V současné době se na trhu objevuje řada nových služeb a technických řešení, které navazují na koncept tradičního bezpečnostního dohledu formou Security Operations Center (SOC). Mezi nejnovější trendy v této oblasti patří služba Managed Detection and Response (MDR), která staví na předpokladu implementace pokročilých technologií do centra denní operativy bezpečnostních SOC týmů a jeho analytiků.
MDR řešení pracují s nástroji SIEM (Security Information and Event Management), které slouží ke sběru a analýze bezpečnostních dat z různých systémových zdrojů. Tyto nástroje mimo samotnou bleskovou detekci ohrožení v reálném čase umožnují vypracovat plán pro okamžité reakce na bezpečnostní hrozby, orchestrovat automatizované postupy pro vzniklé incidenty a tím efektivně snížit nároky na obsluhu tradičního Security Operations Center.
Další důležitou komponentou plnohodnotného MDR řešení je integrovaná ochrana koncových bodů. S nástupem cloudových prostředků a nástrojů pro moderní spolupráci zaměstnanci běžně pracují mimo zabezpečenou firemní síť a mohou přistupovat k citlivým firemním datům z různých míst a zařízení. Z tohoto důvodu se koncové body na periferii interní IT infrastruktury dostávají do středu zájmu útočníků a v současnosti hrají jednu z klíčových rolí ve strategii kybernetické bezpečnosti každé organizace bez ohledu na její velikost.
Navzdory poměrně široké nabídce MDR produktů na trhu si nejsou všechny nástroje a služby kategoricky rovny, proto je třeba při výběru vhodného dodavatele dbát na detailní parametry.
Jaká jsou kritéria výběru?
Základním kritériem zůstává výběr samotného technického řešení, kdy důraz je kladen na maximální flexibilitu SIEM nástrojů a rozsah pokrytí včetně možnosti pro variabilní napojení sledovaných zdrojů informací. U EDR řešení se do popředí dostává schopnost těchto nástrojů pro vzájemnou spolupráci, která je známá pod zkratkou XDR (Extended Detection Response). Efektivitu těchto nástrojů celkové dále výrazně zvyšuje možnost využít pokročilého strojového zpracování informací (LLM) a umělé inteligence (Machine Learning/AI).
Popsaná technická hlediska související s poměrem vynaložených nákladů na pořízení a provoz jsou až příliš často hlavním, respektive jediným kritériem organizací při jejich MDR výběru.
Existuje ovšem mnoho dalších důležitých faktorů při správném výběru, které je třeba zohlednit.
Příkladem si uvedeme alespoň následující:
- Umístění SIEM systému ve vlastním datacentru dodavatele a jeho vliv na operace v případě výpadku nebo možnost vysoké dostupnosti prostředků u veřejného cloudu
- Důraz na ochranu, způsob a umístění zpracovávaných dat včetně striktního oddělní, od produkčního prostředí organizace a prostředí dodavatele
- Možnost nastavit variabilní délku pro uchovávání dat (Data Retention Policy) dle požadavků organizace nebo zákonných stanov a regulací
- Spojené náklady za uchování auditních logů a dat po celou dobu zvolené retence
- Možnost a způsob kontroly práce dodavatele včetně plné auditovatelnosti jeho aktivity nad celým řešením a vlastními daty dané organizace
- Nutnost dodržování předpisů a vysokého standardu kybernetického zabezpečení u samotného dodavatele jako nedílné součásti řetězce vlastních operací organizace
Dalším z podstatných a kritérií na výběr MDR dodavatele je škálovatelnost a možnost rozšíření jeho řešení dle faktických potřeb organizace. Tato podmínka a vyplývající flexibilita nasazení je zásadní pro strategické plánování a rozvoj každé dynamické organizace. Zde se služba System4u MDR plně přizpůsobí svým zákazníkům, ať již se jedná o organizace malého rozsahu na počátku své cesty do cloud, nebo rychle rostoucí střední a velké podniky s množstvím vlastním konfigurací a probíhajících změn prostředí. Je dobré mít tuto podmínku při výběru na paměti i vzhledem k regulatorním a zákonným podmínkám, které procházejí pravidelnými revizemi a lze tudíž očekávat další změny kritérií i do budoucna, které umí kvalitní dodavatel hladce integrovat do svého řešení.
Co by tedy mělo MDR řešení nabídnout?
- Kontinuální dohled 24/7 nad všemi klíčovými prvky IT infrastruktury
- Pokročilý Threat Intelligence zdroj informací
- Integrované nástroje strojového zpracování informací (LLM) a umělé inteligence (Machine Learning/AI) pro zvýšení celkové efektivity v nasazení, rychlosti, přesnosti a rozsahu vyhodnocení ohrožení
- Plně integrovaný rámec pro analýzu a vyhodnocení událostí, kupříkladu MITRE ATT&CK nebo The Cyber Kill Chain
- Škálovatelnost a vysoká flexibilita služby dle reálných potřeb zákazníka, aktuální řešení nyní i do budoucnosti
- Důraz na orchestraci reakcí a pokročilou automatizaci celého řešení
- Důraz na ochranu zákaznických dat a jejích umístění i během zpracování
- Uchovat si možnost plně auditovat práci dodavatele
- Vysoká odbornost dodavatele a jeho soulad v dodržovaní s požadovanými předpisy v rámci dodavatelského řetězce organizace
- Plnohodnotný reporting na celkový stav zabezpečení organizace a kvality dodávané služby
Službu System4u MDR jsme vyvinuli tak, aby splňovala všechny popsané parametry. Více si přečtěte zde.
