10 redenen waarom Managed Detection & Respons essentieel is voor elk bedrijf

Orga­ni­sa­ties moeten voort­du­rend hun cyber­se­cu­rity-aanpak aanpassen om inci­denten en schade door steeds maar andere en nieuwe drei­gingen te voorkomen. Een dyna­mi­sche en flexibele aanpak is nodig om zich effectief te verde­digen tegen aanval­lers. Hoewel er tal van tools zijn om gegevens te traceren, drei­gingen te detec­teren en met behulp van AI events te monitoren, hangt de effec­ti­vi­teit ervan af van de gebrui­kers. Omdat de secu­ri­tyin­fra­struc­tuur steeds inge­wik­kelder wordt en het behouden van secu­ri­ty­ex­perts een uitdaging is, zijn tools alleen niet genoeg.

De oplossing ligt in Managed Detection & Response (MDR). Met MDR wordt tech­no­logie gecom­bi­neerd met mense­lijke expertise. Gartner voorspelt dat het gebruik van MDR om drei­gingen te verstoren en in te dammen tegen 2025 zal verdub­belen. MDR verschilt van een tradi­ti­o­neel Security Operation Center (SOC) omdat het een extern SOC combi­neert met moni­to­ring- en detectietechnologieën. 

Hier zijn 10 voordelen van MDR-oplossingen.

1. Direct security-experts aan boord – MDR brengt externe security-experts aan boord om orga­ni­sa­ties te helpen bij het beheren van hun cyber­se­cu­rity. Dit bespaard kosten omdat de orga­ni­satie minder eigen security-experts hoeft te hebben. Bovendien biedt een MDR-oplossing getrainde profes­si­o­nals die de speci­fieke omgeving van de orga­ni­satie begrijpen en zich kunnen aanpassen aan veran­de­rende behoeften.
2. Continue security moni­to­ring – Een sterke cyber­se­cu­ri­ty­s­tra­tegie vereist inzicht. Dit betekent niet alleen begrijpen wat er in de hele omgeving gebeurt, maar ook ervoor zorgen dat deze continu wordt bewaakt door experten, 24 uur per dag, 7 dagen per week. Dankzij voort­du­rende moni­to­ring kan een MDR-bevei­li­gings­team snel verdachte acti­vi­teiten opsporen en onmid­del­lijk actie onder­nemen om bedrei­gingen buiten het systeem te houden.
3. Flexibel secu­ri­ty­be­leid – MDR-oplos­singen bieden een flexibele rules-engine waarmee orga­ni­sa­ties hun security beleid makkelijk kunnen aanpassen aan hun speci­fieke behoeften, nieuwe drei­gingen en wette­lijke vereisten. Dit helpt bij het vermin­deren van ‘alert fatigue’ en het filteren van ‘ruis’.
4. AI en Machine Learning – Hoewel het gebruik van AI en machine learning (ML) niet nieuw is, is de groeiende belang­stel­ling en snelle toepas­sing ervan wel opmer­ke­lijk. Uit recent onderzoek van Arctic Wolf blijkt dat 98% van de onder­vraagden van plan is een deel van zijn secu­ri­ty­budget vrij te maken voor AI. Daarnaast blijkt dat 64% van de onder­vraagden aangaf dat hun orga­ni­satie zeer waar­schijn­lijk een AI-gerichte oplossing zal imple­men­teren. MDR maakt net gebruik van AI en machine learning om grote volumes aan log data efficiënt te analy­seren, fout-posi­tieven te vermin­deren en algo­ritmes te verfijnen voor nauw­keu­rige dreigingsdetectie. 
5. Moni­to­ring en detectie van cloud drei­gingen – Een moderne IT-omgeving heeft een MDR-oplossing nodig met moge­lijk­heden voor cloud moni­to­ring om er zeker van te zijn dat er geen blinde vlekken in de security zitten. Cloud security is een van de belang­rijkste zorgen voor leiders/​managers? van orga­ni­sa­ties, 48% geeft aan dat een cloud-based datalek de belang­rijkste zorg is. Een goed cloud moni­to­ring systeem bewaakt én Internet-as-a-Service (IaaS) én Software-as-a-Service (SaaS) én Security-as-a-Service (SECaaS) oplossingen.
6. Compli­ance reporting – De bezorgd­heid over online gegevens privacy is momenteel groter dan ooit. Daarom is het van cruciaal belang om de persoon­lijk iden­ti­fi­ceer­bare infor­matie van zowel klanten als mede­wer­kers goed te beschermen. Een Managed Detection & Response (MDR) provider zou expertise en bege­lei­ding moeten bieden die de effec­ti­vi­teit van geau­to­ma­ti­seerde systemen versterkt. Zo kunnen orga­ni­sa­ties voldoen aan verschil­lende wette­lijke verplich­tingen en aantonen dat ze de regels naleven.
7. Workflow inte­gratie – Een succes­volle secu­ri­ty­aanpak vereist een soepele inter­actie met andere systemen. MDR-providers moeten daarom workflow-inte­gra­tie­tools leveren die een vlek­ke­loos ticketing proces onder­steunen en zorgen voor opera­ti­o­nele effi­ci­ëntie. Een betrouw­bare workflow inte­gratie zorgt ervoor dat alerts op de juiste manier worden gepri­o­ri­teerd, zodat ze correct worden door­ge­stuurd naar de juiste mensen. Zo kunnen problemen snel worden opgelost.
8. Verza­me­ling corre­latie van Log Data – Om je security omgeving beter te begrijpen en betere security beslis­singen te nemen is een uitge­breid, gebruiks­vrien­de­lijk log mana­ge­ment­sys­teem nodig. MDR-oplos­singen bieden dit, inclusief het auto­ma­tisch verza­melen, cate­go­ri­seren en vast­leggen van log data. Dit helpt niet alleen met compli­ance, de accurate verza­me­ling en corre­latie van deze gegevens kan een groot verschil maken bij het onder­zoeken van een poten­tiële dreiging of wanneer een foren­sisch expert onderzoek doet tijdens of na een incident.
9. Schaal­bare data-archi­tec­tuur – Een goede MDR-oplossing zou een data-archi­tec­tuur moeten hebben die de opname, verwer­king en de analyse van log data verenigd. Een schaal­bare secu­ri­ty­ar­chi­tec­tuur vormt een solide basis voor analyses, wat secu­ri­ty­a­na­listen vervol­gens juiste inzichten biedt in geavan­ceerde drei­gingen. Een schaal­bare data-archi­tec­tuur biedt toegang tot relevante data bij een onderzoek naar een incident en is direct operationeel.
10. Adres­seert moderne drei­gingen en evolueert mee met de infra­struc­tuur – MDR is speciaal ontwik­keld voor orga­ni­sa­ties die snel digi­ta­li­seren. Het biedt compa­ti­bi­li­teit met moderne infra­struc­tuur, waardoor ze meer zicht krijgen en effectief kunnen verde­digen tegen een breed scala aan dreigingen.

Gartner bijvoor­beeld benadrukt dat moderne infra­struc­tuur een mix is van SaaS, IaaS, externe abon­ne­menten, open-source tools en een breed scala aan zelf ontwik­kelde appli­ca­ties. Het tradi­ti­o­nele model met on-premises devices, firewalls en bedrijfs­spe­ci­fieke end-point devices raakt langzaam op de achter­grond. Bij de aanschaf van een Managed Detection & Response (MDR) oplossing moeten kopers compa­ti­bi­li­teits­eisen stellen voor de belang­rijkste delen van hun infrastructuur.

Dit omvat ook het monitoren van iden­ti­teiten binnen de omgeving, omdat tegen­woordig de moderne orga­ni­satie steeds meer wordt gede­fi­ni­eerd door gebrui­kers en hun gedrag, dan door endpoints en firewalls. Het is belang­rijk dat een MDR-oplossing leve­ran­ciers-onaf­han­ke­lijk is, maar tege­lij­ker­tijd ook echt de zicht­baar­heid verbetert van de meest cruciale elementen van een omgeving.