Managed Detection and Response (MDR) é um serviço terceirizado de segurança cibernética projetado para proteger dados e ativos, mesmo quando as ameaças ignoram os controles de segurança organizacional padrão.
O que é MDR?
A abordagem MDR à segurança concentra-se principalmente na proteção contra malware sofisticado, ransomware e ameaças persistentes avançadas (APT), que as ferramentas de segurança tradicionais não conseguem detectar. Ele complementa soluções como antivírus legado, firewalls e sistemas de prevenção de intrusão (IPSs), fornecendo uma segunda camada de proteção caso invasores violem essas defesas.
MDR tem dois três elementos: uma plataforma de software implantada em a organização protegida, inteligência de ameaças e técnicas avançadas de análise e uma equipe de especialistas humanos. Esses especialistas gerenciam a plataforma remotamente, analisam dados de segurança e os usam para detectar e responder a ameaças.
MDR e EDR
A maioria dos serviços de MDR é baseada na tecnologia de detecção e resposta de endpoint (EDR). EDR é uma tecnologia de segurança de endpoint introduzida em 2013 e rapidamente se tornou uma parte essencial do kit de ferramentas de segurança moderno.
As soluções de EDR são implantadas em endpoints, como estações de trabalho de funcionários, servidores e dispositivos móveis. Eles usam análises comportamentais avançadas para detectar atividades suspeitas em um endpoint, enviar alertas para equipes de segurança e podem bloquear automaticamente alguns ataques, por exemplo, interrompendo um processo de software suspeito ou isolando um endpoint da rede. Especialistas em segurança podem usar a plataforma EDR para investigar o incidente e conter a ameaça.
Desafios de segurança para pequenas e médias empresas
Pequenas e médias empresas (PMEs) ) são a principal força motriz da economia global. No entanto, as PMEs enfrentam vários desafios de segurança cibernética. Por exemplo, a maioria das empresas teme que os ataques cibernéticos possam afetar gravemente seus resultados, até mesmo colocá-los fora dos negócios.
Infelizmente, as violações de segurança cibernética são extremamente comuns, com mais de um terço das PMEs relatando um incidente nos últimos cinco anos. Infelizmente, algumas empresas menores negligenciam as preocupações de segurança, acreditando que são muito difíceis de prevenir ou apenas um problema significativo para grandes empresas.
Entre as violações sofridas por SMBs, o tipo mais comum de incidente é um ataque de phishing. Outros riscos significativos incluem dispositivos perdidos ou roubados (especialmente laptops), fraude de CEO e ransomware (que congela ou exclui dados para extorquir um pagamento de resgate). Além disso, os golpistas costumam usar as preocupações atuais para induzir os funcionários a revelar informações confidenciais – por exemplo, alguns e-mails de phishing exploraram os medos relacionados à pandemia do COVID-19 para violar contas.
A fraude do CEO é uma isca que engana funcionários a cumprir as instruções em um e-mail fraudulento que parece ser do CEO da empresa. Muitas vezes, o e-mail solicita um pagamento urgente para algum propósito comercial.
Resumo dos Desafios de Segurança das SMBs
- Muitas empresas e funcionários estão cientes das ameaças.
No entanto, as empresas não protegem suficientemente seus dados sensíveis.
As empresas não dispõem de orçamento para implementar medidas de segurança.
As empresas não dispõem de orçamento para implementar medidas de segurança.
Há uma escassez de especialistas em segurança cibernética.
O setor SMB carece de diretrizes de segurança adequadas.
Após a pandemia do COVID-19, muitas PMEs enfrentaram desafios de segurança adicionais. Como resultado, as empresas tiveram que encontrar novas maneiras de fornecer serviços aos clientes e permitir que os funcionários continuassem trabalhando durante o bloqueio ou isolamento para manter seus negócios à tona. Normalmente, isso envolvia a mudança para operações de negócios on-line para dar suporte a uma força de trabalho remota.
No entanto, a migração on-line (ou seja, para a nuvem) e o fornecimento de acesso remoto a aplicativos e dados corporativos confidenciais apresenta ameaças de segurança adicionais e requer uma nova abordagem de segurança cibernética.
Por que o MDR é importante para as PMEs?
Quando as soluções de EDR foram introduzidas, elas foram adotadas por muitas PMEs, devido à sua capacidade de identificar e interromper ataques cibernéticos prejudiciais imediatamente à medida que ocorrem. Por exemplo, uma solução de EDR pode detectar e bloquear efetivamente ataques de ransomware novos e desconhecidos, o que pode prejudicar uma organização despreparada.
No entanto, a maioria das SMBs que compraram o EDR descobriram que não podiam operá-lo efetivamente. Uma organização SMB normalmente não tem uma equipe de segurança interna dedicada, e a segurança é cuidada por administradores de TI. Esses especialistas em TI não têm tempo e treinamento para aprender a usar o EDR e configurá-los adequadamente.
Mesmo que os especialistas internos possam usar o sistema EDR, eles normalmente não têm tempo para revise todos os alertas de alta prioridade e reaja a eles. Para piorar a situação, a escassez global de habilidades de segurança cibernética significa que, mesmo que uma organização SMB opte por contratar uma equipe de segurança, ela pode não conseguir encontrar candidatos adequados e pode não conseguir pagar o salário exigido.
A escolha natural é terceirizar o EDR para um provedor externo. É exatamente isso que o MDR oferece — um serviço de MDR oferece software EDR, juntamente com especialistas em segurança dedicados que podem usá-lo para monitoramento de rede e endpoint, análise de incidentes e resposta a incidentes.
MDR tem várias vantagens para uma organização SMB em comparação com o uso de EDR:
Custos iniciais mais baixos, sem necessidade de adquirir software EDR e infraestrutura relacionada.
Não há necessidade de implantar e configurar EDR (que é demorado e requer experiência)
Acesso a especialistas em segurança qualificados que são treinados em soluções de EDR.
Acesso a especialistas em segurança qualificados que são treinados em soluções de EDR.
Os especialistas do provedor têm tempo para revisar todos os alertas de segurança relevantes e responder a ameaças relevantes.
O uso especializado do EDR pode resultar em uma chance muito maior de que incidentes críticos sejam tratados de forma rápida e eficiente, evitando violações de dados.
- Especialistas em MDR podem fornecer informações para a organização SMB, ajudando Melhore as práticas de segurança para evitar o próximo ataque.
Um serviço MDR pode fornecer os seguintes benefícios de segurança:
Proteção contra zero- ataques diários e vetores de ataque em evolução.
Proteção contra ameaças sofisticadas que podem contornar as medidas de segurança existentes.
Evitando que incidentes críticos se transformem em violações de dados completas.
Deve tempo de recuperação mais rápido, o que pode ter um grande impacto em caso de violação.
Não há necessidade de recrutar serviços externos de resposta a incidentes quando um ocorre um grande ataque. Isso é caro e também menos eficaz quando esses serviços são contratados no último minuto.
Avaliando o MDR Serviços
Um serviço MDR pode fornecer os seguintes benefícios de segurança:
Proteção contra zero- ataques diários e vetores de ataque em evolução.
Proteção contra ameaças sofisticadas que podem contornar as medidas de segurança existentes.
Um serviço MDR pode fornecer os seguintes benefícios de segurança:
Proteção contra zero- ataques diários e vetores de ataque em evolução.
Proteção contra ameaças sofisticadas que podem contornar as medidas de segurança existentes.
Proteção contra zero- ataques diários e vetores de ataque em evolução.
Proteção contra ameaças sofisticadas que podem contornar as medidas de segurança existentes.
Proteção contra ameaças sofisticadas que podem contornar as medidas de segurança existentes.
Evitando que incidentes críticos se transformem em violações de dados completas.
Deve tempo de recuperação mais rápido, o que pode ter um grande impacto em caso de violação.
Não há necessidade de recrutar serviços externos de resposta a incidentes quando um ocorre um grande ataque. Isso é caro e também menos eficaz quando esses serviços são contratados no último minuto.
Deve tempo de recuperação mais rápido, o que pode ter um grande impacto em caso de violação.
Não há necessidade de recrutar serviços externos de resposta a incidentes quando um ocorre um grande ataque. Isso é caro e também menos eficaz quando esses serviços são contratados no último minuto.
Não há necessidade de recrutar serviços externos de resposta a incidentes quando um ocorre um grande ataque. Isso é caro e também menos eficaz quando esses serviços são contratados no último minuto.
Avaliando o MDR Serviços
Aqui estão os critérios mais importantes que você deve avaliar ao considerar um serviço de MDR para sua organização SMB:
- Leia relatórios de terceiros sobre a capacidade do serviço de responder a ameaças que ignoram os controles de segurança ativos.
Avalie EDR e outras tecnologias fornecidas pelo serviço—prefira uma plataforma comprovada implantada por respeitados organizações em seu setor.
Avalie as respostas de segurança automatizadas são fornecido pela tecnologia do provedor. Algumas soluções de MDR podem orquestrar ferramentas de segurança existentes, por exemplo, definindo automaticamente uma regra de firewall ou reconfigurando segmentos de rede para bloquear tráfego malicioso.
Avalie as respostas de segurança automatizadas são fornecido pela tecnologia do provedor. Algumas soluções de MDR podem orquestrar ferramentas de segurança existentes, por exemplo, definindo automaticamente uma regra de firewall ou reconfigurando segmentos de rede para bloquear tráfego malicioso.
Entenda como o provedor realiza o gerenciamento remoto—por exemplo, qual nível de acesso eles exigem aos sistemas locais, como eles trabalham com ambientes em nuvem e o nível de interação com equipes internas.
Identificar o impacto de conformidade de serviços MDR. Por exemplo, alguns regulamentos ou padrões podem limitar a forma como você trabalha com um serviço MDR.
Avalie o nível de serviço fornecido e se o serviço de MDR é realmente de ponta a ponta, desde o monitoramento até a detecção de incidentes, contenção, erradicação e recuperação. Se certas partes do processo não forem tratadas pelo provedor, considere como você lidará com elas com as equipes internas.
Avalie os recursos de inteligência de ameaças e análises da plataforma, que são os principais diferenciais entre os fornecedores.
Pergunte ao provedor sobre as opções de personalização e se você pode adaptar o Serviço de MDR para a configuração e necessidades técnicas específicas da sua organização.
Conclusão
Avalie o nível de serviço fornecido e se o serviço de MDR é realmente de ponta a ponta, desde o monitoramento até a detecção de incidentes, contenção, erradicação e recuperação. Se certas partes do processo não forem tratadas pelo provedor, considere como você lidará com elas com as equipes internas.
Avalie os recursos de inteligência de ameaças e análises da plataforma, que são os principais diferenciais entre os fornecedores.
Pergunte ao provedor sobre as opções de personalização e se você pode adaptar o Serviço de MDR para a configuração e necessidades técnicas específicas da sua organização.
Conclusão
Avalie os recursos de inteligência de ameaças e análises da plataforma, que são os principais diferenciais entre os fornecedores.
Pergunte ao provedor sobre as opções de personalização e se você pode adaptar o Serviço de MDR para a configuração e necessidades técnicas específicas da sua organização.
Conclusão
Conclusão
Neste artigo, expliquei o básico do MDR e mostrei como ele pode ser um divisor de águas para a segurança SMB. Em particular, o MDR pode fornecer os seguintes recursos exclusivos que uma pequena empresa não conseguiria de outra forma:
-
Acesso imediato a especialistas em segurança externa
Proteção contra zero ataques diários e vetores de ataque em evolução
Proteção contra ameaças sofisticadas que contornam as medidas de segurança existentes
Identificação de incidentes críticos e prevenção de sua escalada
Recuperação rápida de incidentes graves
Proteção contra ameaças sofisticadas que contornam as medidas de segurança existentes
Identificação de incidentes críticos e prevenção de sua escalada
Recuperação rápida de incidentes graves
Identificação de incidentes críticos e prevenção de sua escalada
Recuperação rápida de incidentes graves
Recuperação rápida de incidentes graves
Espero que isso seja útil para você levar a segurança da sua pequena empresa para o próximo nível.
Crédito da Imagem em Destaque: Fornecido pelo Autor; Vecteezy; Obrigada!
Gilad Maayan
