døgnet, syv dager i uken, 365 dager i året, og dette sikrer at trusler og skadelig programvare ikke kan «skjule seg» i systemer, klare til å aktiveres i fremtiden. Datamønstre og atferd kan analyseres kontinuerlig, slik at unormal aktivitet flagges selv før noe skadelig har skjedd.
Raskere trusselrespons og utbedring
Alle tre punktene ovenfor bidrar til mye raskere trusselrespons og utbedring enn det som ellers ville vært mulig. Når man vet om et problem tidligere, kan MDR brukes til å danne en trusselrespons raskere. Det betyr at riktige utbedringsaktiviteter brukes på det berørte området på en mye raskere måte.
Lavere byrde for sikkerhetspersonell
Når det allerede er mangel på sikkerhetspersonell, kan det å pålegge dem flere ulike sikkerhetsteknologier legge enda mer press og stress på deres verdifulle tid. Dette kan føre til at hendelser faller mellom stolene, samt en risiko for at verktøyene ikke brukes på riktig måte, rett og slett fordi de ikke har tid til å gjøre det. Når mye av denne byrden overlates til administrerte tjenester og dyktige tredjeparts eksperter, kan det lette på presset og maksimere effektiviteten til det interne teamet på daglig basis.
Redusert risiko for varseltretthet
Bruk av sikkerhetsteknologi utvider i stor grad antall varsler og hendelser som sikkerhetsteamet får og må håndtere. I tillegg til å være hverdagslige, repetitive og utsatt for menneskelige feil gjør slike teknologier det også vanskelig for sikkerhetspersonell å identifisere hvilke problemer som er mest presserende og må løses før andre. Prioriteringsprosessene innen MDR-tjenester løser dette problemet ved å analysere og flagge de mest presserende problemene og håndtere prioriteringen på vegne av sikkerhetsteamet.
Hva bør du se etter i tjenester for administrert oppdagelse og respons
Markedet for MDR-tjenester er sterkt: Gartners forskning antyder at MDR-markedet vokser med en hastighet på 48 % og forventes å nå 2,2 milliarder dollar innen 2025. Dette betyr at det finnes mange ulike leverandører av verktøy for administrert oppdagelse og respons tilgjengelig, noe som kan gjøre det vanskelig å identifisere den rette for deres spesifikke behov og krav. Som en del av utvelgelsesprosessen anbefaler vi å se etter disse fire egenskapene:
Ytterligere MDR-kompetanser
Det er sannsynlig at dere allerede har en betydelig kompetansebase i sikkerhetsteamet, men som det globale kompetansehullet antyder, kan det også hende at dere har noen områder som kan bli bedre. Dere bør identifisere disse hullene når dere begynner prosessen med å vurdere leverandører, og se etter en leverandør som spesialiserer seg på denne kompetansen, slik at de kan supplere teamet.
MDR-sikkerhetskunnskap og -evner
Godt administrerte tjenester for oppdagelse og respons har oppdatert kunnskap om det nåværende sikkerhetsbildet. De er kjent med de nyeste truslene som man bør være oppmerksom på, og forstår mange av de underliggende faktorene som driver nettkriminalitet, inkludert eventuelle geopolitiske og kulturelle forhold som er involvert. Denne kunnskapen – kombinert med sikkerhetsferdighetene og -evnene deres – gir verdi til de fleste interne sikkerhetsteam.
MDR-tjenesteyting og samarbeid
Dere kan være fornøyd med ekspertisen og ferdighetene som en potensiell MDR-sikkerhetstjeneste tilbyr, men de må fortsatt passe godt inn med teamet, teknologiene og organisasjonen deres. De bør kunne vise en sterk forpliktelse til tydelig kommunikasjon, slik at informasjon og innsikter kan flyte lett mellom begge parter. Dette hjelper det interne sikkerhetsteamet med å oppdatere seg raskere på den nye tilnærmingen. De bør også kunne vise en forpliktelse til 24/7-beskyttelse, som bidrar til å holde systemene trygge utenfor sikkerhetsteamets normale arbeidstid.
Omfattende løsninger
Til syvende og sist bør dere se etter MDR-sikkerhet som dekker alle områdene. En løsning som Kaspersky Managed Detection and Response tilbyr avanserte beskyttelsesteknologier, proaktiv trusseljakt, automatisert og veiledet respons samt anerkjent ekspertise på globalt nivå, som dere kan være trygge på å benytte dere av. Dette kan sikre at ikke bare risikoen for nettrusler minimeres, men også at investeringen i MDR-sikkerhet maksimeres.
Kaspersky Managed Detection and Response og Kaspersky hendelsesvar ble rangert blant teknologiledere i 2023 av Quadrant Knowledge Solutions, en anerkjennelse av den høye effektiviteten til disse løsningene når det gjelder å beskytte bedrifter mot nettkriminelle.
Relaterte artikler:
