Pasar layanan terkelola membawa semakin banyak penyedia ke dalam campuran, karena semakin banyak organisasi memutuskan masuk akal secara fiskal dan operasional untuk mengalihdayakan fungsi-fungsi utama, bahkan yang secara tradisional dianggap sangat penting, seperti tugas-tugas berorientasi keamanan informasi tertentu. . Mungkin segmen penyedia layanan yang tumbuh paling cepat di ruang ini adalah MDR — deteksi dan respons terkelola.
Konsep MDR relatif muda di ruang penyedia layanan. Penawaran MDR biasanya dirancang untuk meningkatkan fungsi SOC (pusat operasi keamanan) Anda dengan menyediakan alat dan keahlian detektif dan reaktif. Dalam beberapa kasus, ini bahkan dapat menggantikan analis keamanan tingkat satu, atau tingkat triase Anda, yang berfokus pada peninjauan dan konfirmasi banjir peringatan keamanan masuk yang terkadang luar biasa.
Memiliki keahlian ini dan alat dasar yang tersedia secara outsourcing 24×7 dapat menjadi kemenangan besar, terlepas dari ukuran organisasi Anda. Ini adalah nilai yang sangat menarik ketika kami memikirkan betapa sulitnya mempekerjakan dan mempertahankan pekerja keamanan siber saat ini. Namun, seperti semua produk dan layanan keamanan, ada pertimbangan penting yang perlu diperhatikan saat mengevaluasi layanan MDR.
MSSP vs MDR
Kami tidak dapat memulai percakapan tentang MDR tanpa terlebih dahulu menangani MSSP, penyedia layanan keamanan terkelola. Pasar MSSP berusia lebih dari dua dekade dan muncul saat lanskap teknologi semakin kompleks — sebuah tantangan yang tentunya tidak akan hilang — itulah sebabnya masih ada kebutuhan yang kuat dan mendesak akan MSSP saat ini. Model penyampaian layanan MDR modern lahir dari ruang MSSP ini.
Sama seperti pasar SIEM (informasi keamanan dan manajemen acara) didorong maju dalam jangka waktu yang kira-kira sama oleh kebutuhan peraturan dan kepatuhan, banyak MSSP juga berfokus pada penggerak yang sama. Apa artinya ini bagi Anda adalah bahwa MSSP yang didefinisikan secara klasik tidak harus melihat lingkungan Anda secara holistik, melainkan sebagai bagian dari teknologi yang diperlukan kepatuhan seperti firewall, otentikasi, pencegahan kehilangan data, dan platform manajemen perubahan. Ini juga berarti mereka cenderung memprioritaskan kepatuhan tanda centang daripada keamanan yang sebenarnya.
MDR, sebaliknya, menawarkan serangkaian layanan yang terkait tetapi berbeda. Namun, MDR melihat lingkungan yang sama dengan fokus kuat pada keamanan dan operasi keamanan sehari-hari. Mereka diukur bukan dengan tanda centang kepatuhan, tetapi pada informasi yang berhasil dan keamanan organisasi.
Penyedia MDR menekankan alat dan teknologi yang secara langsung mendukung kasus penggunaan deteksi dan respons, mengumpulkan lalu lintas jaringan dan log yang dihasilkan oleh perangkat, aplikasi, dan pengguna, serta data dari perangkat titik akhir yang lebih tradisional seperti laptop dan server, dan bahkan perangkat yang berjalan dalam IoT Anda ( internet hal) lingkungan. Keajaiban terjadi ketika bidang data yang berbeda ini dibawa ke satu lingkungan untuk disimpan, diakses, dianalisis, dan ditindaklanjuti dengan cara yang terpadu dan terkoordinasi. Ini adalah pendekatan yang sangat efektif sehingga, tidak mengherankan, ini adalah tujuan yang sama yang juga mendorong tren ke alat XDR.
Sementara manfaat yang paling jelas dari penawaran MDR adalah mengalihkan triase eye-on-glass ke penyedia outsourcing, ini jauh melampaui itu. Bagaimanapun, layanan MDR tidak bekerja untuk Anda dan organisasi Anda sendiri. Mereka juga memiliki pelanggan lain, baik di dalam segmen industri Anda maupun di luarnya. Karena mereka melihat begitu banyak pelanggan, penyedia MDR yang baik dapat melihat tren ancaman yang lebih besar mulai terbentuk. Seperti ahli meteorologi yang melacak badai yang sedang berkembang, penyedia MDR Anda tidak hanya melihat dampaknya pada korban pertama, tetapi juga potensi dampaknya pada semua kliennya. Ini adalah titik pandang unik yang menggabungkan keahlian deteksi dan respons, bersama dengan kemampuan untuk melihat “gambaran besar” yang secara proaktif membantu melindungi dan seluruh basis pelanggan MDR.
Jelas ada banyak nilai yang dapat dibawa MDR ke organisasi Anda! Jadi bagaimana kamu memulainya?
Pertanyaan untuk diajukan di muka
MDR bukanlah pengganti untuk memiliki rencana respons insiden (IR) yang dipertimbangkan dengan baik dan terkini. Sebaliknya, Anda menginginkannya sebagai perpanjangan dari paket IR Anda. Misalnya, apakah penyedia MDR menawarkan layanan IR sebagai kemampuan tambahan? Jika terjadi insiden yang lebih besar dan berdampak tinggi, menempatkan responden (tim IR) dan tim pemantau (tim MDR) di halaman yang sama sangatlah penting. Apa cara yang lebih baik untuk melakukannya selain sumber kedua fungsi dari penyedia yang sama?
Dan jangan mengabaikan cara yang sangat hemat biaya untuk memulai pada titik ini, dengan memanfaatkan IRR (pengikut respons insiden) yang memastikan Anda diprioritaskan jika terkena serangan besar. Menangani insiden serius sendiri bisa menjadi pengalaman yang menyakitkan dan seringkali mahal, yang membuatnya layak untuk menerapkan IRR sebelum Anda membutuhkannya.
Beberapa pertanyaan lain yang saya anjurkan untuk ditanyakan oleh organisasi saat mereka berbelanja untuk penyedia MDR: Anda mengatakan bahwa Anda menawarkan perburuan ancaman, tetapi dapatkah Anda menjelaskan dengan tepat apa artinya? Bagaimana kami mendapatkan akses ke data waktu nyata di dasbor Anda atau bahkan langsung ke sistem pemantauan itu sendiri? Bagaimana Anda memanfaatkan intelijen ancaman dan jenis konten lainnya untuk keuntungan saya?
Dan jangan lupa untuk menanyai mereka tentang masalah non-teknis paling penting yang harus Anda miliki: Salah satu alasan kami membutuhkan penyedia MDR adalah karena kami merasa sangat sulit untuk menempatkan peran SOC ini – bagaimana Anda jadikan staf tim Anda, dan apa yang Anda lakukan untuk mempertahankan para analis tersebut setelah mereka bergabung dan dilatih?
Hindari gesekan, dan bersikaplah realistis
Salah satu tempat di mana organisasi sering mengalami gesekan ekstra dengan penyedia MDR mereka adalah tiket dan pelacakan insiden, terlepas dari siapa yang perlu diselidiki, apakah itu mereka atau Anda. Sebaiknya habiskan waktu ekstra di awal untuk memahami bagaimana tepatnya calon penyedia MDR Anda akan berintegrasi ke dalam platform pengelolaan tiket dan kasus yang ada. Mereka akan menemukan ancaman, tetapi tim Anda mungkin bertanggung jawab atas beberapa atau semua perbaikan dan pembersihan. Ini tahun 2023: cobalah untuk tidak menerima rencana integrasi manajemen kasus tidak lebih dari sistem mereka mengirim email ke sistem Anda. Pemain MDR modern saat ini menawarkan koneksi dua arah yang sesungguhnya antara lingkungan penjualan tiket mereka dan lingkungan Anda.
Penting juga bagi Anda untuk mengenali dan mengakui bahwa mengontrak layanan MDR bukanlah kesepakatan yang ditetapkan dan dilupakan. Meskipun penyedia MDR Anda menghadirkan keahlian dan teknologi yang signifikan, Anda dan tim Anda tetaplah yang paling memahami lingkungan Anda. Penyedia MDR Anda akan memberikan peringatan yang menarik perhatian Anda, tetapi Anda tetap ingin dan perlu menyelidikinya secara langsung dalam beberapa keadaan. Anda ingin memastikan bahwa saat Anda menyelesaikan penyelidikan selanjutnya atas peringatan tersebut secara lokal, ada proses yang ditetapkan untuk menutup loop dengan MDR Anda untuk memberi tahu mereka juga.
Dan jangan membuat kesalahan dengan berpikir bahwa peningkatan awal untuk memasukkan layanan MDR baru Anda ke dalam produksi adalah satu-satunya waktu yang Anda perlukan untuk mengoptimalkan teknologi mereka agar bekerja dengan baik dengan milik Anda. Anda perlu merencanakan untuk menginvestasikan waktu tambahan pasca-peluncuran untuk bekerja dengan mereka guna menyempurnakan teknologi dan proses mereka dengan lingkungan Anda. Misalnya, bagaimana Anda mengomunikasikan proses operasi Anda sendiri yang dimulai setiap kali sumber log baru atau titik akhir baru muncul di jaringan Anda?
Ancaman akan terus berkembang, demikian pula penyedia MDR Anda
Penyedia MDR berlipat ganda karena ada kebutuhan mendesak untuk layanan mereka — kebutuhan yang akan terus meningkat hingga ke masa depan. Pelaku ancaman tahu permukaan serangan Anda tumbuh lebih besar, bukan lebih kecil. Mereka tahu bahwa kumpulan data sensitif Anda tidak hanya sulit untuk diamankan tetapi juga untuk tetap aman dari waktu ke waktu. Mereka tahu pengguna Anda menggunakan lebih banyak aplikasi, baik yang disediakan dan diamankan oleh organisasi Anda atau tidak, yang mana pun merupakan titik masuk potensial ke dalam organisasi Anda.
Beberapa penyedia MDR mungkin tidak dapat mengikuti laju perubahan yang konstan, sehingga penyedia MDR yang Anda pilih hari ini mungkin bukan mitra yang ideal untuk Anda besok. Jalani kontrak MDR dengan pemahaman yang jelas tentang bagaimana memulai hubungan dan bagaimana kemungkinan keluar dari hubungan di masa depan. Apakah ada penalti untuk pemutusan kontrak sebelum tanggal berakhirnya? Mengingat pengetahuan mendalam yang dimiliki MDR Anda tentang lingkungan internal Anda, bagaimana penyedia MDR menangani data tersebut saat Anda keluar dari hubungan? Apakah data itu ditransfer kepada Anda dan kemudian dimusnahkan, dan jika ya, bagaimana tepatnya? Apakah penyedia bersedia dan mampu bekerja sama dengan penyedia baru Anda untuk memastikan transisi yang bersih antar vendor?
Akhirnya, tujuan kredit ekstra Anda adalah: Bekerja untuk membuat hubungan MDR menjadi positif dan mendidik. Jangan menjadi pelanggan pasif yang hanya menerima peringatan dan notifikasi masuk secara membabi buta. Siapkan pertemuan touchpoint yang dijadwalkan secara rutin dan minta anggota tim yang memantau lingkungan Anda untuk hadir dan berpartisipasi. Jadikan itu sebagai pengalaman belajar bagi organisasi Anda. Penyedia MDR yang baik harus menyambut baik kesempatan untuk mentransfer pengetahuan kepada Anda tentang teknik berburu ancaman dan konten berorientasi deteksi khusus yang mereka kembangkan untuk mendukung lingkungan unik Anda.
Jangan sia-siakan kesempatan ini untuk membangun kematangan keamanan Anda. Temukan layanan MDR yang melampaui pertahanan lingkungan Anda, MDR yang benar-benar bermitra dengan Anda untuk mengajari Anda cara mempertahankan diri yang lebih baik.
Kredit Gambar: donscarpo / depositphotos.com
Ben Smith adalah CTO NetWitness Field.
