Organisaties moeten voortdurend hun cybersecurity-aanpak aanpassen om incidenten en schade door steeds maar andere en nieuwe dreigingen te voorkomen. Een dynamische en flexibele aanpak is nodig om zich effectief te verdedigen tegen aanvallers. Hoewel er tal van tools zijn om gegevens te traceren, dreigingen te detecteren en met behulp van AI events te monitoren, hangt de effectiviteit ervan af van de gebruikers. Omdat de securityinfrastructuur steeds ingewikkelder wordt en het behouden van securityexperts een uitdaging is, zijn tools alleen niet genoeg.
De oplossing ligt in Managed Detection & Response (MDR). Met MDR wordt technologie gecombineerd met menselijke expertise. Gartner voorspelt dat het gebruik van MDR om dreigingen te verstoren en in te dammen tegen 2025 zal verdubbelen. MDR verschilt van een traditioneel Security Operation Center (SOC) omdat het een extern SOC combineert met monitoring- en detectietechnologieën.
Hier zijn 10 voordelen van MDR-oplossingen.
- Direct security-experts aan boord – MDR brengt externe security-experts aan boord om organisaties te helpen bij het beheren van hun cybersecurity. Dit bespaard kosten omdat de organisatie minder eigen security-experts hoeft te hebben. Bovendien biedt een MDR-oplossing getrainde professionals die de specifieke omgeving van de organisatie begrijpen en zich kunnen aanpassen aan veranderende behoeften.
- Continue security monitoring – Een sterke cybersecuritystrategie vereist inzicht. Dit betekent niet alleen begrijpen wat er in de hele omgeving gebeurt, maar ook ervoor zorgen dat deze continu wordt bewaakt door experten, 24 uur per dag, 7 dagen per week. Dankzij voortdurende monitoring kan een MDR-beveiligingsteam snel verdachte activiteiten opsporen en onmiddellijk actie ondernemen om bedreigingen buiten het systeem te houden.
- Flexibel securitybeleid – MDR-oplossingen bieden een flexibele rules-engine waarmee organisaties hun security beleid makkelijk kunnen aanpassen aan hun specifieke behoeften, nieuwe dreigingen en wettelijke vereisten. Dit helpt bij het verminderen van ‘alert fatigue’ en het filteren van ‘ruis’.
- AI en Machine Learning – Hoewel het gebruik van AI en machine learning (ML) niet nieuw is, is de groeiende belangstelling en snelle toepassing ervan wel opmerkelijk. Uit recent onderzoek van Arctic Wolf blijkt dat 98% van de ondervraagden van plan is een deel van zijn securitybudget vrij te maken voor AI. Daarnaast blijkt dat 64% van de ondervraagden aangaf dat hun organisatie zeer waarschijnlijk een AI-gerichte oplossing zal implementeren. MDR maakt net gebruik van AI en machine learning om grote volumes aan log data efficiënt te analyseren, fout-positieven te verminderen en algoritmes te verfijnen voor nauwkeurige dreigingsdetectie.
- Monitoring en detectie van cloud dreigingen – Een moderne IT-omgeving heeft een MDR-oplossing nodig met mogelijkheden voor cloud monitoring om er zeker van te zijn dat er geen blinde vlekken in de security zitten. Cloud security is een van de belangrijkste zorgen voor leiders/managers? van organisaties, 48% geeft aan dat een cloud-based datalek de belangrijkste zorg is. Een goed cloud monitoring systeem bewaakt én Internet-as-a-Service (IaaS) én Software-as-a-Service (SaaS) én Security-as-a-Service (SECaaS) oplossingen.
- Compliance reporting – De bezorgdheid over online gegevens privacy is momenteel groter dan ooit. Daarom is het van cruciaal belang om de persoonlijk identificeerbare informatie van zowel klanten als medewerkers goed te beschermen. Een Managed Detection & Response (MDR) provider zou expertise en begeleiding moeten bieden die de effectiviteit van geautomatiseerde systemen versterkt. Zo kunnen organisaties voldoen aan verschillende wettelijke verplichtingen en aantonen dat ze de regels naleven.
- Workflow integratie – Een succesvolle securityaanpak vereist een soepele interactie met andere systemen. MDR-providers moeten daarom workflow-integratietools leveren die een vlekkeloos ticketing proces ondersteunen en zorgen voor operationele efficiëntie. Een betrouwbare workflow integratie zorgt ervoor dat alerts op de juiste manier worden geprioriteerd, zodat ze correct worden doorgestuurd naar de juiste mensen. Zo kunnen problemen snel worden opgelost.
- Verzameling correlatie van Log Data – Om je security omgeving beter te begrijpen en betere security beslissingen te nemen is een uitgebreid, gebruiksvriendelijk log managementsysteem nodig. MDR-oplossingen bieden dit, inclusief het automatisch verzamelen, categoriseren en vastleggen van log data. Dit helpt niet alleen met compliance, de accurate verzameling en correlatie van deze gegevens kan een groot verschil maken bij het onderzoeken van een potentiële dreiging of wanneer een forensisch expert onderzoek doet tijdens of na een incident.
- Schaalbare data-architectuur – Een goede MDR-oplossing zou een data-architectuur moeten hebben die de opname, verwerking en de analyse van log data verenigd. Een schaalbare securityarchitectuur vormt een solide basis voor analyses, wat securityanalisten vervolgens juiste inzichten biedt in geavanceerde dreigingen. Een schaalbare data-architectuur biedt toegang tot relevante data bij een onderzoek naar een incident en is direct operationeel.
- Adresseert moderne dreigingen en evolueert mee met de infrastructuur – MDR is speciaal ontwikkeld voor organisaties die snel digitaliseren. Het biedt compatibiliteit met moderne infrastructuur, waardoor ze meer zicht krijgen en effectief kunnen verdedigen tegen een breed scala aan dreigingen.
Gartner bijvoorbeeld benadrukt dat moderne infrastructuur een mix is van SaaS, IaaS, externe abonnementen, open-source tools en een breed scala aan zelf ontwikkelde applicaties. Het traditionele model met on-premises devices, firewalls en bedrijfsspecifieke end-point devices raakt langzaam op de achtergrond. Bij de aanschaf van een Managed Detection & Response (MDR) oplossing moeten kopers compatibiliteitseisen stellen voor de belangrijkste delen van hun infrastructuur.
Dit omvat ook het monitoren van identiteiten binnen de omgeving, omdat tegenwoordig de moderne organisatie steeds meer wordt gedefinieerd door gebruikers en hun gedrag, dan door endpoints en firewalls. Het is belangrijk dat een MDR-oplossing leveranciers-onafhankelijk is, maar tegelijkertijd ook echt de zichtbaarheid verbetert van de meest cruciale elementen van een omgeving.