Phát hiện và phản hồi được quản lý (MDR) là gì?

Iworld.com.vn gửi tới độc giả khái niệm về Phát hiện và phản hồi được quản lý (MDR)

Định nghĩa

Phát hiện và phản hồi được quản lý (MDR) là các dịch vụ an ninh mạng thuê ngoài, được thiết kế để bảo vệ dữ liệu và tài sản của bạn, ngay cả khi mối đe dọa không bao gồm các biện pháp kiểm soát bảo mật thông thường của tổ chức.

Nền tảng bảo mật MDR được coi là một biện pháp kiểm soát an ninh 24/7 nâng cao, thường bao gồm một loạt các hoạt động bảo mật cơ bản như bảo mật được quản lý bằng đám mây cho các tổ chức, không thể duy trì trung tâm hoạt động bảo mật của riêng họ. Các dịch vụ MDR kết hợp phân tích nâng cao, tình báo mối đe dọa và chuyên môn của con người, trong việc điều tra và ứng phó sự cố được triển khai ở cấp máy chủ và mạng.

Những thách thức nào có thể giải quyết với MDR ?

Khi số lượng, sự đa dạng và tinh vi của các mối đe dọa an ninh mạng tăng lên theo cấp số nhân, các tổ chức phải vật lộn, để duy trì các trung tâm hoạt động an ninh với đội ngũ nhân viên và nguồn lực hạn chế. Một cuộc khảo sát của ESG cho thấy, 72% các SOCs có báo cáo phân tích những cuộc đe dọa đang tăng hơn hai năm trước. Các kỹ sư CNTT về an ninh mạng không theo kịp các yêu cầu của tổ chức. Cuộc khảo sát tương tự cũng chỉ ra rằng, 58% các tổ chức coi kỹ năng của nhân viên là một lỗ hổng chính về hiệu quả bảo mật. Do đó, các nhà cung cấp công nghệ Phát hiện và phản hồi được quản lý, cung cấp một dịch vụ hiệu quả về chi phí được thiết kế, để cải thiện khả năng phòng thủ an ninh mạng của doanh nghiệp và giảm thiểu rủi ro, mà không cần đầu tư trước về an ninh mạng.

Các dịch vụ MDR cung cấp cho các nhà phân tích cấp độ kỹ năng cao hơn, bằng cách sử dụng các công cụ bảo mật tiên tiến và cơ sở dữ liệu toàn cầu cập nhật từng phút, ngoài khả năng tiếp cận và hiệu quả chi phí, cấp độ kỹ năng và tài nguyên cho hầu hết các doanh nghiệp,. Do đó, giúp bắt kịp với các chiến thuật và kỹ thuật đối đầu liên tục phát triển.

Cuộc khảo sát của ESG cho thấy, 70% SOCs mô tả việc có nhiều quy trình thủ công, là một yếu tố hạn chế. Dịch vụ MDR cung cấp một giải pháp thay thế cho các doanh nghiệp theo đuổi các sản phẩm bảo mật tiên tiến mới nhất, bằng cách tích hợp các công cụ Phát hiện và phản hồi đầu cuối (EDR), vốn trở thành một thách thức đối với các nhóm hoạt động bảo mật, để học hỏi và duy trì. Do đó, mức độ giám sát, phát hiện và phân tích mối đe dọa của doanh nghiệp được cải thiện, mà không gặp thách thức và chi phí cần thiết, để duy trì đội ngũ an ninh nội bộ có đầy đủ nhân viên và cập nhật dữ liệu mối đe dọa mới nhất.

Các dịch vụ MDR không giới hạn ở khả năng phát hiện và phản hồi cao hơn. Họ cũng cung cấp thông tin tình báo chủ động và cái nhìn chuyên sâu về các mối đe dọa tiên tiến cho các đội an ninh, để có lợi thế trong cuộc tấn công de dọa. Mức độ phát hiện được cải thiện trong khi vi phạm được giảm xuống. Các thách thức về tuân thủ cũng có thể được đáp ứng, bằng cách sử dụng các dịch vụ MDR, cung cấp báo cáo đầy đủ cho các bên liên quan và lưu giữ nhật ký về một loạt các quy định và tiêu chuẩn.

Vào năm 2019, Gartner đã xuất bản một báo cáo quan trọng về các câu hỏi quan trọng cần hỏi, khi lựa chọn nhà cung cấp MDR.

Tại sao chọn công nghệ MDR thay vì nhà cung cấp dịch vụ Bảo mật được quản lý (MSSP)?

Các dịch vụ MDR thường được so sánh với các dịch vụ của nhà cung cấp dịch vụ Bảo mật được quản lý (MSSP). Mặc dù họ có những điểm tương đồng, nhưng họ cũng khác nhau về công nghệ, chuyên môn và mối quan hệ. Các dịch vụ MDR thường chủ động và tập trung vào các mối đe dọa. Còn MSSP được thiết kế để phản ứng và tập trung vào các lỗ hổng. Không giống như MSSP, các dịch vụ MDR tập trung vào phát hiện, phản ứng và tìm kiếm mối đe dọa, hơn là giám sát cảnh báo bảo mật. MSSP quản lý tường lửa, nhưng không nhất thiết phải cung cấp cùng mức độ nghiên cứu, phân tích và điều tra về mối đe dọa như MDR. MSSP nhận ra các vấn đề bảo mật, nhưng không có khả năng tiết lộ chi tiết về mối đe dọa, mà các dịch vụ MDR cung cấp. Các MSSP sử dụng quản lý và giám sát nhật ký, quét lỗ hổng bảo mật và thường là các nền tảng Quản lý sự cố và sự kiện bảo mật (SIEM),  để thông báo cho các tổ chức về các mối đe dọa. Phân tích MDR tự động và phản hồi đối với các mối đe dọa nâng cao, phần mềm độc hại không chứa tệp và vi phạm có thể làm tăng thêm các dịch vụ MSSP. Các dịch vụ MDR dựa vào thông tin liên lạc trực tiếp hơn như thoại hoặc email cho các nhà phân tích, thay vì cổng thông tin. Các giao diện chính của MSSP là cổng thông tin và email, với tính năng trò chuyện phụ và quyền truy cập qua điện thoại cho các nhà phân tích.

Dưới đây là các so sánh dịch vụ MDR và ​​MSSP điển hình. Không phải tất cả các nhà cung cấp MDR đều bao gồm các khả năng và công cụ giống nhau trong các dịch vụ sau:

Lợi ích của MDR

Trước những mối đe dọa và chiến dịch bảo mật dường như áp đảo, các tổ chức cũng đang phải đối phó với ngân sách bảo mật ngày càng tăng và thị trường việc làm bảo mật đầy thách thức, dựa vào các nhà phân tích bảo mật có kỹ năng. Có được sự bảo vệ, hiểu biết sâu sắc và tuân thủ nhiều hơn, mà không cần thêm nhiều công cụ và con người là mục tiêu mà các doanh nghiệp. MDR có thể cung cấp các dịch vụ bảo mật có lợi, có khả năng đáp ứng và duy trì các mục tiêu của tổ chức:

• • • Giám sát 24/7 và cải thiện cơ chế liên lạc với các nhà phân tích SOC, có kinh nghiệm
    • Các nhà phân tích bảo mật có kinh nghiệm giám sát các biện pháp phòng thủ của tổ chức bạn, mà không cần thêm nhân viên toàn thời gian và nguồn lực
    • Hoàn thành dịch vụ phát hiện và ứng phó mối đe dọa đầu cuối được quản lý
    • Cải thiện khả năng phát hiện mối đe dọa và mở rộng phạm vi phát hiện
    • Điều tra của chuyên gia về các cảnh báo và sự cố, cũng như các hành động tiếp theo
    • Săn tìm mối đe dọa chủ động
    • Cải thiện thông tin về mối đe dọa, dựa trên các chỉ số và hành vi thu được từ thông tin chi tiết toàn cầu
    • Cải thiện phản ứng với mối đe dọa
    • Giảm phản ứng vi phạm
    • Cải thiện pháp lý và điều tra cấp cao hơn
    • Quản lý lỗ hổng
    • Ứng phó sự cố lớn và quản lý nhật ký
    • Loại bỏ gánh nặng quản lý bảo mật hàng ngày cho nhân viên và ngân sách của bạn
    • Duy trì quyền truy cập và tùy chỉnh cho các biện pháp bảo vệ an ninh của tổ chức của bạn.
    • Cải thiện tuân thủ và báo cáo
    • Giảm đầu tư bảo mật, tăng ROI

Tại sao nên sử dụng McAfee MDR ?

MVISION EDR cung cấp các dịch vụ MDR toàn cầu cho các tổ chức, có nhu cầu giải quyết các lỗ hổng nội bộ, đồng thời mở rộng khả năng của bạn.

DXC tận dụng công nghệ Phát hiện và phản hồi đầu cuối của McAfee và bảo vệ mối đe dọa nâng cao, cung cấp khả năng giám sát cảnh báo quan trọng 24/7, truy tìm mối đe dọa được quản lý, điều tra nâng cao, để cải thiện đáng kể nỗ lực phát hiện và phản ứng mối đe dọa của tổ chức. MDR dựa trên McAfee MVISION EDR cung cấp các lợi ích sau được thiết kế, để giúp các tổ chức đáp ứng các thách thức bảo mật của họ:

Hoàn thành dịch vụ phát hiện và phản hồi mối đe dọa đầu cuối được quản lý – Dịch vụ này cung cấp dịch vụ phát hiện và phản hồi mối đe dọa điểm cuối được quản lý 24/7, sẽ giải quyết nhu cầu của các tổ chức.

Săn lùng và phát hiện mối đe dọa một cách âm thầm – MDR dựa trên McAfee MVISION EDR, tăng cường MVISION EDR với khả năng thông minh về mối đe dọa và chuyên môn săn lùng của DXC, để chủ động phát hiện các cuộc tấn công nâng cao và ngăn chặn vi phạm để giảm thiểu tác động.

Điều tra và thực hành chuyên sâu – Sử dụng các cuộc điều tra tự động do AI hướng dẫn của MVISION EDR, dịch vụ này sẽ ngay lập tức tiến hành các cuộc điều tra chuyên sâu về các cảnh báo và sự cố bảo mật đầu cuối, để xác định nguồn gốc của sự xâm phạm, mức độ vi phạm của tác nhân độc hại. DXC sẽ đưa ra các khuyến nghị cụ thể để ngăn chặn sự cố đang diễn ra, giảm thiểu thiệt hại tiềm ẩn, phát triển hoặc nâng cao khả năng bảo mật để ngăn chặn các vi phạm trong tương lai, đồng thời hỗ trợ phối hợp khắc phục.

Giải pháp đám mây bảo trì thấp – Các nhà phân tích có thể tập trung vào bảo mật đám mây chiến lược và ứng phó sự cố với chi phí bảo trì thấp.

Tác động đến nhân viên – Các tổ chức có thể giảm bớt yêu cầu đối với nhân viên của họ, trong khi vẫn nhận được các kỹ năng EDR nâng cao mà họ cần.

Trân trọng cám ơn quý độc giả./.

Bài đọc tham khảo thêm cho bạn

• McAfee for Business
• McAfee Endpoint Detection and Response

Biên dịch: Lê Toản – Iworld.com.vn