Еще один критерий MDR: Базовые технологии

Аватар пользователя prozorov
Автор: Прозоров Андрей, Независимый эксперт и блоггер
(0)
()
В этом году я несколько раз писал про отличие MDR от MSSP (вот тут и тут, напомню просто, что они оба предоставляют услуги аутсорсинга ИБ), а сегодня обратил внимание на еще один занятный критерий, упоминание о котором встретил в нескольких статьях.

Чем отличается MDR от MSSP? Первый обычно использует больше сложных аналитических систем ИБ для выявления и расследования инцидентов ИБ. Так, помимо уже знакомого нам SIEM, считается желательным наличие хотя бы одной из следующих систем: UEBA/UBA, NTA (Network traffic analysis) и/или EDR (Endpoint detection and response).

Кстати, NTA, EDR и сам MDR включены Gartner Top Technologies for Security in 2017 (а значит про них будем часто говорить в ближайшие годы) со следующими пояснениями:
  • EDR. Gartner predicts that by 2020, 80% of large enterprises, 25% of midsize organizations and 10% of small organizations will have invested in EDR capabilities. These solutions monitor endpoints for unusual behavior or malicious intent.
  • NTA. Network traffic analysis is a network-based approach to monitor network traffic, flows, connections and objects looking for malicious intent. This solution will identify, monitor and triage these events.
  • MDR. MDR can be a good solution for enterprises that want to improve threat detection, incident response and continuous-monitoring abilities but lack the skill or resources to do so in-house. MDR is particularly popular with small and midsize enterprises due to lack of investment in threat detection.

Критерий очень прост, но очень показательный, на мой взгляд. Если компания заявляет о возможности выявлении сложных атак, то у нее должны быть необходимые инструменты (а не просто SIEM + VM + купленные фиды TI). Наверное стоит спрашивать провайдера услуг про используемые технологии, это поможет создавать правильные ожидания (а не завышать их)...


P.S. В июне на конференции в СПб я рассказывал большую презентацию про SOCи и, в том числе, приводил информацию про технологии ИБ (и ИТ), используемые в Solar JSOC, вот один из слайдов:

Оцените материал:
Total votes: 109
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.