Еще один критерий MDR: Базовые технологии

Еще один критерий MDR: Базовые технологии
В этом году я несколько раз писал про отличие MDR от MSSP (вот тут и тут , напомню просто, что они оба предоставляют услуги аутсорсинга ИБ), а сегодня обратил внимание на еще один занятный критерий, упоминание о котором встретил в нескольких статьях.

Чем отличается MDR от MSSP? Первый обычно использует больше сложных аналитических систем ИБ для выявления и расследования инцидентов ИБ. Так, помимо уже знакомого нам SIEM, считается желательным наличие хотя бы одной из следующих систем: UEBA/UBA, NTA (Network traffic analysis) и/или EDR (Endpoint detection and response).

Кстати, NTA, EDR и сам MDR включены  Gartner Top Technologies for Security in 2017  (а значит про них будем часто говорить в ближайшие годы) со следующими пояснениями:
  • EDR. Gartner predicts that by 2020, 80% of large enterprises, 25% of midsize organizations and 10% of small organizations will have invested in EDR capabilities. These solutions monitor endpoints for unusual behavior or malicious intent.
  • NTA. Network traffic analysis is a network-based approach to monitor network traffic, flows, connections and objects looking for malicious intent. This solution will identify, monitor and triage these events.
  • MDR. MDR can be a good solution for enterprises that want to improve threat detection, incident response and continuous-monitoring abilities but lack the skill or resources to do so in-house. MDR is particularly popular with small and midsize enterprises due to lack of investment in threat detection.

Критерий очень прост, но очень показательный, на мой взгляд. Если компания заявляет о возможности выявлении сложных атак, то у нее должны быть необходимые инструменты (а не просто SIEM + VM + купленные фиды TI). Наверное стоит спрашивать провайдера услуг про используемые технологии, это поможет создавать правильные ожидания (а не завышать их)...


P.S. В июне на конференции в СПб я рассказывал большую презентацию про SOCи и, в том числе, приводил информацию про технологии ИБ (и ИТ), используемые в Solar JSOC, вот один из слайдов:

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!

Andrey Prozorov

Информационная безопасность в России и мире