O que é o serviço de detecção e resposta gerenciadas (MDR)?
O serviço de detecção e resposta gerenciadas, ou MDR na sigla em inglês, é uma solução de cibersegurança totalmente gerenciada que combina especialistas em segurança, inteligência contra ameaças e ferramentas avançadas para oferecer às organizações proteção contra ameaças 24 horas por dia.
A crescente ameaça que a cibersegurança representa para indivíduos e empresas em todo o mundo está bem documentada, mas o que talvez seja menos conhecido é a dificuldade que algumas organizações enfrentam para manter defesas e mecanismos de resposta resistentes.
De acordo com a pesquisa da Kaspersky, 41% dos profissionais de segurança da informação afirmam que as equipes de cibersegurança de suas organizações têm "pouco" ou "muito pouco funcionário" . Isso significa que a demanda por profissionais de segurança é alta, e as organizações enfrentam dificuldades para atrair e reter funcionários suficientes com as habilidades certas. Isso afeta todos os tipos de negócios: o Fórum Econômico Mundial descobriu que o déficit de competências é o maior desafio de resiliência cibernética para 52% das organizações públicas. Ao mesmo tempo, menos da metade das organizações menores afirma ter as competências necessárias para responder e se recuperar de um ciberataque.
Por esse motivo, muitas empresas estão recorrendo a serviços gerenciados para ter acesso às soluções e ao conhecimento necessário para manter dados, sistemas, aplicativos e usuários seguros. Uma das maneiras mais eficazes de conseguir isso é por meio do Managed Detection and Response (MDR), mas apenas agora as organizações estão percebendo gradualmente a importância da segurança do MDR para os negócios. A pesquisa do Gartner constatou que, em 2023, apenas 30% das organizações estavam usando ativamente os recursos de interrupção e contenção de ameaças remotas dos provedores de MDR, mas espera-se que esse número aumente para 50% até 2025. E não é para menos. O Kaspersky MDR (Managed Detection and Response) processou mais de 430 eventos de segurança em 2023, sendo que a maioria dos incidentes críticos foram detectados em agências governamentais, organizações industriais e financeiras. O cenário de ameaças cibernéticas está em constante evolução, e é difícil para muitas organizações acompanharem esse ritmo.
Como funciona o serviço de detecção e resposta gerenciadas?
Então, como o MDR funciona na prática? É uma forma de cibersegurança, fornecida como um serviço gerenciado e projetada para acelerar a identificação e a neutralização de ameaças e minimizar a escala do impacto que elas podem causar nas empresas. As habilidades de segurança humana e a tecnologia avançada são combinadas no MDR, o que significa que podem resultar em grandes eficiências de custos e recursos..
Os bons serviços de MDR geralmente incluem cinco funções principais:
Priorização de eventos
A combinação de inspeção de eventos de segurança por uma equipe qualificada e avaliação de eventos de acordo com regras automatizadas predefinidas compara e identifica a relevância e o risco dos eventos. Os falsos positivos e os que provavelmente não são um problema são despriorizados, enquanto os problemas maiores são colocados no começo da fila para serem tratados pelos outros serviços de MDR e avaliados com mais detalhes.
Pesquisa de ameaças
A automação é uma ferramenta extremamente poderosa para identificar possíveis ameaças, mas não pode ser considerada uma solução completa. As "buscas de ameaças" altamente experientes estão bem familiarizadas com a detecção de atividades anormais e com os tipos de comportamento que os cibercriminosos adotam ao preparar uma possível violação ou ataque aos dados. Entre os esforços humanos e digitais, as ameaças podem ser sinalizadas com muito mais rapidez, o que, por sua vez, permite uma neutralização mais rápida.
Investigação de ameaças
Depois de identificar as ameaças, a próxima etapa é explorá-las profundamente e chegar à raiz da questão. Os serviços gerenciados de investigação descobrem o que, quando e onde ocorreu um incidente e identificam os sistemas, os dados, os aplicativos e os usuários que foram (ou seriam) afetados. Todo esse contexto é vital para informar as maneiras mais eficazes e adequadas de eliminar a ameaça.
Assistência de resposta
Trabalhar com um parceiro para a segurança de MDR dá às organizações acesso a conselhos e soluções. Os especialistas podem se basear em sua própria experiência e nas informações coletadas por meio da busca e investigação de ameaças para indicar a melhor maneira de lidar com o problema, seja eliminar uma ameaça que pode estar prestes a ocorrer ou responder e se recuperar de um ataque que já ocorreu.
Neutralização gerenciada
Os processos de neutralização, quando necessários, visam remover todos os vestígios de uma ameaça e retornar os sistemas, aplicativos e dados ao estado em que se encontravam antes do ataque. Isso pode envolver uma série de processos, como remoção de malware, limpeza do registro, rejeição de acesso não autorizado, restauração do sistema e outras medidas. As medidas a serem usadas variam de acordo com a natureza da ameaça ou do ataque e são escolhidas em consulta com os profissionais de segurança do MDR.
Qual é a diferença entre o MDR e o software antivírus tradicional?
A maior diferença entre os serviços de MDR e a segurança tradicional baseada em antivírus é que o MDR é proativo, e o antivírus é reativo.
De modo geral, os sistemas antivírus dependem da busca e detecção de assinaturas, em que diferentes variantes de malware têm suas próprias impressões digitais. No entanto, cada vez mais os cibercriminosos estão desenvolvendo variantes de malware exclusivas que são diferentes de todas as outras e, portanto, não podem ser detectadas por meio dessas impressões digitais. E, de qualquer forma, o antivírus não consegue detectar essas variantes até que elas já estejam presentes, quando, então, pode ser tarde demais para evitar qualquer impacto.
As ferramentas de detecção e resposta gerenciadas, por outro lado, fazem o possível para procurar proativamente infecções por malware nos sistemas de maneira ininterrupta e atenuar seus efeitos.
Qual é a diferença entre MDR e EDR?
EDR significa Endpoint Detection and Response (detecção e resposta de endpoint) e funciona com as regras automatizadas usadas no estágio de priorização do MDR. Uma implantação de EDR registrará eventos e padrões de comportamento em todos os endpoints, que serão avaliados em relação às regras automatizadas estabelecidas pelas equipes de segurança. Todos os padrões ou atividades suspeitas detectadas são sinalizadas para que a equipe de segurança investigue mais a fundo.
Para muitas organizações, o EDR é, portanto, uma parte do MDR que trabalha junto com especialistas em segurança de TI qualificados e processos e metodologias bem estabelecidos.
A detecção e resposta gerenciadas são a mesma coisa que XDR?
Não exatamente. De forma simples, o XDR (que significa "detecção e resposta estendidas") leva os princípios do MDR para o próximo nível. O XDR integra uma enorme quantidade de dados coletados de várias fontes diferentes para aumentar o nível de informação e proatividade da busca e da investigação de ameaças. Ele também utiliza ferramentas mais avançadas, incluindo prevenção contra perda de dados e gerenciamento de identidade e acesso (IAM), para obter visibilidade total do cenário de ameaças em toda a empresa.
Quais são os benefícios principais do MDR?
Os serviços de detecção e resposta gerenciadas podem transformar a abordagem de segurança de uma organização de várias maneiras diferentes e aprimorar o desempenho em quase todas as áreas das operações de segurança. Os benefícios da segurança do MDR incluem, mas não se limitam a:
Tempo de detecção reduzido
Algumas organizações levam vários meses para detectar um incidente de segurança e, durante esse tempo, um prejuízo incalculável pode ter sido causado em sistemas, aplicativos e dados, às vezes sem que a empresa sequer saiba. O MDR pode reduzir isso não apenas para dias ou até mesmo horas, mas para minutos, de modo que o escopo potencial do impacto de um ataque pode ser amplamente reduzido.
Conduta de segurança aprimorada
Os serviços de MDR podem tornar uma empresa mais forte e resiliente no caso de um ataque, pois as chances de uma violação ter um efeito importante serão muito menores. Eles também ajudam a garantir uma melhor otimização permanente da configuração geral de segurança mesmo com a evolução das necessidades comerciais e dos perfis de ataque.
Detecção contínua de ameaças
A capacidade das ferramentas de detecção e resposta gerenciadas de procurar ameaças continuamente garante que as ameaças e o malware não possam "se esconder" nos sistemas, prontos para serem ativados no futuro. Os padrões e o comportamento dos dados podem ser analisados constantemente, de modo que a atividade anômala possa ser sinalizada antes mesmo que algo malicioso tenha ocorrido.
Resposta e neutralização de ameaças mais rápidas
Todos os três pontos acima contribuem para que a resposta e a neutralização de ameaças sejam muito mais rápidas do que seria possível de outra forma. O conhecimento antecipado de um problema permite agilizar a formação da resposta à ameaça pelo MDR, o que significa que as atividades de neutralização corretas podem ser aplicadas à área afetada e com maior rapidez.
Menor carga de trabalho para a equipe de segurança
Quando já existe uma escassez de profissionais de segurança, sobrecarregá-los com várias tecnologias de segurança diferentes pode aumentar ainda mais a pressão e o estresse sobre seu valioso tempo. Isso pode fazer com que os incidentes passem despercebidos, bem como a falta de utilização adequada das ferramentas à sua disposição, porque eles simplesmente não têm tempo para fazer isso. A transferência de grande parte dessa carga para serviços gerenciados e especialistas terceirizados qualificados pode aliviar essa pressão e maximizar a eficácia da equipe interna no dia a dia.
Minimização do risco de fadiga de alerta
O uso de tecnologias de segurança expande enormemente o número de alertas e incidentes dos quais a equipe de segurança tem conhecimento e com os quais precisa lidar. Além de ser algo trivial, repetitivo e propenso a erros humanos, isso também dificulta a identificação dos problemas mais urgentes e prioritários por parte da equipe de segurança. Os processos de priorização dos serviços de MDR resolvem esse problema, analisando e sinalizando os problemas mais urgentes e lidando com a triagem de eventos em nome da equipe de segurança.
O que você deve observar em serviços de detecção e resposta gerenciadas?
O mercado de serviços de MDR é forte: a pesquisa da Gartner sugere que o mercado de MDR está crescendo a uma taxa de 48% e deverá atingir US$ 2,2 bilhões até 2025. Isso significa que há muitos fornecedores diferentes de ferramentas de detecção e resposta gerenciadas disponíveis, o que pode dificultar a identificação da ferramenta certa para suas necessidades e seus requisitos específicos. Como parte do processo de seleção, recomendamos que você observe estas quatro características:
Habilidades adicionais em MDR
É provável que você já tenha uma equipe de segurança com uma base considerável de habilidades, mas, como sugere o déficit global de competências, é bem possível que você também precise fortalecer algumas áreas. Você deve identificar esses déficits no início do processo de consideração do fornecedor e procurar alguém especializado nessas habilidades e maturidades para que ele possa acrescentar e completar sua equipe.
Conhecimento e recursos de segurança do MDR
Serviços de detecção e resposta bem gerenciadas terão conhecimento atualizado do cenário de segurança atual. Eles conhecerão as ameaças emergentes mais recentes e entenderão muitos dos fatores subjacentes que impulsionam o cibercrime, inclusive as circunstâncias geopolíticas e culturais envolvidas. Esse conhecimento, aliado às suas habilidades e capacidades de segurança, agregará valor à maioria das equipes de segurança internas.
Prestação de serviços de MDR e colaboração
Você pode estar contente com a experiência e as habilidades que um serviço de segurança de MDR em potencial pode oferecer, mas ele ainda precisa ser adequado à sua equipe e tecnologias existentes e à organização como um todo. Eles devem ser capazes de demonstrar um forte compromisso com a comunicação clara para que as informações e os insights possam fluir facilmente entre ambas as partes. Isso ajudará a equipe de segurança interna a se familiarizar com a nova abordagem muito mais rapidamente. Eles também devem ser capazes de demonstrar um compromisso com a proteção contínua, o que pode ajudar a manter os sistemas seguros fora do horário normal de trabalho da equipe de segurança.
Soluções abrangentes
Por fim, você deve procurar uma segurança de MDR que abranja todas as bases. Uma solução como o Kaspersky Managed Detection and Response oferece tecnologias de proteção avançadas, busca proativa de ameaças, resposta automatizada e orientada e conhecimento especializado reconhecido mundialmente, as quais você pode aproveitar com conforto. Isso pode garantir não apenas a minimização do risco de ameaças cibernéticas, mas também a maximização do seu investimento em segurança de TI no MDR.
O Kaspersky Managed Detection and Response e o Kaspersky Incident Response foram classificados entre os líderes tecnológicos de 2023 pela Quadrant Knowledge Solutions, uma confirmação do alto nível de eficácia dessas soluções na proteção de empresas contra cibercriminosos.
Artigos relacionados: