Ο κλάδος της πληροφορικής και ιδιαίτερα ο τομέας της κυβερνοασφάλειας λατρεύει τα ακρωνύμια. Τα τελευταία χρόνια τα ακρωνύμια περιστρέφονται γύρω από το detection and response (Endpoint/Network/Extended Detection and Response). Είναι λογικό αν αναλογιστεί κανείς το πως έχουν εξελιχθεί οι επιθέσεις. Η παραδοσιακή προσέγγιση αποτροπής και προστασίας, με προκαθορισμένους κανόνες και βάσεις πληροφοριών, δεν αρκεί. Χρειάζονται εργαλεία που αναγνωρίζουν επιθέσεις σε πρώιμο στάδιο έχοντας ελάχιστες ενδείξεις και παράλληλα χωρίς να κατακλύζουν τους αναλυτές με λανθασμένα alerts. Σε αυτό το σημείο έρχονται τα *DR εργαλεία να αναγνωρίσουν εγκαίρως την επίθεση που βρίσκεται σε εξέλιξη και να προσφέρουν τους κατάλληλους μηχανισμούς, ώστε η αντίδραση να είναι άμεση και αποτελεσματική. Ουσιαστικά αυτό που θέλει να πετύχει ο κάθε οργανισμός είναι η μείωση των Mean Time to Detect (MTTD) και Mean Time to Response (MTTR), ώστε να ελαχιστοποιηθεί η ζημιά από μια επίθεση.
Δημήτρης Τσακτσήρας
Cybersecurity Solutions Manager
Space Hellas www.space.gr
Ιδιαίτερη δυναμική ανάπτυξη σε βάθος χρόνου
Στις παραπάνω κατηγορίες detection and response έρχεται να προστεθεί και η κατηγορία Managed Detection and Response (MDR). Οι υπηρεσίες MDR δεν είναι κάτι εντελώς καινούργιο, αλλά έχει αποκτήσει μια δυναμική τελευταία που αποτυπώνεται και από το μερίδιο της αγοράς που καταλαμβάνει. Σύμφωνα με έκθεση του Research and Markets[1] αναμένεται η αγορά του MDR σχεδόν να τριπλασιαστεί μέχρι το 2028 και από τα 3.3 δις. δολάρια το 2023 να φτάσει στα 9.5 δις δολάρια.
Πριν αναλυθούν χαρακτηριστικά και πλεονεκτήματα καλό είναι να γίνει μια αναφορά στο πως προέκυψε η ανάγκη για MDR υπηρεσίες. Αρχικά οι οργανισμοί χρησιμοποιούσαν Security Information and Event Management (SIEM) λύσεις, από τη μια για να συλλέγουν δεδομένα από διάφορα σημεία του οργανισμού και ο συσχετισμός αυτών να παράγει ειδοποιήσεις και από την άλλη για να τα διατηρούν για μεγάλο διάστημα. Μια πολύ καλή ιδέα που όμως παράγει ένα τεράστιο όγκο ειδοποιήσεων και απαιτεί χρόνο και προσωπικό για να αναλυθούν, ώστε να αποφανθούν οι αναλυτές αν κάτι αποτελεί πραγματική επίθεση ή όχι. Έτσι, γρήγορα έγινε ξεκάθαρο ότι αυτό δεν είναι αποτελεσματικό αλλά ούτε και βιώσιμο, διότι είναι κοστοβόρο και προϋποθέτει μεγάλες ομάδες αναλυτών. Επομένως, η πρώτη αλλαγή ήταν να αναλάβουν αυτό το δύσκολο έργο εταιρείες με εξειδίκευση στο τομέα ενώ παράλληλα εμπλούτισαν την υπηρεσία τους με λύσεις όπως User Behavior Analytics (UBA), Security Orchestration Automation and Response (SOAR) και EDR. Η λογική ήταν ότι ο συνεργάτης θα ενημερώνει εγκαίρως και από εκείνο το σημείο θα αναλάμβαναν οι Cybersec ομάδες του εκάστοτε οργανισμού.
Μια ολοκληρωμένη υπηρεσία με απαιτήσεις
Όμως, έχουμε φτάσει στο σημείο που αυτές οι ομάδες αδυνατούν να ανταποκριθούν και ο κύριος λόγος είναι ότι δεν υπάρχουν αρκετοί μηχανικοί στην κυβερνοασφάλεια. Σύμφωνα με την έρευνα του ISC2[2], το 2023 οι θέσεις εργασίας που δεν καλύφθηκαν παγκοσμίως έφτασαν στα 4 εκ. σημειώνοντας μια αύξηση της τάξης του 12.6% YoY. Συγκεκριμένα τα κενά στην Ευρώπη έφτασαν τις 350 χιλιάδες με αύξηση 9.7% σε σχέση με το 2022. Επιπλέον πρέπει να ληφθούν υπόψιν και οι εταιρείες που δεν έχουν τη δυνατότητα να διαθέτουν Cybersec ομάδες.
Αυτό το κενό έρχεται να το καλύψει η υπηρεσία MDR όπου εκτός του SOC as a Service περιλαμβάνεται και η επέμβαση, ώστε να σταματήσει ή να απομονωθεί μια επίθεση. Φυσικά οι αρμοδιότητες δε σταματούν εκεί, μια ολοκληρωμένη υπηρεσία MDR περιλαμβάνει:
Threat Hunting – Alert Investigation – Threat Detection – Incident Triage and Threat prioritization – Threat Containment – Incident Response and Remediation – Root Cause Analysis – Health Check (posture) – Reporting – Compliance Support.
Σκοπός της υπηρεσίας είναι να μειωθεί το λεγόμενο dwell time που μετρά από την αρχική παραβίαση μέχρι την ανίχνευση. Κάτι το οποίο φαίνεται να επιτυγχάνεται από την έκθεση της Orca Security[3] όπου εταιρείες που χρησιμοποιούν MDR αναφέρουν ότι έχουν δει μείωση στις τιμές των MTTD και MTTR κατά 50%. Επίσης, στην έκθεση Cost of a Data Breach Report 2023[4] του Ponemon Institute καταγράφεται ότι οι οργανισμοί που διέθεταν MDR υπηρεσία ήταν σε θέση να εντοπίσουν 16 μέρες νωρίτερα μια επίθεση σε σχέση με το μέσο όρο που καταγράφηκε το 2023.
Όπως καλά γνωρίζουμε στην κυβερνοασφάλεια δεν υπάρχουν μαγικές λύσεις έτσι και σε αυτή τη περίπτωση μια αποτελεσματική ενσωμάτωση της υπηρεσία MDR απαιτεί:
- Workshops για αποτύπωση της υποδομής
- Αξιολόγηση του επιπέδου ασφάλειας του οργανισμού
- Προτάσεις βελτιστοποίησης πριν την έναρξη της υπηρεσίας
- Χρήση κατάλληλων εργαλείων
- Ξεκάθαρη αποτύπωση υποχρεώσεων ανά ομάδα
- Ενεργή εμπλοκή της Cybersec ομάδας του οργανισμού, ώστε να δημιουργηθεί ένα ισχυρό υβριδικό μοντέλο
- Διαμοιρασμό καθηκόντων
- Υπηρεσία προσαρμοσμένη στις απαιτήσεις
- Λειτουργία της υπηρεσίας χωρίς να επηρεαστούν χρήστες και υποδομή
- MDR agnostic για δυνατότητα αλλαγής του παρόχου της υπηρεσία
- Ορισμό ρόλων και διαδικασιών με βάση το κανονιστικό πλαίσιο που διέπει τον οργανισμό.”
Η επιτυχία της υπηρεσίας θα κριθεί από διάφορους παράγοντες, αλλά σε κάθε περίπτωση φαίνεται ότι είναι μια υπηρεσία που χρειάζονται οι οργανισμοί και είναι ζωτικής σημασίας. Ο Gartner υπολογίζει ότι μέσα στο 2025 το 50% των οργανισμών θα χρησιμοποιούν MDR υπηρεσίες.
Η έκθεση Managed Detection and Response, 2024[5] της Frost Radar έχει αναδείξει μια πλειάδα από κατασκευαστές ως leaders στο MDR. Λαμβάνοντας αυτό υπόψιν θεωρώ ότι το κρισιμότερο είναι η κατάλληλη επιλογή συνεργάτη που αντιλαμβάνεται τις ανάγκες του οργανισμού, ώστε να διασφαλίσει τη διαδρομή στη ψηφιακή εποχή.
[1] https://www.researchandmarkets.com/report/managed-detection-and-response?utm_source=CI&utm_medium=PressRelease&utm_code=lzxlk3&utm_campaign=1710076+-+The+Worldwide+Managed+Detection+and+Response+Industry+is+Expected+to+Reach+%245.6+Billion+by+2027&utm_exec=jamu273prd
[2] https://www.isc2.org/Insights/2023/11/ISC2-Cybersecurity-Workforce-Study-Looking-Deeper-into-the-Workforce-Gap
[3] https://orca.security/resources/blog/2022-cloud-cyber-security-alert-fatigue-report/
[4] https://www.ponemon.org/
[5] https://store.frost.com/frost-radar-managed-detection-and-response-2024.html