Hvad er administreret registrering og respons (MDR)?
Administreret registrering og respons (MDR), er en fuldt administreret cybersikkerhedsløsning, der kombinerer sikkerhedseksperter, trusselsefterretninger og avancerede værktøjer til at levere trusselsbeskyttelse til organisationer døgnet rundt.
Den stigende trussel, som cybersikkerhed udgør for enkeltpersoner og virksomheder verden over, er veldokumenteret, men det er måske mindre kendt, hvor meget nogle organisationer kæmper for at opretholde stærke forsvars- og responsmekanismer.
Ifølge Kaspersky-forskning siger 41 % af InfoSec-professionelle, at deres organisations cybersikkerhedsteams er "noget" eller "betydeligt underbemandede. Det betyder, at sikkerhedsprofessionelle er meget efterspurgte, og organisationer får sværere og sværere ved at tiltrække og fastholde tilstrækkeligt personale med de rette kompetencer. Dette påvirker alle brancher. World Economic Forum angiver, at manglende kompetencer er den største udfordring for digital robusthed for 52 % af alle offentlige organisationer. Samtidig siger mindre end halvdelen af mindre organisationer, at de har de nødvendige kompetencer til at reagere på og komme sig efter et cyberangreb.
Derfor vender mange virksomheder sig mod administrerede tjenester for at få adgang til de løsninger og den ekspertise, de har brug for, for at holde data, systemer, applikationer og brugere sikre. En af de mest effektive måder at opnå dette på er gennem administreret registrering og respons (MDR), men først nu er organisationer gradvist ved at vågne op og se, hvor vigtig MDR-sikkerhed er for deres virksomheder. Ifølge Gartner brugte kun 30 % af organisationer aktivt fjerntrusselafbrydelses- og inddæmningsfunktioner fra MDR-udbydere i 2023 – men det forventes at stige til 50 % i 2025. Og det er ikke et øjeblik for tidligt. Kaspersky MDR (administreret registrering og respons) behandlede mere end 430 sikkerhedshændelser i 2023, hvor de fleste af de kritiske hændelser blev opdaget hos offentlige myndigheder, industrielle og finansielle organisationer. Cybertrusselssituationen udvikler sig konstant, og det er svært for mange organisationer at følge med.
Hvordan fungerer administreret registrering og respons?
Hvordan fungerer MDR så i praksis? Det er en form for cybersikkerhed, der leveres som en administreret tjeneste og designet til at fremskynde identifikation og afhjælpning af trusler samt minimere omfanget af den indvirkning, de kan have på virksomheder. Menneskelige sikkerhedskompetencer og avanceret teknologi kombineres i MDR, hvilket genererer betydelige omkostnings- og ressourcebesparelser.
Gode MDR-tjenester vil typisk omfatte fem hovedfunktioner:
Begivenhedsprioritering
Kombinationen af inspektion af sikkerhedshændelser af kvalificeret personale og vurdering af hændelser i overensstemmelse med forudindstillede automatiserede regler identificerer, hvilke hændelser der er mere relevante eller risikable end andre. Falsk positive hændelser og dem, der sandsynligvis ikke er et problem, bliver nedprioriteret, mens de største problemer sættes forrest i køen for at blive behandlet af de andre MDR-tjenester og vurderet mere detaljeret.
Trusselssøgning
Automatisering er et ekstremt effektivt værktøj til at identificere potentielle trusler - men det kan ikke anses som en samlet løsning, der fanger alt. Meget erfarne 'trusselsjægere' er velbevandrede i at opdage unormal aktivitet og den slags adfærd, som cyberkriminelle bruger, når de opretter et potentielt databrud eller angreb. Med både menneskelige og digitale bestræbelser kan trusler markeres meget hurtigere, hvilket igen muliggør hurtigere afhjælpning.
Trusselsundersøgelse
Når en trussel er identificeret, er næste fase at undersøge den grundigt og agere på den. Administrerede undersøgelsestjenester afdækker hvad, hvornår og hvor en hændelse fandt sted, og identificerer de systemer, data, applikationer og brugere, der er blevet – eller ville blive – påvirket. Alt dette er afgørende for at informere om de mest effektive og egnede måder at lukke truslen ned på.
Responsassistance
At arbejde med en partner for MDR-sikkerhed giver organisationer adgang til såvel rådgivning som løsninger. Eksperter kan trække på deres egne erfaringer og de oplysninger, der er indsamlet gennem trusselssøgning og -undersøgelse, for at rådgive om den bedste måde at tackle problemet på. Dette kan være at eliminere en trussel, der kan være ved at opstå, eller hvordan man reagerer på og kommer sig efter et angreb, der allerede er sket.
Administreret afhjælpning
Hvor det er nødvendigt har afhjælpningsprocesser til formål at fjerne alle spor af en trussel og gendanne systemer, applikationer og data til den tilstand, de var i, før angrebet fandt sted. Dette kan involvere en række processer såsom fjernelse af malware, rensning af registreringsdatabasen, afvisning af uautoriseret adgang, systemgendannelse og andre foranstaltninger. Hvilke foranstaltninger der anvendes, vil variere afhængigt af truslens eller angrebets art og vælges i samråd med MDR-sikkerhedsprofessionelle.
Hvordan adskiller MDR sig fra traditionel antivirussoftware?
Den største forskel mellem MDR-tjenester og den traditionelle antivirusbaserede sikkerhed er, at MDR er proaktivt, og antivirus er reaktivt.
Generelt set er antivirussystemer afhængige af signaturdetektion, hvor forskellige varianter af malware har deres egne fingeraftryk, som systemerne så leder efter. Men flere og flere cyberkriminelle udvikler unikke malwarevarianter, der ikke ligner andre, og derfor ikke kan opdages gennem disse fingeraftryk. Og under alle omstændigheder kan antivirus ikke opdage disse varianter, før de allerede findes i systemet, og på det tidspunkt kan det ofte være for sent at forhindre konsekvenserne.
Administrerede registrerings- og responsværktøjer går derimod meget langt for proaktivt at søge efter malwareinfektioner på systemer døgnet rundt, syv dage om ugen og afbøde deres virkninger.
Hvad er forskellen mellem MDR og EDR?
EDR står for "Slutpunktsregistrering og respons" og arbejder med de automatiserede regler, der bruges i prioriteringsfasen af MDR. En EDR-udrulning vil registrere hændelser og adfærdsmønstre på alle endepunkter, som derefter vurderes i forhold til de
automatiserede regler, der er etableret af sikkerhedsholdene. Eventuelle mistænkelige mønstre eller aktiviteter, der opdages, markeres derefter, så sikkerhedsteamet kan undersøge det nærmere.
For mange organisationer er EDR derfor en væsentlig del af MDR, der arbejder sammen med dygtige IT-sikkerhedseksperter og veletablerede processer og metoder.
Er administreret registrering og respons det samme som XDR?
Ikke helt. Den nemmeste måde at sige det på er, at XDR – som står for "udvidet registrering og respons" – bygger videre på principperne for MDR. XDR integrerer en enorm mængde data indsamlet fra en række forskellige kilder for at gøre trusselsjagt og efterforskning endnu mere informeret og proaktiv. Det udnytter også mere avancerede værktøjer, herunder forebyggelse af datatab og identitets- og adgangsstyring (IAM), for at få fuldt overblik over trusselsituationen i hele virksomheden.
Hvad er de vigtigste fordele ved MDR?
Administrerede registrerings- og responstjenester kan transformere en organisations sikkerhedstilgang på en række forskellige måder og skærpe ydeevnen på næsten alle områder af sikkerhedsoperationer. Fordelene ved MDR-sikkerhed omfatter og er på ingen måde begrænset til:
Reduceret registreringstid
Nogle organisationer bruger flere måneder på at opdage en sikkerhedshændelse, og i det tidsrum kan hændelsen have resulteret i kaos på systemer, programmer og data, nogle gange uden virksomhedens viden om det. MDR kan reducere det til dage, timer eller endda til minutter, så det potentielle omfang af et angrebs indvirkning kan reduceres væsentligt.
Forbedret sikkerhedsstilling
MDR-tjenester kan gøre en virksomhed stærkere og mere modstandsdygtig i tilfælde af et angreb, da risikoen for at sikkerhedsbrud med stor effekt reduceres. De hjælper også med at sikre, at virksomhedens overordnede sikkerhedskonfiguration er bedre optimeret og forbliver sådan, selv når virksomhedens behov og cyberkriminelles angrebsprofiler udvikler sig.
Kontinuerlig trusselsregistrering
Administrerede registrerings- og responsværktøjers mulighed for at søge efter trusler døgnet rundt, syv dage om ugen, 365 dage om året, sikrer, at trusler og malware ikke kan "gemme sig" i systemer og ligge klar til at blive aktiveret i fremtiden. Datamønstre og -adfærd kan analyseres konstant, så unormal aktivitet kan markeres, selv før skaden er sket.
Hurtigere trusselsreaktion og afhjælpning
Alle tre punkter ovenfor bidrager til langt hurtigere trusselsreaktion og afhjælpning end det ellers ville være muligt. Hvis du kender til et problem tidligere, får du mulighed for hurtigere trusselsreaktion med MDR, hvilket betyder, at den rigtige afhjælpning kan finde sted på det berørte område og meget hurtigere.
Mindre arbejdsbyrde for sikkerhedspersonale
Når der allerede er mangel på sikkerhedspersonale, kan det lægge endnu mere pres og stress på deres værdifulde tid at bruge flere forskellige sikkerhedsteknologier. Det kan føre til, at hændelser falder gennem sprækkerne, samt ukorrekt udnyttelse af de værktøjer, de har til rådighed, fordi de bare ikke har tid til det. Overdragelse af en stor del af denne byrde til administrerede tjenester og dygtige tredjepartseksperter kan lette dette pres og maksimere det interne teams daglige effektivitet.
Minimeret risiko for alarmtræthed
Brug af sikkerhedsteknologier udvider massivt antallet af alarmer og hændelser, som sikkerhedsteamet er opmærksomme på og skal håndtere. Det kan være trivielt og er tilbøjeligt til at øge risikoen for menneskelige fejl, og det gør det også vanskeligt for sikkerhedspersonalet at identificere, hvilke problemer der er mest presserende og skal løses før andre. Prioriteringsprocesserne i MDR-tjenesterne løser dette problem ved at analysere og markere de mest presserende problemer og håndtere sortering for sikkerhedsteamet.
Hvad skal du kigge efter i forbindelse med administrerede registrerings- og responstjenester?
Der er stor efterspørgsel på MDR-tjenester. Gartners undersøgelser tyder på, at MDR-markedet vokser med en hastighed på 48 % og forventes at nå 2,2 milliarder dollars i 2025. Det betyder, at der er mange forskellige udbydere af administrerede registrerings- og responsværktøjer, hvilket kan gøre det svært at finde det rigtige til dine specifikke behov og krav. Som en del af din udvælgelsesproces anbefaler vi, at du holder øje med disse fire egenskaber:
Ekstra MDR-færdigheder
Du har sandsynligvis allerede en betydelig kompetencebase i dit sikkerhedsteam, men som den globale kvalifikationskløft antyder, har du sikkert også have nogle huller i sikkerheden, der bør lukkes. Du bør identificere disse huller i starten af din overvejelsesproces og søge en leverandør, der er specialiseret i disse kompetencer, så de kan forbedre dit team og skabe en komplet løsning.
MDR sikkerhed, -viden og -muligheder
Godt administrerede registrerings- og responstjenester vil have opdateret viden om den aktuelle sikkerhedssituation. De vil være bekendte med de nyeste opmærksomhedskrævende trusler og vil forstå mange af de underliggende faktorer, der driver cyberkriminalitet , herunder eventuelle involverede geopolitiske og kulturelle forhold. Denne viden – forbundet med deres sikkerhedsfærdigheder og -kapacitet – vil føje værdi til de fleste interne sikkerhedsteams.
Udbydelse af MDR-tjeneste og samarbejde
Du kan være tilfreds med den ekspertise og de færdigheder, som en potentiel MDR-sikkerhedstjeneste kan levere, men de skal stadig passe godt sammen med dit eksisterende team, inklusive teknologier og organisation. De bør være i stand til at demonstrere en stærk dedikation til klar kommunikation, så information og indsigt kan flyde ubesværet mellem begge parter. Dette vil hjælpe det interne sikkerhedsteam med at blive fortrolige med den nye tilgang meget hurtigere. De bør også være i stand til at fremvise en forpligtelse til beskyttelse døgnet rundt, hvilket kan hjælpe med at holde systemerne sikre uden for sikkerhedsteamets normale arbejdstid.
Omfattende løsninger
I sidste ende bør du søge MDR-sikkerhed, der dækker alle dine behov. En løsning som Kasperskys Administreret registrering og respons leverer avancerede beskyttelsesteknologier, proaktiv trusselsjagt, automatiseret og guidet respons samt globalt anerkendt ekspertise, som du kan føle dig tryg ved at bruge. Dette kan sikre, at ikke kun risikoen for cybertrusler minimeres, men også at din IT-sikkerhedsinvestering i MDR maksimeres.
Kasperskys Administreret registrering og respons og Kasperskys Hændelsesreaktion er rangeret blandt de førende i teknologiske løsninger i 2023 Quadrant Knowledge Solutions, hvilket er en godkendelse af det høje effektivitetsniveau af disse løsninger til at beskytte virksomheder mod cyberkriminelle.
Relaterede artikler:
