Управляемое обнаружение и реагирование
MDR — комплексное решение для проактивного обнаружения и реагирования на угрозы, которое сочетает автоматические инструменты и обширный опыт аналитиков. Компании пользуются услугами Managed Detection and Response от внешних поставщиков.
Зачем компаниям MDR?
Чем более изощрёнными и продвинутыми становятся кибератаки, тем важнее бизнесу обеспечить непрерывный мониторинг, выявление даже скрытых угроз и максимально быстрое реагирование. Многие компании не могут достичь такого результата собственными силами из-за дефицита сотрудников в ИБ-команде и отсутствия аналитиков продвинутого уровня. MDR позволяет отдать на аутсорс задачи по детектированию угроз и сосредоточить усилия на совершенствовании политик безопасности.
Схема работы MDR
- Выявление угроз с помощью специальных инструментов в автоматическом режиме. Затем данные анализируют ИБ-специалисты, которые могут заметить опасные события, пропущенные такими сервисами.
- Исследование и расследование киберугроз. На этом этапе аналитики внимательно изучают контекст инцидента, затронутые системы и пользователей.
- Определение приоритетов. MDR расставит по уровню критичности найденные угрозы, определив, какие нужно устранять в первую очередь.
- Принятие экстренных мер. Эксперты порекомендуют, что нужно сделать, чтобы предотвратить дальнейшее развитие атаки и устранить угрозу.
- Возврат к первоначальному состоянию. Прорабатываются меры по полному устранению ущерба. Эксперты также порекомендуют шаги, которые помогут избежать повторения подобных ситуаций в будущем.
Сравнение MDR с XDR и EDR
В группе «обнаружение и реагирование» есть несколько классов решений, функции которых частично схожи с MDR:
- Обнаружение и реагирование на конечных точках (EDR) сосредоточено именно на мониторинге событий, происходящих на указанных в названии локациях. Собранные данные могут передаваться для дальнейшего анализа в MDR, поэтому применение EDR нередко становится частью услуги.
- Расширенное обнаружение угроз и реагирование (XDR) отличается большим количеством сенсоров и более продвинутыми методами обнаружения киберинцидентов. Нередко в нём используются и другие инструменты, в частности, управление идентификацией и доступом (IAM).
- Сетевое обнаружение и реагирование (NDR) выявляет потенциальные и реальные угрозы на основе событий в сети. Может стать основой для создания MDR. В этом случае услуга называется управляемое обнаружение и реагирование на уровне сети (MNDR).
MDR может стать логичным продолжением центров мониторинга и реагирования на киберугрозы (SOC). Так, набор дополнительных сервисов Solar расширяет SOC до возможностей MDR.
Преимущества MDR
- Максимальная скорость и точность обнаружения. Непрерывный мониторинг позволяет выявлять угрозы в любое время, а опыт ИБ-специалистов — устанавливать присутствие даже надёжно замаскированного в инфраструктуре злоумышленника.
- Повышение общего уровня киберустойчивости. Компания совершенствует уровень защиты на основе выявленных пробелов в безопасности и с помощью рекомендаций экспертов.
- Комплексный подход. В MDR-решениях есть все функции для оперативного и грамотного реагирования на атаки.