Para proprietários de pequenas empresas com um orçamento de cibersegurança limitado, pode ser difícil decidir onde investir tempo, fundos e outros recursos para proteger os negócios da melhor forma. Essas decisões podem ficar ainda mais complexas quando soluções como Detecção e Resposta Gerenciada (MDR) e Provedores de serviços de segurança gerenciados (MSSPs) são usadas de forma imprecisa e intercambiável pelos fabricantes, profissionais de TI, jornalistas e outros.
Nesta postagem, vamos explorar esses dois serviços, descrever seus principais diferenciais e ajudar as organizações a decidir qual opção é a mais adequada para seu negócio.
O que é MDR?
Detecção e resposta gerenciada (MDR) é um serviço de cibersegurança que combina tecnologia avançada e expertise humana para realizar investigação de ameaças, monitoramento e resposta a incidentes (IR). O principal diferencial de uma MDR é que ela inclui capacidades de resposta, o que significa que o provedor do serviço trabalha com os clientes no caso de um ataque para resolver o problema e se recuperar do evento. No entanto, as capacidades de resposta da MDR podem variar de provedor para provedor. Alguns serviços de MDR oferecem resposta total, enquanto outros oferecem uma resposta orientada/limitada.
Quais são os benefícios da MDR?
As soluções de MDR, embora nem sempre sejam iguais entre os provedores, na maioria das vezes oferecem os seguintes benefícios:
- Velocidade: as organizações que usam uma solução de MDR podem reduzir imediatamente seu tempo de detecção (e, portanto, o tempo de resposta) de meses para apenas minutos. Isso ajuda as empresas a conter a ameaça e reduzir drasticamente seu impacto.
- Proteção contínua: a MDR fornece proteção contra ameaças ocultas e sofisticadas 24 horas por dia, 7 dias por semana por meio de investigação gerenciada de ameaças contínua e recurso de resposta no caso de um evento de segurança.
- Custo: como a MDR funciona em um modelo de serviço, as organizações geralmente não precisam contratar funcionários adicionais para supervisionar as tarefas de detecção e resposta. Além disso, os custos de contratar, treinar e equipar o time de threat hunters e de analistas de resposta a incidentes (profissionais que são caros e em alta demanda no mercado atual) são compartilhados entre a base de clientes do provedor de serviços de MDR.
- Supervisão e manutenção: em um modelo de MDR, o fabricante ou provedor é responsável por operar e manter todas as ferramentas e tecnologias associadas aos serviços. Isso significa que a equipe de TI não precisa se preocupar com as complexidades da ferramenta em si ou com a tecnologia e os algoritmos de inteligência artificial (IA) e machine learning (ML) subjacentes. Em alguns casos (dependendo dos requisitos do cliente), as MDRs podem também trabalhar com MSSPs para fornecer uma supervisão completa das ferramentas de segurança.
- Otimização da força de trabalho: o uso de uma MDR para gerenciar o trabalho rotineiro e repetitivo de resposta a incidentes libera os membros para se concentrarem em tarefas de maior valor e projetos mais estratégicos.
- Resiliência: a MDR melhora a postura de segurança e ajuda as empresas a criar mais resiliência a possíveis ataques otimizando a configuração da segurança e eliminando sistemas não autorizados ou de maior risco.
O que é MSSP?
Provedor de serviços de segurança gerenciados (MSSP) é um termo usado para descrever um provedor de serviços de TI que oferece soluções e serviços de cibersegurança. Os MSSPs geralmente oferecem um amplo monitoramento da rede em busca de eventos e enviam alertas validados para outras ferramentas ou para a equipe de segurança da organização. Eles também fornecem uma série de outros serviços, como gerenciamento de tecnologia, atualizações, conformidade e gerenciamento de vulnerabilidades.
A principal diferença entre MSSP e MDR é que o MSSP geralmente não responde ativamente a ameaças. Em vez disso, ele envia alertas críveis à equipe de TI interna do cliente para que ela investigue e resolva. Isso requer um conhecimento altamente especializado e disponibilidade 24 horas por dia, 7 dias por semana por parte do cliente, algo impraticável para muitas empresas de pequeno porte.
A relação entre MSSP e MDR
A diferença entre MSSP e MDR fica mais clara se usarmos os termos por extenso — provedor de serviços de segurança gerenciados e detecção e resposta gerenciada — em vez dos acrônimos. Dessa forma, fica mais fácil de categorizar os serviços: como o nome indica, um MSSP é um fornecedor que oferece serviços de segurança, enquanto uma MDR é um serviço específico que inclui detecção e resposta a ameaças.
Embora todos os serviços de MDR possam ser fornecidos por um MSSP, nem todos os oferecem. (Pense nisso como as categorias de qualquer setor/subsetor): todos os dálmatas são cachorros, mas nem todos os cachorros são dálmatas!)
Vantagens e desvantagens de um MSSP
Contar com os serviços de segurança fornecidos por um MSSP respeitável é uma ótima opção para empresas que estão no processo de desenvolver sua função de TI, mas não podem contratar uma equipe de cibersegurança ou investir em uma variedade de ferramentas. Ao usar um MSSP, as equipes internas de TI podem se concentrar em tarefas não relacionadas à segurança, como atendimento ao cliente, suporte ou iniciativas de transformação dos negócios, como migração para a nuvem e gerenciamento de dados.
No entanto, o modelo de MSSP pode apresentar algumas desvantagens. Notavelmente, muitos MSSPs oferecem uma seleção ampla de serviços básicos de segurança, mas não possuem um conhecimento profundo em nenhuma área. O MSSP pode também limitar a organização em termos de ferramentas ou soluções com base no que ele pode suportar ou integrar a outros serviços.
Por fim, alguns MSSPs oferecem o que, às vezes, é chamado de "serviço buraco negro". Isso significa que o provedor não fornece os dados de seus serviços de monitoramento ao cliente, ou seja, os clientes não podem incorporar esses insights em outros aspectos da estratégia de cibersegurança.
Principais diferenças entre MDR e MSSP
Mesmo tendo mostrado que MDR e MSSP são dois serviços diferentes de cibersegurança, algumas pessoas no setor podem usar esses termos como sinônimos. Isso não é correto.
Desenvolvemos a tabela a seguir para detalhar as principais diferenças de forma simples.
|
| MSSP | |
|---|---|---|
| Resposta a eventos | Sim. Como o nome diz, uma MDR inclui serviços de detecção e resposta gerenciada. | Não. O MSSP alertará o cliente sobre o ataque, mas geralmente não fornece suporte para a resposta. |
| Conjunto de soluções | O conjunto de soluções de MDR inclui capacidades de detecção e resposta. A maioria das ofertas inclui suporte de um Centro de Operações de Segurança (SOC, na sigla em inglês) 24 horas por dia, 7 dias por semana, bem como um time de threat hunters e analistas de resposta a incidentes. | O conjunto de soluções do MSSP é principalmente preventivo. Pode incluir soluções de antivírus, firewalls, gateways da web, sistemas de prevenção de intrusões e outras ferramentas que impedem ataques. |
| Proativo/reativo | Proativo e reativo. A MDR é um serviço abrangente que conta tanto com indicadores de ataque (IOAs), que ocorrem antes do ataque, como indicadores de comprometimento (IOC), que estão presentes após o fato, para determinar se a organização está em risco. | Reativo. Os MSSPs são principalmente reativos por natureza. Eles alertam a organização sobre um ataque ou evento de segurança somente depois do fato, usando IOCs. |
| Supervisão humana | Sim. Os serviços de MDR são fornecidos por meio de uma combinação de tecnologia avançada e um time de threat hunters e analistas de resposta a incidentes. | Supervisão humana limitada. Os MSSPs geralmente contam apenas com a tecnologia para detectar ameaças dentro do ambiente de TI de um cliente. |
| Monitoramento 24x7 | Sim. A MDR inclui serviços de monitoramento 24 horas por dia, 7 dias por semana. | Monitoramento limitado. Na maioria dos casos, os MSSPs oferecem serviços de monitoramento mais limitados. |
| Custo | $$ Como a MDR oferece serviços mais robustos, incluindo capacidades de remediação, o custo geralmente é mais alto em comparação ao de um MSSP. | $ O custo de MSSP é, em geral, mais baixo que o de uma MDR, já que o MSSP não fornece serviços de remediação ou monitoramento 24x7. |
Nick Hayes é o Gerente Sênior de Marketing de Produtos de Detecção e Resposta Gerenciada (MDR) da CrowdStrike e soluções proativas de investigação de ameaças, Falcon Complete e Falcon OverWatch. Antes de ingressar na CrowdStrike, Nick liderou marketing de produto e conteúdo em startups de cibersegurança e inteligência de ameaças. Ele também passou 10 anos na Forrester como analista do setor de segurança e líder de pensamento com foco em riscos digitais, inteligência de ameaças e mercados de tecnologia de análise de segurança. Nick palestrou em conferências do setor no mundo todo, incluindo RSA Conference, Black Hat e Infosecurity Europe.
