Vad är hanterad detektering och respons (MDR)?
Hanterad detektering och respons, eller MDR, är en helt hanterad cybersäkerhetslösning som kombinerar säkerhetsexperter, underrättelser om hot och avancerade verktyg för att ge organisationer skydd mot hot dygnet runt.
Det ökande hot som cybersäkerhet utgör för individer och företag över hela världen är väldokumenterat, men vad som kanske är mindre känt är hur mycket vissa organisationer kämpar för att upprätthålla starka försvar och svarsmekanismer.
Enligt Kasperskys undersökningar säger 41 % av experter på informationssäkerhet att deras organisationers cybersäkerhetsteam är ”något” eller ”rejält” underbemannade. Det innebär att det finns en stor efterfrågan på säkerhetsexperter och att det blir allt svårare för organisationer att hitta och behålla tillräckligt med personal med rätt kompetens. Detta påverkar alla typer av företag: World Economic Forum har konstaterat att kompetensbrist är den största cybermotståndsutmaningen för 52 % av offentliga organisationer. Samtidigt uppger mindre än hälften av de mindre organisationerna att de har kompetens att svara på och återhämta sig från ett cyberangrepp.
Av den anledningen vänder sig många företag till hanteringstjänster för att få tillgång till de lösningar och den expertis de behöver för att hålla data, system, program och användare säkra. Ett av de mest effektiva sätten att uppnå detta är genom hanterad detektering och respons (MDR), men det är först nu som organisationer gradvis får upp ögonen för hur viktig MDR-säkerhet är för deras företag. Forskning från Gartner har visat att under 2023 använde endast 30 % av organisationerna aktivt funktioner för att störa och begränsa hot på distans från MDR-leverantörer – men siffran förväntas stiga till 50 % 2025. Och det är inte en sekund för tidigt; Kaspersky MDR (Managed Detection and Response) behandlade över 430 säkerhetshändelser under 2023, där de flesta kritiska incidenter upptäcktes hos myndigheter, industriella och finansiella organisationer. Cyberhotbilden utvecklas ständigt och det är svårt för många organisationer att hänga med i svängarna.
Hur fungerar hanterad detektering och respons?
Så hur fungerar MDR i praktiken? Det är en form av cybersäkerhet som tillhandahålls som en hanterad tjänst och är utformad för att det ska gå snabbt att identifiera och åtgärda hot och minimera omfattningen av deras påverkan på företag. Kompetens inom mänsklig säkerhet och avancerad teknik kombineras inom MDR, vilket ger betydande kostnads- och resurseffektivitet.
Bra MDR-tjänster består vanligtvis av fem huvudfunktioner:
Prioritering av händelser
Kombinationen av kvalificerad personals granskning av säkerhetshändelser och bedömning av händelser i enlighet med förinställda automatiserade regler gör att man kan identifiera vilka händelser som är mer relevanta eller riskfyllda än andra. Falskt positiva resultat och sådana som sannolikt inte är ett problem får låg prioritering, medan de största problemen placeras först i kön för att hanteras av de andra MDR-tjänsterna och utvärderas mer i detalj.
Hotsökning
Automatisering är ett extremt kraftfullt verktyg för att identifiera potentiella hot – men det kan inte användas som en universallösning. Mycket erfarna ”hotjägare” är väl förtrogna med att detektera onormal aktivitet och de typer av beteenden som cyberbrottslingar har när de förbereder ett potentiellt dataintrång eller en attack. Genom att kombinera mänskliga och digitala insatser kan hot flaggas mycket snabbare, vilket i sin tur möjliggör snabbare åtgärder.
Hotutredning
Efter att hoten har identifierats är nästa steg att undersöka dem på djupet och gå till botten med problemet. Hanterade utredningstjänster tar reda på hur, var och när en incident har inträffat och identifierar vilka system, data, program och användare som har påverkats – eller skulle kunna påverkas. Allt detta sammanhang är avgörande för att kunna informera om de mest effektiva och lämpliga sätten att hantera hotet.
Responshjälp
Genom att arbeta med en partner inom MDR-säkerhet får organisationer tillgång till både råd och lösningar. Experter kan dra nytta av sin egen erfarenhet och den information som samlats in genom hotsökning och -utredning för att ge råd om det bästa sättet att ta itu med problemet. Det kan handla om att eliminera ett hot som kan vara på väg att inträffa, eller hur man ska reagera på och återhämta sig från ett angrepp som redan har inträffat.
Hanterat åtgärdande
Åtgärdande processer, där så krävs, syftar till att ta bort alla spår av ett hot och återställa system, program och data till det tillstånd de befann sig i innan angreppet inträffade. Detta kan innebära en rad olika processer, t.ex. borttagning av skadlig programvara, registerrensning, avvisning av obehörig åtkomst, systemåterställning och andra åtgärder. Vilka åtgärder som används varierar beroende på hotets eller attackens karaktär, och väljs i samråd med MDR-experten.
Hur skiljer sig MDR från traditionella antivirusprogram?
Den största skillnaden mellan MDR-tjänster och traditionell antivirusbaserad säkerhet är att MDR är proaktivt, medan antivirus är reaktivt.
Generellt sett förlitar sig antivirussystem på signaturdetektering, där olika varianter av skadlig programvara har sina egna fingeravtryck som systemen sedan letar efter. Allt fler cyberbrottslingar utvecklar dock unika varianter av skadlig programvara som inte liknar annat och därför inte kan upptäckas genom dessa fingeravtryck. Och i vilket fall som helst kan antivirusprogram inte upptäcka dessa varianter förrän de redan är där, och då kan det ofta vara för sent att förhindra skada.
Verktyg för hanterad detektering och respons, å andra sidan, gör allt för att proaktivt leta efter infektioner av skadlig programvara i systemet och mildra effekterna av den, dygnet runt.
Vad är skillnaden mellan MDR och EDR?
EDR står för slutpunktsdetektering och -respons och fungerar med de automatiserade regler som används i prioriteringssteget i MDR. En EDR-driftsättning registrerar händelser och beteendemönster på alla slutpunkter som sedan utvärderas mot de automatiserade
regler som säkerhetsteamen har fastställt. Alla misstänkta mönster eller aktiviteter som upptäcks flaggas sedan för att säkerhetsteamet ska kunna undersöka dem närmare.
För många organisationer är EDR därför en del av MDR som arbetar tillsammans med skickliga IT-säkerhetsexperter och väletablerade processer och metoder.
Är hanterad detektering och respons samma sak som XDR?
Inte riktigt. Det enklaste sättet att uttrycka det är att XDR – som står för utökad detektering och respons – tar principerna för MDR till nästa nivå. XDR integrerar en enorm mängd data som samlas in från en rad olika källor för att göra hotjakt och -utredning ännu mer informerad och proaktiv. Det använder sig också av mer avancerade verktyg, inklusive förebyggande av dataförlust och identitets- och åtkomsthantering (IAM), för att få full överblick över hotbilden i hela verksamheten.
Vilka är de viktigaste fördelarna med MDR?
Hanterade tjänster för detektering och respons kan förändra en organisations säkerhetsstrategi på ett antal olika sätt och förbättra prestandan inom nästan alla områden i säkerhetsverksamheten. Fördelarna med MDR-säkerhet inkluderar men är inte begränsade till:
Reducerad detekteringstid
Vissa organisationer tar flera månader på sig att upptäcka en säkerhetsincident, och under den tiden kan system, program och data ha utsatts för stor förödelse, ibland utan att företaget ens vet om det. MDR kan reducera detta inte bara till dagar eller timmar utan till minuter, vilket innebär att en attacks potentiella omfattning kan minskas avsevärt.
Förbättrad säkerhetsställning
MDR-tjänster kan göra ett företag starkare och mer motståndskraftigt i händelse av en attack, då risken för att ett intrång ska få stora konsekvenser reduceras avsevärt. Det bidrar också till att säkerställa att företagets övergripande säkerhetskonfiguration är bättre optimerad och förblir så även när affärsbehoven och attackprofilerna utvecklas.
Kontinuerlig hotdetektering
Möjligheten för hanterade verktyg för detektering och respons att söka efter hot dygnet runt, alla dagar om året, säkerställer att hot och skadlig kod inte kan ”gömma sig” i systemen och vara redo att aktiveras i framtiden. Datamönster och -beteenden kan analyseras kontinuerligt, så att avvikande aktiviteter kan flaggas redan innan något skadligt inträffar.
Snabbare bemötande och åtgärdande av hot
De tre ovanstående punkterna bidrar till att hot kan bemötas och åtgärdas mycket snabbare än vad som annars skulle vara möjligt. Om man känner till ett problem tidigare kan man reagera på hot snabbare med MDR, vilket innebär att rätt åtgärder kan vidtas på det drabbade området, i ett mycket tidigare skede.
Lättare belastning på säkerhetspersonalen
När det redan råder brist på säkerhetspersonal kan det innebära ännu mer press och stress att belasta dem med flera olika säkerhetstekniker. Det kan leda till att incidenter faller mellan stolarna och att de verktyg som står till buds inte utnyttjas på rätt sätt, eftersom det helt enkelt inte finns tid till det. Genom att överlåta en stor del av den här bördan till hanterade tjänster och skickliga tredjepartsexperter kan man lätta på trycket och maximera effektiviteten hos det interna teamet i vardagen.
Minimerad risk för varningsutmattning
Genom att använda säkerhetsteknik ökar antalet varningar och incidenter som säkerhetsteamet känner till och måste hantera kraftigt. Förutom att det är vardagligt, repetitivt och känsligt för mänskliga fel, gör det också att det blir svårt för säkerhetspersonalen att identifiera vilka problem som är mest akuta och behöver lösas först. Prioriteringsprocesserna inom MDR-tjänsterna löser det problemet genom att analysera och flagga de mest brådskande problemen och hantera händelseutvärdering på uppdrag av säkerhetsteamet.
Vad ska du leta efter i hanterade tjänster för detektering och respons?
Marknaden för MDR-tjänster är stark: Gartners undersökningar visar att MDR-marknaden växer med 48 % och kommer att uppgå till 2,2 miljarder USD år 2025. Det innebär att det finns många olika leverantörer av verktyg för hanterad detektering och respons, vilket kan göra det svårt att hitta rätt för just dina behov och krav. Som en del av din urvalsprocess rekommenderar vi att du tittar efter dessa fyra egenskaper:
Ytterligare MDR-kompetens
Du har sannolikt redan en betydande kompetensbas inom ditt säkerhetsteam, men som det globala kompetensgapet antyder kan du mycket väl också ha vissa områden att stärka. Du bör identifiera dessa luckor redan i början av processen och leta efter en leverantör med dessa färdigheter så att de kan komplettera ditt team.
MDR:s säkerhetskunskap och förmåga
Väl hanterade tjänster för detektering och respons har uppdaterad kunskap om det aktuella säkerhetslandskapet. De känner till de senaste hoten och förstår många av de underliggande faktorer som driver cyberbrottslighet, inklusive geopolitiska och kulturella omständigheter. Denna kunskap – tillsammans med deras säkerhetskunskaper och kapacitet – ger mervärde till de flesta interna säkerhetsteam.
MDR-tjänster och samarbete
Du kanske är nöjd med den expertis och de färdigheter som en potentiell MDR-säkerhetstjänst kan tillhandahålla, men de måste fortfarande passa bra med ditt befintliga team, din teknik och den bredare organisationen. De bör kunna visa ett starkt engagemang i tydlig kommunikation så att information och insikter lätt kan flöda mellan båda parter. Detta hjälper det interna säkerhetsteamet att snabbare komma igång med det nya arbetssättet. De bör också visa upp ett engagemang i skydd dygnet runt, vilket kan hjälpa till att hålla systemen säkra utanför säkerhetsteamets normala arbetstid.
Omfattande lösningar
I slutändan bör du sträva efter MDR-säkerhet som täcker alla baser. En lösning som Kaspersky Managed Detection and Response levererar avancerad skyddsteknik, proaktiv hotjakt, automatiserad och guidad respons och globalt erkänd expertis som du kan känna dig bekväm med att utnyttja. Detta kan säkerställa att inte bara risken för cyberhot minimeras, utan också att din IT-säkerhetsinvestering i MDR maximeras.
Kaspersky Managed Detection and Response samt Kaspersky Incident Response rankades bland 2023 års teknikledare av Quadrant Knowledge Solutions, ett kvitto på att dessa lösningar är mycket effektiva när det gäller att skydda företag mot cyberbrottslingar.
Relaterade artiklar:
