Proč a kdy používat MDR?

Přečtěte si další články z této série:

MDR: 1. díl - Řízená detekce a reakce: Je MDR vhodné pro vaši firmu?

Prostředí hrozeb se vyvíjí závratnou rychlostí a možnosti kybernetických útoků na podniky se zvyšují. Za mnoha současnými trendy a vývojem stojí prudký nárůst investic do digitální transformace během pandemie COVID-19 a po ní.

Vzhledem k vyššímu počtu potenciálních vektorů útoku mohou vaši bezpečnostní odborníci často zaostávat za útočníky, pokud jde o dovednosti, schopnosti a zdroje. Naštěstí existují způsoby, jak vaše bezpečnostní týmy mohou (znovu) vzít věci do vlastních rukou. Mohou zajistit proaktivní přístup, který zohledňuje prevenci, detekci a reakci, nebo mohou tento úkol zadat partnerům z oboru.

Právě to v sobě spojuje řízená detekce a reakce – MDR. Ne všechna řešení jsou však stejná, a proto se nyní podíváme na to, proč a kdy může vaše firma potřebovat služby MDR.

Proč MDR?

V poslední době ovlivnilo přechod firem na služby MDR několik trendů:

• Rychlé zavádění cloud computingu, pro který zaměstnanci nemají dostatečné dovednosti, což vede k chybné konfiguraci a následným útokům.
• Vznik hybridních pracovišť, což znamená potenciálně více nespravovaných zařízení v domácím prostředí a více roztržitých a rizikových zaměstnanců, kteří je používají.
• Nárůst složitosti dodavatelského řetězce, který dává útočníkům příležitost zaměřit se na poskytovatele spravovaných služeb (MSP), dodavatelé využívající repozitáře s otevřeným zdrojovým kódem a menší dodavatele.
• Ransomware jako služba (RaaS), který zpřístupnil možnost provádět sofistikované vícestupňové ransomwarové útoky i nezkušeným útočníkům.
• Zneužívání legitimních nástrojů k šíření infekce, což ztěžuje rozpoznání varovných příznaků narušení bezpečnosti.
• Kybernetické podsvětí, které se hemží uniklými nebo ukradenými daty, takže pro útočníky může být hračkou proniknout přes vaši obranu pomocí legitimních přihlašovacích údajů.
• Vyspělá ekonomika kybernetické kriminality, v níž mají jednotlivý útočníci, jako jsou zprostředkovatelé počátečního přístupu (Initial Access Brokers – útočníci, kteří se zaměřují na získání prvotního průniku do sítě nebo firemních účtů), jasně definovanou roli v dodavatelském řetězci útoků.
• Vyšší počet zveřejněných známých zranitelností, což dává útočníkům ještě více příležitostí ke kompromitaci cílů.

Všechny tyto a další trendy zvyšují pravděpodobnost útoku. V roce 2021 došlo v USA k nejvyššímu počtu úniků dat, které kdy byly zveřejněny. Tyto incidenty se hůře odhalují a jejich řešení je nákladnější. Průměrná doba odhalení a vyřešení úniku dat je v současnosti 277 dní a průměrné náklady činí 4,4 milionu USD na 2 200 až 102 000 kompromitovaných záznamů.

Když prevence nestačí

V tomto kontextu preventivní přístup k bezpečnosti jednoduše nestačí. Odhodlaní útočníci si vždy najdou cestu do vaší podnikové sítě. Když ne zneužitím zranitelnosti, tak prostřednictvím uniklých přihlašovacích údajů nebo dat získaných prostřednictvím phishingu nebo útoků hrubou silou. To znamená, že k prevenci je třeba přidat detekci hrozeb a reakci na ně.

Tento přístup předpokládá, že i když útočníci prolomí vaši obranu, stále probíhá nepřetržité a důkladné monitorování, které odhalí jakékoli známky podezřelé aktivity dříve, než zločinci stihnou uskutečnit svůj záměr. Váš tým zajišťující operační bezpečnost bude reagovat rychle a zabrání incidentu dříve, než dojde k závažnému narušení bezpečnosti vaší společnosti.

Stále oblíbenějším způsobem, jak toho dosáhnout, jsou řešení rozšířené detekce a reakce (XDR), která využívají důležitou schopnost detekce na koncových zařízeních, v e-mailových a cloudových klientech a dalších vrstvách v kombinaci s následnou reakcí a nápravou. Pro některé podniky však řešení XDR není všelékem. Jeho užitečnost mohou omezovat následující faktory:

• Nedostatečná kvalifikace zaměstnanců, což znamená, že společnost má málo vyškolených specialistů pro práci s XDR nástroji.
• Problémy s nasazením a správou (opět částečně způsobené nedostatkem zaměstnanců) jsou obzvláště akutní při správě nástrojů XDR ve více regionech.
• Vysoké náklady na zaměstnance i na nákup a údržbu vhodných nástrojů XDR.
• Příliš mnoho výstražných oznámení z nástrojů, které nedokážou přesně určit priority hrozeb, což představuje další zátěž pro analytiky.

Proto roste obliba MDR. Správu XDR zajišťuje odborný externí poskytovatel, což znamená, že detekci hrozeb, jejich prioritizaci, analýzu a reakci na ně zajišťují jeho vyškolení analytici.