Что такое Managed Detection and Response (MDR)?
Managed Detection and Response (MDR) – это решение по управляемой круглосуточной защите бизнеса от киберугроз, которое сочетает в себе работу специалистов по ИБ, threat intelligence и передовые технологии.
Есть множество документальных подтверждений того, что киберпреступность представляет все более серьезную угрозу и для частных лиц, и для организаций по всему миру. Но гораздо меньше известно о том, какие усилия приходится прикладывать организациям, чтобы отладить надежные механизмы защиты и реагирования.
Согласно исследованию «Лаборатории Касперского», 41% специалистов в области информационной безопасности признают, что ИБ-отделы в их компаниях испытывают нехватку сотрудников (иногда значительную). Это означает, что ИБ-специалисты пользуются большим спросом на рынке труда и предприятиям все труднее привлекать и удерживать необходимое количество квалифицированных сотрудников. Это касается организаций любого типа: по данным Всемирного экономического форума, для 52% государственных учреждений нехватка опытных специалистов является важнейшей проблемой киберустойчивости. В то же время лишь менее половины небольших организаций считают, что им хватает ресурсов для реагирования на кибератаки и восстановления после них.
Именно поэтому для защиты своих данных, систем, приложений и пользователей многие предприятия обращаются к поставщикам управляемых услуг, которые предоставляют необходимые решения и экспертный опыт. Одно из самых эффективных решений предлагают сервисы Managed Detection and Response (MDR), но только сейчас организации начинают понимать, насколько MDR помогает укрепить их безопасность. Исследование компании Gartner показало, что в 2023 году только 30% организаций активно пользовались возможностями удаленной защиты от угроз, которую предоставляют сервисы MDR, но ожидается, что к 2025 году их число вырастет до 50%. И как раз вовремя: в 2023 году сервисом Kaspersky Managed Detection and Response было обработано более 430 событий безопасности, причем бо́льшая часть критических инцидентов была зафиксирована в правительственных учреждениях, финансовых организациях и на промышленных предприятиях. Ландшафт киберугроз постоянно меняется, и некоторым организациям бывает трудно идти в ногу со временем.
Как работает сервис MDR?
Как работает MDR на практике? MDR – это форма киберзащиты, которая предоставляется в виде управляемого сервиса, разработанного для более быстрого выявления и устранения угроз и минимизации ущерба для бизнеса. MDR сочетает в себе опыт специалистов по кибербезопасности и передовые технологии, что помогает добиваться значительной экономии средств и ресурсов.
Качественный MDR-сервис должен выполнять пять основных функций.
Приоритизация событий
Осуществляемый опытными специалистами анализ инцидентов безопасности соответствии с заранее заданными автоматизированными правилами -позволяет выявить наиболее значимые или наиболее опасные события. Ложным срабатываниям и событиям, которые не представляют угрозы, присваивается низкий приоритет, а серьезные инциденты в первую очередь направляются на обработку с помощью других инструментов MDR и более детальное изучение.
Поиск угроз
Автоматизация – очень мощный инструмент для выявления потенциальных угроз, но на нее не следует полагаться полностью. Опытные «охотники за угрозами» умеют распознавать аномальную активность и знают особенности поведения киберпреступников, которые готовятся ко взлому или атаке. Сочетание человеческих усилий и цифровых технологий позволяет гораздо быстрее выявлять угрозы, а следовательно и устранять их последствия.
Расследование угроз
После выявления угрозы наступает следующий этап – ее внимательное изучение и погружение в контекст. Управляемый сервис расследования позволяет определить характер, время и место инцидента и выявить системы, данные, приложения и пользователей, которые были или могли быть затронуты в ходе этого инцидента. Весь этот контекст крайне важен для выбора наиболее правильного и эффективного способа устранения угрозы.
Рекомендации по реагированию
Специалисты MDR-сервисов могут дать организациям полезные рекомендации. На основе собственного опыта и информации, собранной в процессе поиска и расследования угрозы, эксперты могут предложить оптимальный способ решения проблемы. Рекомендации могут относиться как к предотвращению будущих угроз, так и к реагированию на уже случившуюся атаку и восстановлению после нее.
Управляемое устранение последствий
Процесс устранения последствий, если в нем есть необходимость, имеет целью удаление любых следов угрозы и возврат всех систем, приложений и данных в то состояние, в котором они находились до атаки. Этот процесс может включать такие меры, как удаление вредоносного ПО, очистка регистра, блокировка несанкционированного доступа, восстановление системы и др. Конкретные меры зависят от характера угрозы или атаки и определяются в ходе обсуждения с экспертами MDR.
Чем MDR отличается от традиционного антивирусного ПО?
Главным различием между MDR-сервисами и традиционной антивирусной защитой является то, что MDR-защита действует проактивно, а антивирусная – реактивно.
В целом работа антивирусов основана на сигнатурном анализе: разные варианты вредоносных программ имеют разные «отпечатки пальцев», которые и ищет антивирусное ПО. Однако киберпреступники все чаще разрабатывают уникальные варианты вредоносного ПО, непохожие на других, поэтому их нельзя распознать по характерным признакам. И в любом случае, антивирусные программы не могут обнаружить вредоносное ПО, пока оно не окажется на устройстве, и тогда предотвратить нежелательные последствия уже не получится.
MDR-решения, напротив, круглосуточно и ежедневно в проактивном режиме отслеживают попытки заражения системы вредоносным ПО и устраняют его последствия.
Чем отличается MDR от EDR?
Endpoint Detection and Response (EDR) – это решение для защиты конечных точек, работающее на основе тех же автоматизированных правил, которые используют MDR-решения на стадии приоритизации. EDR-решение регистрирует события и паттерны поведения на конечных точках и оценивает их на основе автоматизированных правил, установленных ИБ-специалистами. Информация о подозрительных паттернах или действиях передается ИБ-специалистам для дальнейшего расследования.
Поэтому во многих организациях EDR является составной частью MDR и используется в комплексе с работой ИБ-специалистов и остальными хорошо отлаженными процессами и процедурами.
MDR и XDR – это одно и то же?
Не совсем. Коротко говоря, решение для расширенного обнаружения и реагирования XDR работает по принципу MDR, но на более высоком уровне. XDR анализирует огромный объем данных из множества разных источников, что дает больше информации для поиска и расследования угроз и делает этот процесс еще более проактивным. Этот класс решений использует более продвинутые инструменты для полной визуализации ландшафта угроз в масштабах предприятия, в том числе инструменты для предотвращения утечки данных и Identity and Access Management (IAM).
В чем основные преимущества MDR?
MDR-сервисы способны во многом изменить подход организаций к защите от киберугроз и повысить эффективность операционной деятельности практически во всех сферах информационной безопасности. Среди основных преимуществ MDR-защиты можно выделить следующие.
Ускоренное обнаружение угроз
Иногда у организаций уходят месяцы на то, чтобы обнаружить инцидент безопасности. За это время системы, приложения и данные могут прийти в состояние полного хаоса, а компания может даже не заметить этого. MDR сокращает время обнаружения не только до нескольких дней или часов, но даже до нескольких минут, что позволяет значительно снизить ущерб от атаки.
Укрепление киберустойчивости
Сервисы MDR помогают бизнесу стать сильнее и устойчивее перед кибератаками, поскольку опасность взлома с тяжелыми последствиями сильно уменьшается. MDR позволяет оптимизировать общую систему безопасности на предприятии и поддерживать ее даже при изменении потребностей бизнеса и масштаба атак.
Непрерывный поиск угроз
Способность инструментов MDR вести поиск угроз круглосуточно 365 дней в году гарантирует, что вредоносные угрозы и программы не смогут скрываться внутри системы и ждать подходящего момента для активации. Анализ данных на основе шаблонов и паттернов поведения происходит непрерывно, так что аномальная активность будет замечена еще до начала любых вредоносных действий.
Ускоренное реагирование на угрозы и устранение последствий
Благодаря трем перечисленным возможностям MDR, реагирование на угрозы и устранение последствий происходит гораздо быстрее, чем без использования MDR. Раннее обнаружение проблем с помощью MDR позволяет быстрее выбрать стратегию реагирования, а это значит, что меры по устранению последствий будут адекватными и гораздо более оперативными.
Снижение нагрузки на ИБ-персонал
В условиях недостаточного количества ИБ-специалистов дополнительная нагрузка в виде нескольких разных технологий защиты может повлечь за собой еще большую нехватку ценного рабочего времени. В результате сотрудники могут начать пропускать инциденты, а также не смогут должным образом использовать имеющиеся в их распоряжении инструменты, поскольку у них просто не будет на это времени. Передав часть этой нагрузки поставщикам управляемых сервисов и опытным сторонним экспертам, бизнес может снизить нагрузку штатных сотрудников и позволить им более эффективно выполнять ежедневные задачи.
Снижение риска усталости от уведомлений
Использование ИБ-технологий значительно увеличивает количество уведомлений об инцидентах, на которые приходится реагировать сотрудникам ИБ-отдела. Это рутинные, повторяющиеся уведомления, что часто влечет за собой человеческие ошибки, а кроме того, ИБ-специалистам бывает сложно определить, какие из событий являются самыми важными и требуют решения в первую очередь. Сервисы MDR решают эту проблему за сотрудников ИБ-отдела с помощью приоритизации, анализируя события, сортируя их и выделяя наиболее срочные.
На что нужно обратить внимание при выборе поставщика MDR-решений?
Рынок MDR-сервисов очень активен: по оценке компании Gartner, темп его прироста составляет 48% и к 2025 году его объем достигнет 2,2 млрд долларов. Это значит, что на рынке присутствует множество поставщиков управляемых сервисов по поиску угроз и реагированию, что может затруднить выбор решения, соответствующего вашим нуждам и требованиям. Мы рекомендуем при выборе вендора обращать внимание на четыре основных момента.
Дополнительные MDR-навыки
Скорее всего, сотрудники вашего ИБ-отдела имеют солидную базу профессиональных навыков, но учитывая глобальную нехватку квалифицированных кадров, у вас тоже могут быть области, которые необходимо усилить. Следует прежде всего выявить такие пробелы и искать такого вендора, который специализируется в этих областях и способен дополнить и усовершенствовать работу вашего ИБ-отдела.
Знания и экспертиза MDR-защиты
Качественные MDR-сервисы должны владеть актуальной информацией о текущем ландшафте киберугроз. Они должны располагать данными о новейших угрозах и понимать базовые факторы, определяющие киберпреступность, в том числе в соответствующих геополитических и культурных реалиях. Эти знания, а также профессиональные навыки и компетенции специалистов помогут повысить уровень ваших штатных ИБ-сотрудников.
Предоставление MDR-услуг и вопросы взаимодействия
Вас могут вполне устраивать экспертные знания и навыки потенциального поставщика MDR-решений, но кроме этого важно, чтобы он мог эффективно взаимодействовать с вашим ИБ-отделом, уже действующими у вас технологиями и организацией в целом. Вендор должен продемонстрировать готовность к открытому общению, чтобы обмен информацией и идеями шел беспрепятственно в обоих направлениях. В результате штатные сотрудники смогут гораздо быстрее освоить новый подход к кибербезопасности. Кроме того, вендор должен быть готов предоставлять услуги круглосуточно, чтобы системы компании были защищены даже тогда, когда штатные сотрудники отдыхают.
Комплексный подход
И наконец, следует выбрать такую MDR-защиту, которая содержит все необходимые функции. Kaspersky Managed Detection and Response сочетает в себе передовые технологии защиты, проактивный поиск угроз, автоматизированное и управляемое реагирование, знания и опыт экспертов международного уровня – и все это в удобном для использования решении. Оно не только позволяет минимизировать риски киберугроз, но и гарантирует максимальный эффект от ваших инвестиций в MDR-безопасность.
Консалтинговая компания Quadrant Knowledge Solutions назвала Kaspersky Managed Detection & Response и Kaspersky Incident Response одними из технологических лидеров 2023 года, что подтверждает высокую эффективность этих решений в защите предприятий от киберугроз.
Рекомендуемые продукты:
