Это та часть истории, касающаяся безопасности, где dashboardПерестаньте успокаивать себя. Вы можете купить SIEM-систему. Вы можете развернуть EDR. Вы можете отправлять журналы «куда-то». И все же инциденты все равно происходят, потому что никто не следит достаточно внимательно, достаточно долго и с достаточным контекстом, чтобы быстро реагировать. Итак, что же такое управляемое обнаружение и реагирование (MDR) простыми словами? Это услуга безопасности, в рамках которой внешняя команда постоянно отслеживает вашу среду, ищет угрозы, расследует подозрительную активность и помогает сдерживать атаки (часто круглосуточно), используя сочетание технологий и человеческих аналитиков. Это практический ответ на вопрос, что такое MDR: обнаружение плюс реагирование, предоставляемое как постоянная оперативная возможность, а не как еще один инструмент, которым вы должны управлять самостоятельно. Если вы оцениваете поставщиков услуг управляемого обнаружения и реагирования, вы, как правило, пытаетесь решить одну из следующих проблем: слишком много оповещений, слишком мало квалифицированных аналитиков или отсутствие уверенности в том, что «мы вовремя это обнаружим». Именно этот пробел и призвано заполнить управляемое обнаружение и реагирование.
Чего пытается достичь MDR? #
Давайте будем строги к результатам. Что не является MDR: добавление большего количества телеметрии, сбор большего количества логов или создание большего количества заявок? MDR (Managed Detection and Response) направлена на сокращение времени между «произошло что-то подозрительное» и «мы отреагировали».
Большинство определений сходятся на одних и тех же основных принципах:
- Непрерывный мониторинг (часто описываемый как круглосуточный)
- Проактивный поиск угроз
- Расследование, проведенное экспертами-аналитиками.
- Целенаправленные или активные ответные действия для сдерживания угроз.
Именно поэтому поставщиков услуг управляемого обнаружения и реагирования оценивают иначе, чем поставщиков программного обеспечения для обеспечения безопасности. Покупатель приобретает не просто платформу, а средство оперативного выполнения задач.
А если вам нужна четкая ментальная модель для руководства, то MDR — это «результаты SOC как услуга», с ответственностью за качество обнаружения и рекомендации по реагированию.
Общие неправильные представления #
В ходе переговоров с группами безопасности снова и снова возникают одни и те же недоразумения. Они приводят к неудачным решениям о покупке.cisионы, слабые интеграции и нереалистичные ожидания. Итак, для начала давайте развеем заблуждения.
Заблуждение №1: «У нас уже есть инструменты, значит, у нас уже есть MDR». #
Действительно! Но инструменты — это не услуга. Установленный повсюду агент EDR не означает, что кто-то активно расследует поведение злоумышленников на разных конечных точках и учетных записях. SIEM-система, заполненная логами, не означает, что подтвержденные инциденты локализованы. В этом и заключается основное отличие управляемого обнаружения и реагирования: это оперативная работа, выполняемая непрерывно, а не только сбор данных.
Заблуждение №2: «MDR просто пересылает оповещения». #
Если аббревиатура «MDR» у поставщика по сути означает «мы вас уведомим», то вы не получаете того, что на самом деле представляет собой MDR в том виде, в котором его описывают большинство авторитетных определений. Ожидается, что MDR будет включать в себя поддержку в расследовании и реагировании, а часто и в поиске угроз, поскольку именно обнаружение без последующих действий приводит к тому, что утечки данных попадают в заголовки новостей.
Заблуждение №3: «MDR заменяет собой ответственность за внутреннюю безопасность». #
Нет. Даже лучшие поставщики услуг по управлению обнаружением и реагированием по-прежнему требуют от вас определения путей эскалации, влияния на бизнес, критичности активов и того, кто уполномочен предпринимать деструктивные действия. Управление обнаружением и реагированием — это расширение ваших возможностей, а не замена управлению.
Заблуждение №4: «Все поставщики услуг по управляемому обнаружению и реагированию одинаковы». #
Это не так. Некоторые в значительной степени сосредоточены на телеметрии конечных точек, другие — на операциях, ориентированных на SIEM, третьи — на идентификации и облачных технологиях. Полномочия по реагированию также различаются: некоторые поставщики могут изолировать хосты или блокировать учетные записи; другие только рекомендуют действия. Если вы покупаете, основываясь на брошюре, вы на самом деле покупаете не управляемое обнаружение и реагирование, а маркетинг.
Что именно делает MDR во время атаки? #
Чтобы было понятнее, вот типичная схема действий, которой следуют многие поставщики услуг управляемого обнаружения и реагирования:
- Собирайте сигналы с конечных устройств, систем идентификации, сетей и облачных журналов.
- Выявляйте подозрительные закономерности с помощью аналитики, правил и обогащения информации об угрозах.
- Проведите расследование, чтобы подтвердить, так ли это. вредоносный (или шумовой).
- В ответ на это необходимо определить меры по локализации (или выполнить их), а затем оказать помощь. рекультивация и восстановление.
Эта цепочка (обнаружение → проверка → реагирование) является оперативным определением того, что такое MDR (управляемое обнаружение и реагирование), и именно поэтому управляемое обнаружение и реагирование все чаще позиционируется как практическое решение проблемы нехватки персонала в центрах оперативного реагирования.
Какие источники данных отслеживает MDR? #
Чтобы система MDR работала, необходимо предоставлять ей значимые данные. Что такое MDR без телеметрии? В основном обещания. На практике поставщики услуг управляемого обнаружения и реагирования отслеживают комбинацию этих источников (состав зависит от поставщика и вашей архитектуры):
Телеметрия конечных точек (рабочие станции, серверы, контейнеры)
Выполнение процессов, изменение файлов, попытки закрепления в системе, подозрительные дочерние процессы, схемы дампа учетных данных и другие действия на конечных устройствах, часто осуществляемые с помощью инструментов EDR, используемых группами MDR.
Сетевые сигналы и сигналы DNS
Исходящие соединения, необычные адреса назначения, аномалии DNS, трассировки горизонтального перемещения и схемы управления.
Журналы идентификации и доступа
События аутентификации, невозможные перемещения, необычное использование токенов, повышение привилегий и рискованное поведение администратора. Некоторые службы MDR явно охватывают вопросы идентификации. обнаружение угрозы в рамках их компетенции по мониторингу.
Журналы плоскости управления и рабочей нагрузки облачной инфраструктуры
Журналы аудита облачных сред (вызовы API, изменения политик), активность рабочих нагрузок и подозрительный доступ к хранилищу или управлению ключами — все это важно, поскольку злоумышленники любят переходить в облачные среды, получив учетные данные.
Журналы безопасности и централизованные данные о событиях
Многие модели MDR используют хранилище данных или агрегацию в стиле SIEM для сопоставления данных из разных источников.
Главный вывод: качество результатов мониторинга управляемого обнаружения и реагирования (MDR) во многом зависит от того, что вы интегрируете. Именно поэтому серьезные покупатели спрашивают, что представляет собой мониторинг управляемого обнаружения и реагирования в нашей среде и какой минимальный объем телеметрии необходим для получения от него пользы.
MDR против MSSP против EDR: где возникает путаница. #
Для команд DevOpsЦель этого сканирования не в том, чтобы замедлить работу, а в том, чтобы избежать переделок и инцидентов. Одно из главных преимуществ — ранняя обратная связь. Разработчики получают мгновенную обратную связь. Вот простой способ поддерживать согласованность повествования:
- EDR Это, прежде всего, категория инструментов, ориентированная на конечные устройства.
- ППГЧ Часто фокусируется на более широких операциях по управлению безопасностью, иногда с упором на мониторинг и обработку заявок.
- Что такое MDR?Сервис, ориентированный исключительно на обнаружение и ответ результаты, как правило, достигаются путем поиска угроз и проведения расследований аналитиками.
И если кто-то снова спросит, чем MDR отличается от XDR: XDR обычно описывается как технологический подход, объединяющий множество источников телеметрии, в то время как MDR — это сервисная модель, которая может использовать инструменты, подобные XDR, но предоставляет людей и процессы для ее реализации.
Как оценить поставщиков услуг по управляемому обнаружению и реагированию на инциденты? #
При выборе поставщиков управляемых систем обнаружения и реагирования сосредоточьтесь на деталях выполнения, а не на списках функций:
- Кто проводит расследование (и какова их модель аналитического охвата)?
- Какие ответные действия они могут предпринять и на основании каких разрешений?
- Какие источники телеметрии им необходимы, и какие интеграции доступны изначально?
- Как они осуществляют поиск угроз и проверку достоверности данных для снижения количества ложных срабатываний?
Что именно подразумевается под управляемым обнаружением и реагированием в вашей организации, зависит от вашей среды, модели полномочий по реагированию и от того, насколько хорошо поставщик интегрируется в ваши рабочие процессы.
В заключение отметим глубину обнаружения и контекст реагирования. #
Одно из распространенных ограничений многих программ управляемого обнаружения и реагирования (MDR) заключается не в отсутствии оповещений, а в отсутствии высоконадежных ранних сигналов. Команды MDR в значительной степени зависят от качества и своевременности получаемых данных. Когда обнаружение происходит поздно, реагирование уже носит реактивный характер. Именно здесь становятся актуальными дополнительные подходы, ориентированные на ранний анализ поведения и контекстную аналитику. Такие платформы, как... Ксигени Основное внимание уделяется обнаружению вредоносного поведения на как можно более ранних этапах жизненного цикла программного обеспечения и во время выполнения, что позволяет получать более точные сигналы, которые могут быть использованы как группами обеспечения безопасности, так и группами мониторинга и восстановления после сбоев (MDR).
Совместное использование возможностей раннего обнаружения и управляемого обнаружения и реагирования помогает сократить время пребывания объекта в зоне риска, повысить точность расследования и сделать действия по реагированию более эффективными.cisживые, особенно в условиях, где современные атаки сочетание злоупотребления приложениями, компрометации личных данных и неправомерного использования инфраструктуры.
