Wat is Managed Detection and Response (MDR)?
Managed detection and response, of MDR, is een volledig beheerde cyberbeveiligingsoplossing die beveiligingsexperts, bedreigingsinformatie en geavanceerde tools combineert om organisaties 24/7 bescherming tegen bedreigingen te bieden.
Er is veel geschreven over de toenemende dreiging van cyberbeveiliging voor particulieren en bedrijven over de hele wereld. Wat misschien minder bekend is, is hoezeer sommige organisaties worstelen om sterke verdedigings- en reactiemechanismen te behouden.
Volgens onderzoek van Kaspersky, zegt 41% van de InfoSec professionals dat de cyberbeveiligingsteams van hun organisatie 'enigszins' of 'aanzienlijk' onderbemand is. Dit betekent dat er veel vraag is naar beveiligingsprofessionals en dat organisaties het moeilijker vinden om voldoende personeel met de juiste vaardigheden aan te trekken en te behouden. Dit heeft een invloed op alle soorten bedrijven: het World Economic Forum ondervond dat een tekort aan vaardigheden de grootste uitdaging is voor de cyberweerbaarheid voor 52% van de publieke organisaties. Tegelijkertijd zegt minder dan de helft van de kleinere organisaties over de vaardigheden te beschikken om te reageren op en te herstellen van een cyberaanval.
Om deze reden wenden veel bedrijven zich tot managed services om toegang te krijgen tot de oplossingen en expertise die ze nodig hebben om gegevens, systemen, apps en gebruikers veilig te houden. Een van de meest doeltreffende manieren om dit te bereiken is door middel van Managed Detection and Response (MDR), maar pas nu worden organisaties zich geleidelijk bewust en beseffen ze hoe belangrijk MDR-beveiliging is voor hun bedrijf. Gartner research stelde vast dat in 2023 slechts 30% van de organisaties actief gebruik maakte van de mogelijkheden van MDR om dreigingen op afstand te verstoren en in te perken, maar dat dit naar verwachting zal stijgen tot 50% in 2025. En dit komt geen minuut te vroeg. Kaspersky MDR (Managed Detection and Response) verwerkte meer dan 430 beveiligingsincidenten in 2023, waarbij de meeste cruciale incidenten werden gedetecteerd in overheidsinstanties en industriële en financiële organisaties. Het cyberdreigingslandschap evolueert voortdurend en het is voor veel organisaties moeilijk om bij te blijven.
Hoe werkt managed detection and response?
Hoe werkt MDR nu eigenlijk in de praktijk? Het is een vorm van cyberbeveiliging, geleverd als een beheerde service en ontworpen om dreigingen sneller te herkennen en herstellen en de omvang van de impact te beperken die ze op bedrijven kunnen hebben. Menselijk vaardigheden op het gebied van beveiliging en geavanceerde technologie worden binnen MDR gecombineerd. Dit betekent aanzienlijk meer efficiëntie in kosten en verbruik van hulpbronnen.
Goede MDR-diensten bieden doorgaans uit vijf belangrijke functies:
Prioriteitstelling van incidenten
De combinatie van inspectie van beveiligingsincidenten door bekwaam personeel en beoordeling van incidenten via vooraf ingestelde geautomatiseerde regels, identificeert welke incidenten relevanter of riskanter zijn dan andere. Valse positieven en incidenten die waarschijnlijk geen probleem vormen, krijgen geen prioriteit. De grootste problemen worden vooraan in de rij geplaatst om door de andere MDR-diensten te worden afgehandeld en in meer detail te worden beoordeeld.
Zoeken van dreigingen
Automatisering is een uiterst krachtig hulpmiddel om potentiële bedreigingen te herkennen, maar het kan niet worden gebruikt als alleenstaande oplossing. Zeer ervaren 'threat hunters' zijn goed thuis in het herkennen van abnormale activiteit en het gedrag dat cybercriminelen vertonen bij het opzetten van een mogelijk datalek of aanval. Tussen menselijke en digitale inspanningen kunnen dreigingen veel sneller worden gesignaleerd, wat op zijn beurt een snellere oplossing mogelijk maakt.
Onderzoek van dreigingen
Na het herkennen van een dreiging, moet deze vervolgens grondig worden onderzocht om er alles over te weten te komen. Beheerde onderzoeksdiensten zoeken het wat, wanneer en waar van een incident en identificeren de systemen, gegevens, apps en gebruikers die getroffen zijn of kunnen worden getroffen. Deze context is cruciaal om de meest effectieve en geschikte manieren te vinden om de dreiging te weren.
Hulp bij respons
Door samen te werken met een partner voor MDR-beveiliging, krijgen organisaties toegang tot zowel advies als oplossingen. Experts gebruiken hun eigen ervaring om de verzamelde informatie door te zoeken naar dreigingen en advies te geven over de beste manier om het probleem aan te pakken. Dit kan advies zijn over het elimineren van een potentiële dreiging of over de manier om te reageren op en te herstellen van een aanval die al heeft plaatsgevonden.
Beheerd herstel
Herstelprocessen, waar nodig, zijn gericht op het verwijderen van alle sporen van een dreiging en het herstellen van systemen, apps en gegevens naar de staat waarin ze zich bevonden voordat de aanval plaatsvond. Dit kan een reeks processen omvatten, zoals het verwijderen van malware, het opschonen van het register, het weigeren van ongeoorloofde toegang, systeemherstel en andere maatregelen. Welke maatregelen worden gebruikt, is afhankelijk van de aard van de dreiging of aanval en wordt gekozen in overleg met MDR-beveiligingsdeskundigen.
Wat is het verschil tussen MDR en traditionele antivirussoftware?
Het grootste verschil tussen MDR-services en de traditionele, op antivirus gebaseerde beveiliging is dat MDR proactief is en antivirus reactief.
Over het algemeen vertrouwen antivirussystemen op handtekeningdetectie. Hierbij hebben verschillende varianten van malware hun eigen vingerafdruk, waar de systemen vervolgens naar zoeken. Steeds meer cybercriminelen ontwikkelen echter unieke malwarevarianten die anders zijn dan alle andere en daarom niet kunnen worden gedetecteerd via deze vingerafdrukken. En antivirus kan die varianten in elk geval pas detecteren als ze er al zijn. Tegen die tijd kan het vaak te laat zijn om enige impact te voorkomen.
Aan de andere kant doen tools voor managed detection en response er alles aan om 24 uur per dag, zeven dagen per week proactief te zoeken naar malware-infecties op systemen en de effecten ervan te beperken.
Wat is het verschil tussen MDR en EDR?
EDR staat voor Endpoint Detection and Response en werkt met de geautomatiseerde regels die worden gebruikt in de prioriteringsfase van MDR. Een EDR-implementatie registreert incidenten en gedragspatronen op alle eindpunten. Vervolgens worden deze beoordeeld
aan de hand van de geautomatiseerde regels opgesteld door de beveiligingsteams. Alle verdachte patronen of activiteiten die worden gedetecteerd, worden vervolgens gemarkeerd zodat het beveiligingsteam deze verder kan onderzoeken.
Voor veel organisaties is EDR daarom een onderdeel van MDR, naast bekwame IT-beveiligingsexperts en gevestigde processen en methoden.
Is managed detection and response hetzelfde als XDR?
Niet helemaal. De eenvoudigste manier om het te zeggen is dat XDR of Extended Detection and Response de principes van MDR naar een hoger niveau tilt. XDR integreert een enorme hoeveelheid gegevens verzameld uit een reeks verschillende bronnen om het opsporen en onderzoeken van dreigingen nog beter en proactiever te maken. Het maakt ook gebruik van meer geavanceerde tools, waaronder preventie van gegevensverlies en Identity and Access Management (IAM), om volledig inzicht te krijgen in de dreigingen in een heel bedrijf.
Wat zijn de voordelen van MDR?
Managed detection and response-services kunnen de beveiligingsaanpak van een organisatie op een aantal verschillende manieren transformeren en de prestaties op bijna elk gebied van de beveiliging aanscherpen. De voordelen van MDR-beveiliging omvatten, maar zijn zeker niet beperkt tot:
Minder detectietijd
Bij sommige organisaties duurt het enkele maanden om een beveiligingsincident te detecteren. In die tijd kan een onnoemelijke ravage worden aangericht op systemen, apps en gegevens, soms zonder dat het bedrijf er weet van heeft. MDR kan dit niet alleen terugbrengen tot dagen of zelfs uren, maar zelfs minuten. Zo wordt de potentiële reikwijdte van de impact van een aanval enorm verminderd.
Verbeterde houding t.o.v. beveiliging
MDR-diensten kunnen een bedrijf sterker en weerbaarder maken in het geval van een aanval, omdat de kans dat een inbreuk een groot effect heeft veel kleiner is. Het helpt er ook voor te zorgen dat de algehele beveiligingsconfiguratie van de onderneming geoptimaliseerd is en blijft, zelfs als de bedrijfsbehoeften en aanvalsprofielen evolueren.
Voortdurende dreigingsdetectie
Tools voor managed detection and respons kunnen 24 uur per dag, zeven dagen per week, 365 dagen per jaar naar bedreigingen zoeken. Dit zorgt ervoor dat bedreigingen en malware zich niet kunnen 'verbergen' in systemen, om in de toekomst te worden geactiveerd. Gegevenspatronen en gedrag kunnen voortdurend worden geanalyseerd, zodat elke afwijkende activiteit herkend wordt nog voordat er iets kwaadaardigs is gebeurd.
Snellere reactie op en herstel van aanvallen
De drie bovenstaande punten dragen bij aan een veel snellere reactie op en herstel van dreigingen dan anders mogelijk zou zijn. Door eerder op de hoogte te zijn van een probleem, kan er via MDR sneller worden gereageerd op dreigingen. Dit betekent dat de juiste herstelactiviteiten op een veel tijdigere manier kunnen worden toegepast waar het nodig is.
Lagere werklast voor beveiligingspersoneel
Als er al een tekort aan beveiligingspersoneel is, kan het nog meer druk en stress op hun kostbare tijd leggen om ze op te zadelen met verschillende beveiligingstechnologieën. Hierdoor kunnen incidenten door de mazen van het net vallen en worden de tools slecht gebruikt omdat ze daar gewoon geen tijd voor hebben. Door een groot deel van deze last over te dragen aan managed services en bekwame externe experts, kan deze druk worden verlicht en de dagelijkse werking van het interne team worden geoptimaliseerd.
Minimaal risico op vermoeidheid
Het gebruik van beveiligingstechnologieën vergroot het aantal waarschuwingen en incidenten waar het beveiligingsteam weet van heeft en moet afhandelen. Dit is niet alleen alledaags, repetitief en vatbaar voor menselijke fouten, maar maakt het ook moeilijk voor beveiligingspersoneel om vast te stellen welke problemen het dringendst zijn en eerder moeten worden opgelost dan andere. De processen voor prioriteitsstelling in MDR-services lossen dat probleem op door de meest urgente problemen te analyseren en te markeren en de triage van evenementen te verwerken voor het beveiligingsteam.
Waar moet je op letten bij managed detection and response-services?
MDR-services vormen een sterke markt. Uit onderzoek van Gartner blijkt dat de MDR-markt met 48% groeit en tegen 2025 naar verwachting 2,2 miljard dollar zal bereiken. Dit betekent dat er veel verschillende aanbieders van managed detection and response-tools beschikbaar zijn, wat het moeilijk kan maken om de juiste te vinden voor jouw specifieke behoeften en vereisten. We raden aan tijdens het zoeken te letten op deze vier kenmerken:
Aanvullende MDR-vaardigheden
Je beveiligingsteam heeft waarschijnlijk al aanzienlijk wat basisvaardigheiden, maar zoals de wereldwijde vaardigheidskloof suggereert, zijn er waarschijnlijk ook wel een aantal gebieden voor versterking. Identificeer deze hiaten aan het begin van het zoekproces en ga op zoek gaan naar een leverancier die gespecialiseerd is in die vaardigheden en ervaring, zodat ze jouw specifieke team kunnen versterken en aanvullen.
Kennis en capaciteiten van MDR
Goed beheerde diensten voor detectie en respons beschikken over actuele kennis van het huidige beveiligingslandschap. Ze moeten de nieuwste opkomende dreigingen kennen en veel van de onderliggende factoren die cybercriminaliteit veroorzaken begrijpen, inclusief eventuele geopolitieke en culturele omstandigheden daarrond. Deze kennis, in combinatie met hun beveiligingsvaardigheden en -capaciteiten, zal van toegevoegde waarde zijn voor de meeste interne beveiligingsteams.
MDR-dienstverlening en samenwerking
Je bent misschien tevreden met de expertise en vaardigheden die een mogelijke MDR-beveiligingsdienst kan bieden, maar deze moet ook nog goed passen bij je bestaande team, technologieën en bredere organisatie. Er moet een goede communicatie worden onderhouden, zodat informatie en inzichten gemakkelijk tussen beide partijen kunnen stromen. Dit zal het interne beveiligingsteam helpen om veel sneller aan de slag te gaan met de nieuwe aanpak. De service moet ook kunnen aantonen zich in te zetten voor 24/7 bescherming. Dit kan helpen om systemen veilig te houden buiten de normale werkuren van het beveiligingsteam.
Uitgebreide oplossingen
Uiteindelijk moet je op zoek gaan naar een totaaloplossing voor MDR-beveiliging. Een oplossingen zoals Kaspersky Managed Detection and Response biedt geavanceerde beveiligingstechnologieën, proactieve opsporing van bedreigingen, geautomatiseerde en begeleide respons en wereldwijd erkende expertise. Dit kan ervoor zorgen dat niet alleen het risico op cyberdreigingen wordt geminimaliseerd, maar ook dat je investering in IT-beveiliging in MDR wordt gemaximaliseerd.
Kaspersky Managed Detection and Response and Kaspersky Incident Response werden gerangschikt als de technologieleiders van 2023 door Quadrant Knowledge Solutions, een bevestiging van de hoge mate van doeltreffendheid van deze oplossingen bij het beschermen van ondernemingen tegen cybercriminelen.
Gerelateerde artikelen: