MDR znamená Managed Detection and Response – ve zkratce tedy značí systém monitoringu a zabezpečení, o který se dodavatel stará. Co vše je v něm zahrnuto (jak z hlediska softwaru, tak z hlediska správy), ale není nikde přesně definováno, a proto mohou být mezi jednotlivými výrobci veliké rozdíly. Proto může být problematické a náročné vybrat si MDR, které bude vyhovovat konkrétním potřebám.

Mezi nejvýznamnější nástroje používané dodavateli služeb MDR patří SIEM (Security Information and Event Management), EDR (Endpoint Detection and Response) a různé formy kontroly zranitelností, a tým IT odborníků, kteří všechny nástroje spravují.

Ne všechny nástroje a služby jsou si ale rovny, a proto je potřeba při výběru sledovat podrobnější parametry. U SIEM to budou primárně zdroje logů, které je systém schopen zpracovat, a velice podstatná také může být doba, po kterou záznamy uchovávají, zejména kvůli splnění zákonných požadavků.

U EDR je samozřejmě nejdůležitější, jak kvalitní engine je implementován a jak spolehlivé jsou jeho detekce, nicméně je podstatná i kvalita integrace s ostatními součástmi řešení.

Z hlediska správy na první pohled nelze mnoho zjistit a obvykle je kvalita služeb na velice podobné úrovni, ale každé MDR zahrnuje jiný typ reakce – někdy může jít pouze o upozornění správce na probíhající incident, u jiných výrobců jde o kompletní řešení situace a na MSP poskytovatele zbyde pouze čtení hlášení.

Architektura MDR

Pokud se jedná o menšího lokálního MSSP, je vcelku běžné, že využívá vlastní datacentrum, ve kterém bude provozovat SIEM včetně úložiště a centrální servery ostatních nástrojů, a spojení bude od klientů směrováno napřímo k němu. U větších je typické spíše využití různých globálních datacenter, kdy různá řešení běží na nezávislé infrastruktuře a jsou pak propojena do SOC (Security Operations Center). Výhodou je, že výpadek jedné části nemá vliv na funkcionalitu ostatních. Samozřejmě se lze setkat i s hybridní variantou, kde některé části budou mít cloudovou správu, zatímco jiné budou běžet lokálně – častou variantou je například cloudová konzole EDR s lokálním SIEM.

Ze strany klientů je pak dobré zvážit, jestli je potřebný lokální koncentrátor dat, která se do SOC přenášejí, a pokud ano, jestli jej dané řešení nabízí. Pro MSP, kteří by externí službu chtěli využívat, je pak důležitá možnost přístupu do stejné konzole, jakou má bezpečnostní tým.

Důležité parametry pro výběr dodavatele MDR

Zjednodušené shrnutí pro ulehčení výběru dodavatele MDR by se dalo shrnout do několika klíčových faktorů, které umožní získat řešení efektivně splňující vaše individuální bezpečnostní potřeby. Mezi základní aspekty patří:

• Schopnosti detekce hrozeb: Doporučuje se hledat dodavatele, kteří nabízejí spolehlivý a v testech dobře hodnocený systém pro detekci hrozeb.
• Sledování a podpora 24 hodin denně, 7 dní v týdnu: Dodavatel MDR by měl nabízet nepřetržité monitorování a podporu a mít k dispozici bezpečnostní analytiky, kteří monitorují upozornění, vyšetřují hrozby a okamžitě reagují na bezpečnostní incidenty.
• Přizpůsobení a škálovatelnost: Důležitá je také schopnost přizpůsobení zákaznickým potřebám a škálovatelnosti, kterou řešení MDR nabízí.
• Dodržování předpisů a reporting: Pomůže vám vybrané řešení s plněním zákonem daných požadavků? Nezbytné jsou komplexní možnosti reportování, včetně zpráv o souladu s normami, oznámení o bezpečnostních incidentech a dohledatelnost podrobností o nich.
• Integrace se stávající bezpečnostní infrastrukturou: Důležitá je schopnost dodavatele MDR integrovat se stávající bezpečnostní infrastrukturou a nástroji v prostředí klientské organizace.
• Proaktivní vyhledávání hrozeb: Nabídka služeb proaktivního vyhledávání hrozeb, aby došlo k identifikaci potenciální bezpečnostní hrozby a zranitelnosti dříve, než je mohou útočníci zneužít.
• Transparentní ceny: Cenový model dodavatele MDR by měl stanovit transparentní a přehledné náklady a závazky a nabízet flexibilní cenové možnosti přizpůsobené konkrétním potřebám organizace.

Posouzení všech těchto klíčových faktorů pomůžete MSP poskytovatelům ulehčit výběr vhodného dodavatele a řešení, které účinně řeší bezpečnostní požadavky, zvyšuje celkovou úroveň zabezpečení a pomáhá udržet náskok před neustále se vyvíjejícími kybernetickými hrozbami, kterým čelí jejich zákazníci.

Ondřej Šabata Autor je Sales Engineer pro řešení N-able ve společnosti ZEBRA SYSTEMS.