Detecção e Resposta Gerenciada (MDR)

O que é Detecção e Resposta Gerenciada (MDR)?

Detecção e Resposta Gerenciada (MDR) é um serviço de cibersegurança que combina tecnologia com expertise humana para identificar com rapidez e limitar o impacto das ameaças por meio de investigação de ameaças, monitoramento e resposta. O principal benefício da MDR é que ajuda rapidamente a limitar esse impacto sem a necessidade de pessoal adicional, que pode ser caro.

Benefícios da MDR

As organizações que usam uma solução de MDR podem reduzir imediatamente seu tempo de detecção (e, portanto, seu tempo de resposta) dos típicos 277 dias para apenas alguns minutos, diminuindo significativamente o impacto de um evento.

Mas essa redução de meses para meros minutos não é a única vantagem. As organizações também podem:

• Melhorar a postura de segurança e criar mais resiliência a possíveis ataques ao otimizar a configuração da segurança e eliminando sistemas não autorizados.
• Identificar e impedir ameaças ocultas e sofisticadas por meio de investigação gerenciada de ameaças contínua.
• Responder às ameaças com mais eficácia e restaurar endpoints a um bom status conhecido por meio de resposta orientada e remediação gerenciada.
• Redirecionar o pessoal de um trabalho de resposta a incidentes (IR) reativo e repetitivo para projetos mais estratégicos.

Desafios de negócios para a adoção de MDR

Desafio n.º 1: pessoal/recursos

As organizações que já estão tendo dificuldades em manter suas equipes de segurança completas enfrentam desafios ainda maiores à medida que adotam tecnologias de segurança inovadoras para lidar com o cenário de ameaças em constante evolução.

Hoje, a maioria das organizações tem ferramentas de segurança em sua stack, mas não tem tempo para gerenciá-las de modo apropriado.

O investimento feito em ferramentas de ponta poderá acabar sendo prejudicial em vez de ajudar, se elas não tiverem o tempo ou os recursos para implementá-las completamente e otimizar as soluções contra ameaças cada vez mais sofisticadas.

Desafio n.º 2: sobrecarga de alertas

Outro desafio é gerenciar um número enorme de alertas de todas essas novas tecnologias de segurança. Isso não é um problema novo, mas está crescendo exponencialmente à medida que os endpoints se proliferam na forma de IoT, trabalhadores remotos, parceiros da cadeia de fornecedores conectados e redes híbridas.

Determinar como responder a cada alerta exige mais mão de obra e expertise do que geralmente é mantido internamente — e quando uma ameaça é considerada significativa, a organização precisa ter as habilidades necessárias para remediá-la e retornar o endpoint a um status seguro, fazendo tudo isso rapidamente antes que a intrusão se transforme em um ataque grave.

As MDRs surgiram para preencher essas lacunas. As organizações podem implementar rapidamente uma solução de MDR que acesse de forma remota uma rede para fornecer cobertura 24 horas por dia, 7 dias por semana e acesso a especialistas que podem ser muito difíceis de encontrar e contratar de forma independente. Esses especialistas ficam de plantão todo o tempo, então podem responder de forma rápida com base em seu conhecimento de cada aspecto da segurança de endpoint, desde a detecção, passando pela restauração do endpoint a um bom status até a prevenção de comprometimentos mais graves.

Como a MDR funciona

A MDR monitora, detecta e responde a ameaças em sua organização remotamente. Uma ferramenta de detecção e resposta de endpoint (EDR) normalmente fornece a visibilidade necessária sobre os eventos de segurança no endpoint.

A inteligência de ameaças, análises avançadas e dados forenses relevantes são passados a analistas humanos, que farão uma triagem dos alertas e determinarão a resposta apropriada para reduzir o impacto e o risco de incidentes positivos. Por fim, em uma combinação de capacidades humanas e de máquina, a ameaça é removida e o endpoint afetado é restaurado ao seu estado pré-infecção.

As principais capacidades de uma MDR são:

1. Priorização

A priorização gerenciada ajuda as organizações que estão tendo dificuldades com os esforços diários de analisar seu grande volume de alertas para decidir o que tratar primeiro. Muitas vezes chamada de "EDR gerenciada", ela aplica regras automatizadas e inspeção feita por humanos para distinguir eventos benignos e falso-positivos de ameaças reais. Os resultados são enriquecidos com contexto adicional e transformados em um fluxo de alertas de alta qualidade.

2. Investigação de ameaças

Por trás de cada ameaça há um ser humano que está pensando como evitar ser detectado pelas contramedidas de seus alvos. Embora as máquinas sejam muito inteligentes, elas não são astutas: é necessária uma mente humana para adicionar o elemento que nenhum sistema de detecção automatizado pode fornecer. O time de threat hunters humanos com habilidades e conhecimentos extensivos identifica e alerta sobre as ameaças mais evasivas e sigilosas para capturar o que as camadas de defesas automatizadas deixaram passar.

3. Investigação

Os serviços de investigação gerenciados ajudam as organizações a entender as ameaças com mais rapidez enriquecendo os alertas de segurança com contexto adicional. As organizações são capazes de ter uma compreensão mais completa do que aconteceu, quando aconteceu, quem foi afetado e até onde o invasor chegou. Com essas informações, elas podem planejar uma resposta eficaz.

4. Resposta orientada

A resposta orientada oferece conselhos acionáveis sobre a melhor maneira de conter e remediar uma ameaça específica. As organizações são aconselhadas sobre atividades tão fundamentais como a necessidade de isolar um sistema da rede, até as mais sofisticadas, como a forma de eliminar uma ameaça ou o passo a passo para se recuperar de um ataque.

5. Remediação

A etapa final em qualquer incidente é a recuperação. Se ela não for executada corretamente, todo o investimento da organização em seu programa de proteção de endpoint será desperdiçado. A remediação gerenciada restaura os sistemas ao seu estado anterior ao ataque, removendo malware, limpando o registro, ejetando invasores e removendo mecanismos de persistência. Ela garante que a rede seja retornada a um estado de bom funcionamento conhecido e impede outros comprometimentos.

MDR vs EDR

A detecção e resposta de endpoint (EDR) é parte do conjunto de ferramentas usadas pelos provedores de Detecção e Resposta Gerenciada (MDR). A EDR registra e armazena comportamentos e eventos nos endpoints e os envia a respostas automatizadas baseadas em regras e sistemas de análise. Quando uma anomalia é detectada, ela é enviada à equipe de segurança para investigação por humanos. A EDR capacita as equipes de segurança a usar mais do que apenas indicadores de comprometimento (IoCs) ou assinaturas para obter uma melhor compreensão do que está ocorrendo em suas redes.

Com o tempo, as ofertas de EDR se tornaram mais complicadas, incorporando tecnologias como machine learning e análise comportamental, bem como a habilidade de integração com outras ferramentas complexas. Muitas equipes internas de segurança não possuem os recursos e o tempo para utilizar totalmente os seus sistemas de EDR, deixando a organização menos protegida do que era antes da compra da solução de EDR.

A MDR resolve esse problema introduzindo expertise humana, processos maduros e inteligência de ameaças. Ela é projetada para ajudar as organizações a adquirir proteção de endpoint de nível empresarial sem incorrer em custos de uma equipe de segurança empresarial ou de um Centro de Operações de Segurança (SOC, na sigla em inglês).

MDR vs XDR vs MXDR

Embora às vezes a MDR seja chamada de EDR como um serviço, a Detecção e Resposta Estendidas (XDR) vai além ao integrar dados de várias fontes para melhorar a visibilidade e reduzir o risco. Ela usa uma variedade de metodologias e ferramentas como o gerenciamento de identidade e acesso e a prevenção de perda de dados. Ao fazer isso, ela obtém visibilidade não apenas de endpoints, mas de todos os usuários, redes, ativos, e-mails, workloads e muito mais. A XDR ajuda a eliminar silos e lacunas que colocam a organização em risco.

A MDR gerencia a segurança de endpoint e se concentra em mitigar, eliminar e remediar ameaças com uma equipe de segurança dedicada e experiente. A Detecção e Resposta Estendidas Gerenciadas (MXDR) leva a XDR a um novo patamar, porque é comprada como um serviço e fornece todas as suas capacidades, mas é realizada por uma equipe externa que age como uma extensão perfeita das equipes internas de TI e segurança. No momento, a MXDR é considerada o padrão mais elevado de proteção disponível no mercado.

MDR vs MSSP

Os provedores de serviços de segurança gerenciados (MSSPs) são os predecessores da MDR. Os MSSPs normalmente fornecem monitoramento amplo da rede para eventos e enviam alertas validados a outras ferramentas ou para a equipe de segurança, com uma série de outros serviços, como gerenciamento de tecnologias, atualizações, conformidade e gerenciamento de vulnerabilidades, mas, de forma geral, não respondem ativamente a ameaças. O cliente é responsável por realizar essas atividades, que podem exigir conhecimento especializado que, muitas vezes, não está disponível internamente. Como resultado, os clientes de MSSPs devem também envolver consultores ou fabricantes adicionais para realizar mitigação e remediação.

Os serviços de MDR têm um foco estrito na detecção e resposta rápidas a ameaças emergentes. Além disso, a MDR oferece capacidades de mitigação e remediação e pode agregar valor imediato com um investimento mínimo.

MDR vs SIEM gerenciado

O gerenciamento e correlação de eventos de segurança (SIEM) é uma categoria ampla de tecnologia. Os SIEMs começam agregando os dados de muitas fontes da rede e outros dispositivos de segurança e fazendo uma análise deles para identificar anomalias que possam sinalizar atividades suspeitas. A partir daí, as capacidades variam bastante. Algumas soluções são apenas tecnológicas, enquanto outras são mais como serviços de processamento de eventos gerenciados e alertas.

Algo que todos os SIEMs têm em comum é que seus clientes relatam desafios na resolução de problemas expostos pelos seus dados porque enfrentam dificuldades em entender os resultados. Os SIEMs também podem ser caros e consumir muitos recursos. Por outro lado, as MDRs são caracterizadas por seu volume de rede leve e tempo rápido para retorno do valor.

Como escolher um serviço de MDR – cinco perguntas

As soluções de MDR incluem uma ampla gama de serviços, então não deixe de verificar as capacidades atuais da sua organização antes de começar sua busca, para que possa selecionar uma solução que complemente seu investimento atual em segurança. Estas são cinco perguntas importantes a fazer aos fornecedores de MDR no início de sua pesquisa:

Pergunta 1. Que tipo de expertise os analistas da MDR possuem?

A solução que você escolher deve trazer novas habilidades e maturidade sem exigir a contratação de funcionários adicionais. Busque um provedor que esteja disposto a fornecer transferência de conhecimento.

Pergunta 2. Seu serviço de MDR tem acesso aos dados e sistemas necessários a tempo de ser eficaz?

A eficácia da sua solução de MDR dependerá muito de um acesso amplo e detalhado aos dados necessários para a execução do trabalho, e ela deve ter esses dados em tempo real. Uma solução nativa em nuvem tem mais probabilidade de ter o melhor acesso aos dados certos.

Pergunta 3. Como sua equipe de MDR se mantém atualizada sobre as ameaças mais recentes direcionadas às organizações?

Os analistas de segurança consideram não apenas as capacidades tecnológicas dos adversários, mas também outros fatores importantes. Eles estudam os fatores culturais, geopolíticos e linguísticos para criar a compreensão mais completa possível das técnicas, táticas e procedimentos (TTPs) atuais usados para atacar as empresas. Poucas empresas (se houver) contam com funcionários com essas habilidades, portanto, escolha um provedor de MDR que possa oferecer isso.

Pergunta 4. Como o provedor de MDR se comunicará com sua equipe?

Em algum momento, a equipe de MDR entregará o fluxo de trabalho à sua equipe. Isso deve ser feito por meio de um hub de comunicação central, como um painel único, para garantir que não haja nenhum ponto de atrito ou necessidade de aprendizado de novos sistemas. Essa transferência deve ocorrer sem atrasar a capacidade de resposta da sua equipe.

Pergunta 5. Seu serviço é 24x7?

A maioria das organizações não mantém equipes de operações de segurança 24 horas por dia, 7 dias por semana. A cobertura de MDR deve funcionar em tempo integral, pois enquanto os cidadãos honestos estão dormindo, os invasores trabalham duro.