Каждый год в залах заседаний совета директоров повторяется одна и та же схема. Компания подвергается атаке. Программы-вымогатели парализуют работу, или, что еще хуже, данные клиентов незаметно утекают в течение нескольких недель. Анализ последствий показывает ту же неприятную правду: угроза все это время скрывалась в логах, ожидая своего обнаружения. Никто не заметил. Это не технологический сбой. Это сбой в обеспечении прозрачности, и именно этот пробел и приводит к... Managed Detection and Response Было построено для закрытия. Но вот тут-то все и усложняется. Рынок MDR (Master of Deployment — услуги по управлению данными) резко вырос. Существуют десятки таких сервисов. Managed Detection and Response Все поставщики обещают круглосуточный мониторинг, обнаружение угроз на основе искусственного интеллекта и быстрое реагирование. Выбор неправильного поставщика не только истощит ваш бюджет, но и создаст ложное чувство безопасности, что, пожалуй, опаснее, чем полное отсутствие программы безопасности.
Итак, как же на самом деле выбрать подходящего поставщика MDR? Именно об этом и пойдет речь в этом руководстве. Никакого профессионального жаргона ради самого жаргона. Никаких рекламных предложений, замаскированных под советы. Только то, что действительно важно при принятии этого решения.
Что такое MDR и почему это действительно важно?
Managed Detection and Response Это служба безопасности, которая сочетает в себе экспертные знания и технологии для обнаружения, расследования и реагирования на угрозы во всей вашей среде — на конечных устройствах, в облаке, в сети, в системе идентификации и так далее.
В отличие от традиционных управляемых служб безопасности (MSSP), которые в основном рассылают оповещения вашей команде и на этом всё, поставщики услуг MDR действительно... сделай что-нибудь Что касается этих оповещений, у них есть аналитики по безопасности, которые изучают ситуацию, сопоставляют сигналы из разных источников данных и принимают меры, будь то изоляция скомпрометированной конечной точки, блокировка вредоносного процесса или звонок вашему руководителю службы безопасности в 2 часа ночи, потому что происходит что-то серьезное.
Разница между ними имеет огромное значение. Усталость от оповещений — это реальная и хорошо задокументированная проблема. Средняя команда по обеспечению безопасности предприятия и так каждую неделю тонет в тысячах оповещений. Вам нужен не дополнительный информационный шум, а команда, которая сможет отсеять его и точно сказать, что заслуживает вашего внимания прямо сейчас.
Что же на самом деле отличает хороших поставщиков услуг MDR от отличных?
Прежде чем отправлять запрос предложений (RFP), четко определите, что именно вам нужно от поставщика. Вот что следует оценить, и вопросы, стоящие за этими вопросами.
1. Возможности обнаружения — глубже, чем показано на слайдах.
Каждый производитель MDR-оборудования заявляет о превосходном обнаружении. Вам нужно понять следующее: это они обнаруживают угрозы, а не просто которая Они их обнаруживают.
Поинтересуйтесь их методологией обнаружения. Они в основном полагаются на обнаружение на основе сигнатур — сопоставляя известные угрозы с базой данных? Или же они используют поведенческий анализ, создавая базовые показатели нормальной активности и отмечая отклонения, которые могут указывать на компрометацию, даже если нет известных сигнатур?
Лучшие поставщики используют многоуровневый подход: threat intelПотоки информации о нарушениях, поведенческие базовые показатели, сопоставление данных с фреймворком MITRE ATT&CK и проактивный поиск угроз, осуществляемый человеком. Последний элемент часто является наиболее показательным отличием. Проактивный поиск, активный поиск угроз, которые не вызвали автоматического оповещения, отличает действительно компетентные команды MDR от тех, которые, по сути, используют систему SIEM выше среднего уровня.
В каждом разговоре с поставщиком задавайте этот вопрос напрямую: «Подробно расскажите, как вы обнаружили угрозу, которая не сработала на известной сигнатуре». Качество вашего ответа расскажет вам больше, чем любой сравнительный анализ функций.
2. Возможности реагирования — действительно ли они реагируют или просто уведомляют?
Это самая большая ловушка на рынке MDR, и она снова и снова сбивает с толку покупателей. Некоторые поставщики агрессивно позиционируют себя как MDR, но их «ответ» по сути сводится к тому, что они отправляют вашей команде электронное письмо с сообщением о том, что что-то выглядит подозрительно.
Реальный ответ подразумевает принятие мер. Действия по локализации, такие как изоляция скомпрометированной конечной точки, завершение вредоносного процесса, блокировка горизонтального распространения или аннулирование скомпрометированной пользовательской сессии. Эти действия должны быть предприняты быстро, зачастую быстрее, чем ваша внутренняя команда успеет прочитать оповещение, не говоря уже о том, чтобы отреагировать на него.
Уточните их планы действий в чрезвычайных ситуациях. Какие действия они могут предпринимать автономно, не дожидаясь вашего одобрения? Что требует согласования с вашей командой? Каково среднее время от обнаружения до локализации проблемы?
Среднее время обнаружения (MTTD) и среднее время реагирования (MTTR) — это показатели, которые каждый заслуживающий доверия поставщик решений для мониторинга и восстановления после сбоев должен предоставлять с достаточной точностью. Если они не могут привести конкретные цифры, это говорит о многом.
3. Охват — Что именно входит в сферу действия?
MDR не всегда так всеобъемлющ, как предполагает название. Некоторые поставщики ориентированы в первую очередь на конечные устройства, используя конкретную платформу EDR с ограниченной видимостью в других областях. Другие предлагают более широкое покрытие, охватывающее облачные среды, сетевой трафик, системы идентификации, электронную почту и приложения SaaS.
Прежде чем проводить оценку, тщательно продумайте свою среду. Если вы активно используете облачные технологии — запускаете рабочие нагрузки в AWS, Azure или GC, — вам нужен поставщик с реальными возможностями обнаружения облачных ресурсов, а не тот, кто просто добавил облачный модуль к сервису, ориентированному на конечные точки.
То же самое относится и к идентификации. Поскольку атаки с использованием учетных данных теперь составляют значительную часть утечек данных, вам необходима прозрачность вашей инфраструктуры идентификации — Active Directory, Azure AD, Okta — чтобы выявлять такие проблемы, как необычное повышение привилегий или подозрительные схемы аутентификации, прежде чем они перерастут в инциденты.
Оформите объем работ в письменном виде: какие среды они охватывают, какие источники данных используют и какие пробелы существуют в их охвате.
4. Команда аналитиков — кто же на самом деле скрывается за кулисами?
Технология — это основа, но MDR — это, по сути, сервис, управляемый человеком. Качество аналитиков, наблюдающих за вашей средой, имеет огромное значение, возможно, даже большее, чем используемая ими платформа.
Поинтересуйтесь квалификацией аналитиков и структурой уровней опыта. Сколько уровней аналитиков у них есть? Как работает эскалация? Действительно ли люди, которые занимаются вашими наиболее критическими инцидентами, являются опытными специалистами, или «уровень 3» означает человека, который работает в сфере безопасности два года и недавно получил сертификат?
Поинтересуйтесь соотношением персонала и клиентов. Сколько клиентских сред отслеживает каждый аналитик? У поставщика услуг, обслуживающего тысячу клиентов и имеющего пятьдесят аналитиков, команда работает на пределе своих возможностей. Вам нужно знать, что когда что-то происходит в вашей среде, вы не стоите в очереди за тридцатью другими клиентами.
Географическое распределение тоже имеет значение. Угрозы не срабатывают в рабочее время. Спросите, как они организуют работу в ночное время и выходные дни в вашем часовом поясе.
5. Threat IntelLigence — Собственная аналитическая информация или потоки данных о сырьевых товарах?
Threat intelИнтеллектуальная информация — это топливо, обеспечивающее эффективное обнаружение. Вопрос в том, использует ли поставщик общие, широко доступные источники данных — то есть, он видит те же сигналы, что и все остальные, часто со значительной задержкой — или же он обладает собственной интеллектуальной системой, созданной на основе телеметрии, полученной в тысячах контролируемых сред.
В этом отношении поставщики, работающие в больших масштабах, имеют реальное преимущество. Они отслеживают схемы атак и тактику противников в различных отраслях и регионах, что позволяет им создавать более совершенную логику обнаружения и обмениваться индикаторами компрометации гораздо быстрее, чем любая отдельная организация могла бы сделать это самостоятельно.
Спросите, как у них threat intelLigence позволяет в режиме реального времени формировать правила обнаружения и определять, насколько быстро они внедряют новые данные при обнаружении серьезной уязвимости или кампании атак.
6. Интеграция с вашей существующей инфраструктурой.
Вы не начинаете с нуля. У вас уже есть такие инструменты, как межсетевые экраны. endpoint protectionплатформы идентификации и системы обработки заявок. Хороший поставщик MDR должен легко интегрироваться с уже имеющимся у вас оборудованием, а не требовать полной замены всего.
Уточните конкретно возможности интеграции. Работают ли они с вашей SIEM-системой, или вам необходимо использовать их собственную? Могут ли они получать журналы из вашего существующего набора инструментов, или им нужно развернуть собственные датчики повсюду?
Процесс адаптации часто является наиболее показательной частью разговора с поставщиком. Если они не могут четко объяснить, как будут подключаться к вашей среде и как будут выглядеть первые 60 дней, ожидайте проблем в будущем.
Как провести процесс выбора поставщика, не затерявшись в информационном шуме.
Знать, что именно нужно оценивать, — это одно. А вот разработать структурированный процесс, который позволит получить правильные ответы, — совсем другое.
Прежде чем разговаривать с кем-либо, определитесь со своими потребностями.
Перед отправкой первого запроса предложений (RFP) тщательно задокументируйте свою среду, профиль рисков, обязательства по соблюдению нормативных требований и внутренние возможности. Что может выполнить ваша команда? Что вы хотите, чтобы поставщик полностью взял на себя? Где находятся ваши наиболее важные активы, и каков реалистичный радиус поражения в случае возникновения проблем?
Этот контекст определяет всё. Поставщик решений MDR, идеально подходящий для медицинской компании со строгими нормативными требованиями и локальной инфраструктурой, не обязательно будет правильным выбором для финтех-стартапа, работающего с облачными технологиями.
Составляйте список кандидатов, основываясь на соответствии, а не на узнаваемости бренда.
Крупные игроки на рынке кибербезопасности не всегда являются самыми сильными поставщиками решений MDR. Некоторые из наиболее компетентных поставщиков — это компании среднего размера или специализированные компании. Составляйте свой список кандидатов, основываясь на том, кто действительно подходит для вашей среды и требований, а не на том, кто наиболее заметен на конференциях.
Аналитические отчеты по отраслям могут помочь сориентироваться, но рассматривайте их как отправную точку, а не как заключение. Они часто отстают от рынка и не отражают нюансов вашей конкретной ситуации.
Запросите проведение настольного учения или проверку концепции.
Хорошо спланированная настольная игра-симулятор расскажет вам о реальных возможностях поставщика гораздо больше, чем любая презентация. Попросите их разыграть реалистичный сценарий атаки, актуальный для вашей отрасли, и показать, как именно они бы его обнаружили и отреагировали на него. Некоторые поставщики предлагают ограниченный период проверки концепции. Если они не позволяют вам оценить их возможности должным образом до подписания договора, обратите на это внимание.
Внимательно изучите условия коммерческого соглашения.
В договорах MDR могут содержаться важные ограничения, скрытые в мелком шрифте. Обращайте внимание на расплывчатые формулировки SLA, которые трудно измерить, процедуры эскалации, требующие вашего одобрения перед любыми действиями по локализации, и ограничения на количество инцидентов или ответных действий, включенные в базовую цену. Получите измеримые SLA для времени обнаружения и реагирования и убедитесь, что «реагирование» в договоре означает фактическую локализацию, а не уведомления.
Внедрение MDR: как правильно начать первые 90 дней
Победа в тендере на поставку MDR-решения — это только начало. Проблемы чаще всего возникают на этапе внедрения.
Относитесь к процессу адаптации как к настоящему партнерству.
Первые несколько недель посвящены интеграции, калибровке и настройке. Поставщику необходимо глубоко понимать вашу среду, ваши обычные модели трафика, часы работы, утвержденные инструменты и учетные записи с привилегиями. Без этого контекста даже отличный механизм обнаружения будет генерировать лишнюю информацию, которая подорвет доверие ко всей службе.
Попросите вашего поставщика предоставить подробный план внедрения с четкими этапами и ответственными лицами на каждом шаге. Определите, что означает «полная работоспособность» и когда вы этого достигнете.
Определите пути эскалации до запуска системы.
Прежде чем запускать сервис, определите, с кем следует связываться в случае серьезной проблемы. При каком уровне серьезности с ними следует связываться: с руководителем SOC, с директором по информационной безопасности (CISO) или с группой реагирования на инциденты? Кто имеет полномочия утверждать меры по локализации, которые могут повлиять на производственные системы?
Принимать такие решения под давлением в 23:00, когда разворачивается активное происшествие, значительно сложнее. Принимайте их заранее, в письменном виде.
Внедрите регулярный цикл проверки.
Ежемесячные или ежеквартальные обзоры бизнес-процессов должны быть частью вашего взаимодействия с MDR с самого первого дня. На них следует обсуждать тенденции угроз в вашей среде, корректировки настроек, пробелы в покрытии, любые потенциально опасные ситуации и планы развития поставщика. Поставщик, который не предоставляет проактивную информацию на этих встречах, не приносит полной пользы.
Соответствие требованиям: MDR — это не галочка в списке, но он помогает отметить нужные пункты.
Если ваша организация работает в соответствии с нормативными требованиями — HIPAA, PCI DSS, SOC 2, ISO 27001, GDPR или DPDP — то ваш поставщик услуг MDR становится важной частью вашей системы обеспечения соответствия нормативным требованиям.
Система MDR обеспечивает непрерывный мониторинг и ведение журналов, что соответствует требованиям большинства систем управления событиями безопасности. Возможности реагирования отвечают требованиям реагирования на инциденты. А документация, которую предоставляет хороший поставщик MDR — отчеты о расследованиях, анализ первопричин, сроки устранения неполадок — это именно те доказательства, которые хотят видеть аудиторы и регулирующие органы.
Тем не менее, MDR не заменяет базовое управление безопасностью, за которое вы несете ответственность. Он отвечает за обнаружение и реагирование, но вы по-прежнему отвечаете за управление уязвимостями, контроль доступа, классификацию данных и более широкую структуру программы безопасности.
Убедитесь, что любой поставщик, которого вы рассматриваете, понимает ваши конкретные требования к соблюдению нормативных требований, и поинтересуйтесь, какие отчеты и аудиторские доказательства они предоставляют в рамках своих стандартных услуг.
Технологический стек, лежащий в основе качественного MDR (Master of Decision Recovery — восстановление после сбоев в работе).
Понимание того, что скрывается под капотом, поможет вам задавать более грамотные вопросы во время работы. Managed Detection and Response Оценка поставщиков. Большинство надежных сервисов MDR построены на сочетании следующих возможностей:
Endpoint Detection and Response (МЭД) Обеспечивает глубокое понимание того, что происходит на уровне конечного устройства — активность процессов, изменения файлов, сетевые подключения и попытки горизонтального перемещения. EDR часто является ядром платформ MDR.
Extended Detection and Response (XDR) Расширяет эту видимость за пределы конечных точек, сопоставляя сигналы на уровне сети, облака, идентификации и приложений, чтобы обеспечить более полную картину происходящей атаки. Лучшие сервисы MDR построены на основе зрелой платформы XDR.
SIEM и Data Lake Объединяет и сопоставляет журналы из разных систем. Некоторые поставщики используют коммерческие SIEM-системы, другие разработали собственные платформы, оптимизированные для масштабов, необходимых для MDR.
Threat Intelлигенция — как глобальные потоки данных, так и собственная информация, полученная в результате мониторинга тысяч сред, — обеспечивает аналитикам контекст, необходимый для быстрого различения реальных угроз от безобидных аномалий.
SOAR (Оркестровка безопасности, автоматизация и реагирование) Автоматизирует рутинные задачи реагирования и оптимизирует рабочие процессы аналитиков, позволяя команде сосредоточиться на расследовании и принятии решений, а не на повторяющихся ручных задачах.
ИИ и машинное обучение все большее влияние оказывает уровень обнаружения, выявляя аномалии и сопоставляя слабые сигналы, которые было бы невозможно обнаружить в больших масштабах силами человеческого анализа.
Ключевой вопрос не в том, есть ли у поставщика все эти возможности, а в том, обеспечивает ли его объединенный набор инструментов всестороннюю и взаимосвязанную картину вашей конкретной среды.
Почему выбирают Seqrite в качестве вашего поставщика MDR
Если вы оцениваете поставщиков решений для управляемого обнаружения и реагирования — особенно если вы работаете в Индии или имеете значительное присутствие в Азиатско-Тихоокеанском регионе — SeqriteАвтора Managed Detection and Response СЕРВИС Стоит включить в свой список кандидатов.
Seqrite MDR построена непосредственно на основе Seqrite XDRЭто обеспечивает глубокую, взаимосвязанную видимость конечных точек, сети, облака и идентификации с первого дня — а не накладные функции, создающие пробелы в обнаружении. Команда MDR состоит из специалистов различных областей. Seqrite Компания Labs годами отслеживала сложные угрозы, выявляла злоумышленников и собирала разведывательную информацию о кампаниях атак, направленных на организации в различных отраслях и регионах.
На практике это означает следующее: аналитики, отслеживающие вашу среду, работают не с общедоступными источниками данных. Их работа основана на собственных разработках. threat intelСистема ligence, созданная на основе реальных данных об атаках, постоянно обновляется, чтобы отражать то, что на самом деле происходит на современном рынке угроз.
Seqrite MDR также имеет встроенную интеграцию с Seqrite Endpoint Protection (ПОП), так что если вы уже бежите Seqrite Благодаря EPP, охватывающему все ваши конечные устройства, путь к всестороннему покрытию MDR значительно короче, чем если начинать с нуля с поставщиком, платформа которого не имеет доступа к вашей существующей инфраструктуре.
И всё это — MDR, XDR, EPP и Seqrite Threat Intelлигенция — работает на базе GoDeep.AI, SeqriteGoDeep.AI — это специально разработанный движок искусственного интеллекта, сочетающий глубокое обучение, поведенческий анализ и прогнозную аналитику. Это не сторонний модуль ИИ, внедренный в чью-то архитектуру. GoDeep.AI был разработан специально для кибербезопасности, обучен на данных об угрозах, накопленных за десятилетия, и спроектирован для непрерывной работы — обучаясь на каждой новой угрозе, чтобы отслеживать ее происхождение, понимать последствия и адаптировать логику обнаружения в режиме реального времени.
Для организаций, оценивающих внедрение MDR в рамках более широкой трансформации системы безопасности, SeqriteПреимущество заключается в интегрированной платформе. Вам не нужно объединять отдельные решения от разных поставщиков. У вас есть EPP, XDR, Threat IntelLigence и MDR на единой платформе, с единым источником достоверной информации для всей вашей системы безопасности.
Интеграция имеет гораздо большее значение, чем большинство покупателей изначально предполагают, особенно когда происходит инцидент и вам необходимо, чтобы ваши инструменты обнаружения, расследования и реагирования работали вместе, а не генерировали разрозненные данные, которые вашей команде приходится вручную сопоставлять под давлением.
Часто задаваемые вопросы о MDR
В чём разница между MDR и MSSP?
Традиционно поставщики управляемых услуг безопасности (MSSP) управляли инструментами безопасности и пересылали оповещения вашей команде. Поставщики услуг мониторинга, восстановления и реагирования (MDR) расследуют эти оповещения и предпринимают соответствующие действия. Ключевое различие заключается в том, поддерживает ли поставщик ваши интересы во время инцидента или просто передает вам заявку и ждет, пока ваша команда отреагирует.
Нужна ли мне система MDR, если у меня уже есть SIEM-система?
SIEM-система обеспечивает агрегацию и корреляцию логов. Она не предоставляет экспертных знаний для анализа и реагирования на возникающие проблемы. MDR и SIEM выполняют разные функции — MDR может работать совместно с существующей SIEM-системой или заменить её, в зависимости от архитектуры поставщика.
Может ли MDR заменить мою внутреннюю команду безопасности?
Система MDR расширяет возможности вашей команды, беря на себя круглосуточный мониторинг и реагирование, позволяя вашим внутренним сотрудникам сосредоточиться на стратегической работе в области безопасности, управлении программами и специфических для бизнеса аспектах, которые внешняя команда не может обеспечить.
Что происходит во время активного инцидента?
Группа MDR обнаруживает и расследует инцидент, незамедлительно принимает меры по его локализации в рамках заранее согласованного объема работ, передает информацию вашей команде в соответствии с определенным вами планом действий и работает совместно с вашей службой реагирования на инциденты на протяжении всего инцидента. После инцидента вы должны получить подробный отчет, содержащий хронологию событий, анализ первопричин, реконструкцию пути атаки и рекомендации по устранению последствий.
