Η Εκτεταμένη Ανίχνευση και Απόκριση (Extended Detection and Response – XDR) θεωρείται το επόμενο βήμα στις τεχνολογίες της ασφάλειας πληροφοριών με επίκεντρο την πρόληψη απειλών.

Παναγιώτης Καλαντζής
Cyber Security & Data Privacy Expert

Εισαγωγή

Το XDR είναι μια ολιστική προσέγγιση που εξορθολογίζει τη συγκέντρωση δεδομένων ασφαλείας, την ανάλυση και συσχετοποίηση αυτών στο σύνολο του οικοσυστήματος λύσεων ασφάλειας ενός οργανισμού, για να βελτιώσει την ορατότητα γύρω από αόρατες και προηγμένες απειλές και να ενοποιήσει την απόκριση στις απειλές αυτές. Το XDR συλλέγει και συσχετίζει δεδομένα από τελικά σημεία, κόμβους εργασίας στο σύννεφο (cloud), δίκτυα και email, τα αναλύει και τα ιεραρχεί και τα εμφανίζει σε ομάδες ασφαλείας σε κανονικοποιημένη μορφή μέσω μιας ενιαίας κονσόλας.

Το XDR συντονίζει και επεκτείνει την αξία των εργαλείων ασφαλείας που σε διαφορετικές συνθήκες θα ήταν απομονωμένες και αποκομμένες η μία της άλλης, ενοποιώντας και εξορθολογίζοντας την ανάλυση, την έρευνα και την αποκατάσταση της ασφαλείας σε μια ενοποιημένη κονσόλα. Ως αποτέλεσμα, το XDR βελτιώνει δραματικά την ορατότητα των απειλών, επιταχύνει τις λειτουργίες ασφαλείας, μειώνει το συνολικό κόστος απόκτησης καθώς και το μόνιμο φόρτο προσωπικού ασφαλείας.

Πλεονεκτήματα των τεχνολογιών XDR

Οι υπάρχουσες υλοποιήσεις λύσεων ανίχνευσης απειλών επικεντρώνονται σε ένα επίπεδο. Για παράδειγμα, οι λύσεις Ανίχνευσης και Απόκρισης Τελικού Σημείου (Endpoint Detection and Response – EDR) λειτουργούν μόνο σε τελικά σημεία και οι λύσεις ανάλυσης κίνησης δικτύου λειτουργούν μόνο σε κίνηση δικτύου. Οι οργανισμοί καταλήγουν να προμηθεύονται πολλαπλά προϊόντα ασφαλείας για να δημιουργήσουν τη δική τους πολυεπίπεδη ασφάλεια, κάτι που οδηγεί σε μια περίπλοκη στοίβα ασφαλείας που παρέχει πάρα πολλές ειδοποιήσεις και όχι ένα ικανοποιητικό και επαρκές πλαίσιο κατανόησης των ειδοποιήσεων αυτών.

Οι οργανισμοί καταλήγουν να επενδύουν μεγάλα ποσά, μόνο για να διαπιστώσουν ότι οι ίδιες οι άμυνές τους έχουν λειτουργήσει εναντίον τους. Όσο πιο περίπλοκες είναι οι απομονωμένες λύσεις ασφαλείας, τόσο μεγαλύτερη είναι η πιθανότητα να δημιουργηθεί ένα κενό ασφαλείας και να περάσει απαρατήρητο μέχρι να υπάρξει παραβίαση. Και καθώς εμπλέκονται περισσότερα εργαλεία, η διεξαγωγή ερευνών γίνεται πιο δύσκολη, ενώ και ο χρόνος που απαιτείται για τον εντοπισμό μιας παραβίασης αυξάνεται δραματικά, παράλληλα με την υιοθέτηση του πολυεπίπεδου μοντέλου ασφαλείας.

Παράλληλα, όλα αυτά τα εργαλεία πρέπει να τυγχάνουν διαχείρισης για την παρακολούθηση και την εφαρμογή τακτικών ενημερώσεων κώδικα και αναβαθμίσεων, σε καθένα από τα εξειδικευμένα προϊόντα, με αποτέλεσμα η ομάδα ασφαλείας να μην επιβαρύνεται μόνο με το χειρισμό μεγαλύτερου όγκου ειδοποιήσεων, από τις λύσεις ασφάλειας, αλλά και με το διαχειριστικό βάρος αυτών.

Τέλος, η αγορά προϊόντων για την αντιμετώπιση συγκεκριμένων κενών ασφαλείας βάζει την τεχνολογία πρώτη και την επιχείρηση και τους χρήστες τελευταία. Είναι τακτική, παρά στρατηγική προσέγγιση, και ως εκ τούτου καταλήγει να κοστίζει περισσότερα χρήματα, να απαιτεί περισσότερη εξειδικευμένη τεχνογνωσία και να εμποδίζει την επεκτασιμότητα και την καινοτομία.

Οι τεχνολογίες XDR αντιμετωπίζουν τα προβλήματα που δημιουργούνται από τις παραδοσιακές τεχνολογίες ανίχνευσης και απόκρισης. Έχουν σχεδιαστεί για να λειτουργούν με τις σημερινές υβριδικές υποδομές και φόρτους εργασίας στο cloud, καθώς και με περιβάλλοντα εσωτερικού χώρου και μεγάλο απομακρυσμένο εργατικό δυναμικό.

Οι τεχνολογίες XDR βελτιώνουν το επίπεδο της ασφάλειας πληροφοριών ενός οργανισμού προσφέροντας:

Ταχύτερη ανίχνευση υψηλής πιστότηταςΤα απομονωμένα εργαλεία ασφαλείας επικεντρώνονται σε ένα στενό εύρος δεδομένων, αναγκάζοντας τους αναλυτές ασφαλείας να συγκρίνουν χειροκίνητα τα δεδομένα από πολλά εργαλεία, προκειμένου να ανιχνεύσουν και να κατανοήσουν τις ύποπτες δραστηριότητες στην υποδομή τους. Αυτό εισάγει την πιθανότητα ανθρώπινου λάθους και δεν παρέχει κανέναν τρόπο εντοπισμού εισβολέων που χρησιμοποιούν κλεμμένα διαπιστευτήρια. Παίρνει επίσης πολύ χρόνο.

Οι τεχνολογίες XDR προσφέρουν αναλυτική ορατότητα, δουλεύοντας σε πολλαπλά επίπεδα, συλλέγοντας και συσχετίζοντας δεδομένα από email, τελικά σημεία, διακομιστές, φόρτους εργασίας στο cloud και δίκτυα. Η ανίχνευση είναι ταχύτερη και οι ειδοποιήσεις είναι καλύτερα ενημερωμένες. Οι επιθέσεις μπορούν να αναπαραχθούν, καθιστώντας εφικτή την αποκάλυψη των μεθόδων των επιτιθέμενων, καθώς και ποια περιουσιακά στοιχεία μπορεί να έχουν τεθεί σε κίνδυνο. Αυτές οι πληροφορίες μπορούν να χρησιμοποιηθούν για τον μετριασμό και την αποκατάσταση, καθώς και για τη λήψη καλύτερων αποφάσεων σχετικά με τις απαραίτητες βελτιώσεις ασφάλειας.

Βελτιωμένη απάντησηΟι τεχνολογίες XDR έχουν τη δυνατότητα να προσφέρουν και να μετατρέψουν τις αναλυτικές ειδοποιήσεις σε ενορχηστρωμένη δράση, ενισχύοντας με τον τρόπο αυτό τις ομάδες ασφαλείας και δίνοντάς τους τη δυνατότητα να σχεδιάζουν και να αυτοματοποιούν ροές εργασιών απόκρισης πολλαπλών σταδίων και πολλαπλών πλατφορμών.

Βέλτιστο οικοσύστημα Η προσπάθεια αποδοτικής ενοποίησης πολλαπλών μέτρων και μηχανισμών ασφάλειας, έχει αποδειχτεί στην πλειοψηφία των περιπτώσεων σε όνειρο θερινής νυκτός. Αντίθετα, οι τεχνολογίες XDR μπορούν να εκπληρώσουν την υπόσχεσή τους διαθέτοντας τις απαραίτητες πληροφορίες από μια ποικιλία συστημάτων και δικτύων πληροφορικής στις ομάδες ασφαλείας των οργανισμών.

Πιο αποτελεσματικές Λειτουργίες  Ασφάλειας (SecOps) Οι τεχνολογίες XDR συνδυάζουν την τεχνητή νοημοσύνη με ολοκληρωμένα αναλυτικά στοιχεία για την ιεράρχηση των απειλών. Αυτό σημαίνει ότι οι ανωμαλίες που προσδιορίζονται ως ασήμαντες απομακρύνονται από το ρεύμα προειδοποίησης πριν τις δει ποτέ ένας αναλυτής. Ο αναλυτής είναι ελεύθερος να εστιάσει σε απειλές που έχουν σημασία και αυτές οι απειλές με προτεραιότητα συνοδεύονται από το πλαίσιο για να γίνει η ανθρώπινη ανάλυση ταχύτερη και ακριβέστερη.

Χαμηλότερο συνολικό κόστος ιδιοκτησίαςΕκτός από το γεγονός ότι οι τεχνολογίες XDR μπορούν να αντικαταστήσουν πολλά εργαλεία (και επομένως να μειώσουν το σχετικό κόστος), η αποτελεσματικότερη χρήση των ανθρώπινων πόρων του οργανισμού μειώνει σημαντικά το Συνολικό Κόστος Ιδιοκτησίας (Total Cost of Ownership – TCO) καθώς η διαχείριση απαιτεί λιγότερο χρόνο και οι έρευνες μπορούν να ολοκληρωθούν πιο γρήγορα.

Business, Technology, Internet and network concept. Young girl holding a sign with an inscription Security Awareness.3D illustration.

Κομβικά σημεία της αρχιτεκτονικής XDR

Προκειμένου οι τεχνολογίες XDR να εκπληρώσουν την υπόσχεσή τους για βελτιστοποιημένη ανίχνευση, έρευνα, ταυτοποίηση και απόκριση σε απειλές, οι λύσεις αυτές θα πρέπει κατ’ ελάχιστον να προσφέρουν τα κάτωθι χαρακτηριστικά.

  1. Εγγενής ορατότητα και προστασία τελικού σημείου

Οι λύσεις XDR παρέχουν στις ομάδες ασφαλείας έναν ευκολότερο τρόπο να αμυνθούν έναντι των παραβιάσεων ασφάλειας, επεκτείνοντας την ορατότητα, τον εντοπισμό και την απόκριση πέρα ​​από το τελικό σημείο. Οι λύσεις αυτές, είναι μια επέκταση των λύσεων Ανίχνευσης και Απόκρισης Τελικού Σημείου (Endpoint Detection and Response – EDR). Προκειμένου να επιτευχθεί σε μέγιστο βαθμό το χαρακτηριστικό αυτό, το τελικό σημείο πρέπει να παραμείνει ως βάση και οι σχετικές άμυνες να χτιστούν πάνω του.

  1. Ανάλυση και διαχείριση συμβάντων εστιασμένη στην απειλή

Ο παράγοντας x στις λύσεις XDR είναι ο επικεντρωμένος προσανατολισμός τους στην εκάστοτε απειλή. Αυτός αποτελεί τον κεντρικό παράγοντα που ενοποιεί τα δεδομένα και εξορθολογίζει την απόκριση στις διάφορες απειλές.

  1. Ποικιλόμορφη τηλεμετρία πολλαπλών τομέων

Η αξία των λύσεων XDR, προέρχεται από τη δυνατότητα συμπερίληψης δεδομένων του περιβάλλοντος, δεδομένα που μπορεί να προσφέρει η πρόσθετη τηλεμετρία πληροφορικής και ασφάλειας που οι λύσεις αυτές περιλαμβάνουν. Η συμπερίληψη ή η εξαίρεση συγκεκριμένων τεχνολογιών, δεν καθορίζει εάν το εργαλείο παρέχει αληθινές δυνατότητες XDR. Το πιο σημαντικό είναι ότι ένα ευρύ, ποικίλο σύνολο συστημάτων και εφαρμογών ενσωματώνεται για πιο ολοκληρωμένη πλαισίωση και συσχέτιση. Αυτά μπορεί να περιλαμβάνουν ανάλυση και ορατότητα δικτύου (NAV), συσκευές firewall νέας γενιάς (NGFW), ασφάλεια email, διαχείριση ταυτότητας και πρόσβασης (IAM), πλατφόρμα προστασίας φόρτου εργασίας στο cloud (CWPP), CASB/SW, DLP και άλλα.

  1. Οντότητες με σκοπό την αποτελεσματική απορρόφηση, συσχέτιση και αναζήτηση δεδομένων

Τα καλά καθορισμένα (well defined) σχήματα για ανταλλαγές δεδομένων με πρόσθετα συστήματα ασφάλειας πληροφορικής, είναι ζωτικής σημασίας για να διασφαλιστεί ότι ο εμπλουτισμός και ο συσχετισμός, εγγενή χαρακτηριστικά των τεχνολογιών XDR,  πραγματοποιούνται με συνεπή και ολοκληρωμένο τρόπο, έχοντας κατά νου βασικούς στόχους και αποτελέσματα.

  1. Μοντέλο ανίχνευσης που δίνει προτεραιότητα στην πιστότητα δεδομένων

Οι ομάδες ασφαλείας των οργανισμών είναι ήδη υπερφορτωμένες με δεδομένα που προέρχονται από πλειάδα μηχανισμών και μέτρων ασφάλειας, και οι τεχνολογίες XDR έχουν τη δυνατότητα να ενδυναμώσουν τις ομάδες ασφάλειας των οργανισμών αναφορικά με την μεγάλη τάξη μεγέθους των συλλεγόμενων δεδομένων. Δίνοντας έμφαση στην πιστότητα και την ποιότητα ανίχνευσης, οι ομάδες ασφαλείας αποφεύγουν έναν κατακλυσμό ψευδώς θετικών ειδοποιήσεων και ενημερώσεων και διασφαλίζουν ότι τα συμβάντα και οι ειδοποιήσεις προερχόμενες από εργαλεία XDR είναι ουσιαστικά και αποτελεσματικά.

  1. Πολυεργαλική ενορχήστρωση, μετριασμός και απόκριση

Μόλις εντοπιστούν απειλές, οι τεχνολογίες XDR παρέχουν στις ομάδες ασφαλείας των οργανισμών, ενσωματωμένες ροές εργασίας για να λάβουν με ταχύτητα και αμεσότητα, συχνά αυτοματοποιημένη δράση για τον μετριασμό και την αποκατάσταση της απειλής.

  1. Τεχνική νοημοσύνη και μηχανική μάθηση που αναζητά συνεχώς νέα άγνωστα

Τα προηγμένα αναλυτικά στοιχεία σε μορφές όπως η Τεχνική Νοημοσύνη (Artificial Intelligence – AI) και η Μηχανική Μάθηση (Machine Learning – ML) εφαρμόζονται για την αναζήτηση προηγμένων κρυφών ή αόρατων απειλών, συχνά μέσω της συγκέντρωσης και της κατανόησης πολλαπλών, ανόμοιων ασθενέστερων ενδείξεων και αρχείων καταγραφής από διαφορετικά εργαλεία.

Managed Detect and Response (MDR) ή Endpoint Detect & Response (EDR)?

Η παραδοσιακή ασφάλεια τελικού σημείου λειτουργεί εκ των υστέρων και εντοπίζει πιθανές απειλές ασφαλείας, αντιστοιχίζοντας γνωστές υπογραφές και μοτίβα επίθεσης. Το EDR, από την άλλη πλευρά, είναι προγνωστικό και εστιάζει στον εντοπισμό προηγμένων επίμονων απειλών και κακόβουλου λογισμικού που δεν έχει ξαναφανεί και έχει σχεδιαστεί για να αποφεύγει τις παραδοσιακές άμυνες ασφαλείας. Οι περισσότερες λύσεις EDR αξιοποιούν τη συνδυασμένη ισχύ της ευφυΐας εντοπισμού απειλών στον κυβερνοχώρο, των δυνατοτήτων μηχανικής εκμάθησης και της προηγμένης ανάλυσης αρχείων για να βοηθήσουν στον εντοπισμό προηγμένων απειλών.

Οι λύσεις EDR καταγράφουν και αποθηκεύουν ερωτήματα, συμπεριφορές και συμβάντα ασφαλείας, επιτρέποντας στις ομάδες κυβερνοασφάλειας να εντοπίζουν και να αναλύουν ύποπτες δραστηριότητες με την πάροδο του χρόνου. Σε περίπτωση παραβίασης ή εντοπισμού, το EDR θα περιέχει το κακόβουλο λογισμικό απομονώνοντάς το και θα κατανοήσει τη συμπεριφορά του πυροδοτώντας το κακόβουλο αρχείο σε ένα ασφαλές περιβάλλον (δηλ. sandbox). Το EDR θα βοηθήσει επίσης στη διεξαγωγή εκτεταμένης ανάλυσης της βασικής αιτίας και θα βοηθήσει στην ταχύτερη απόκριση του περιστατικού.

Οι λύσεις XDR, από την άλλη μεριά, είναι μια πιο εξελιγμένη, ολιστική, διαπλατφορμική προσέγγιση για την ανίχνευση και την απόκριση τελικού σημείου. Ενώ το EDR συλλέγει και συσχετίζει δραστηριότητες σε πολλά τελικά σημεία, το XDR διευρύνει το εύρος της ανίχνευσης πέρα από τα τελικά σημεία και αναλύει δεδομένα σε τελικά σημεία, δίκτυα, διακομιστές, φόρτους εργασίας στο cloud, SIEM και πολλά άλλα. Αυτό παρέχει μια ενοποιημένη, ενιαία προβολή γυαλιού σε πολλά εργαλεία και διανύσματα επίθεσης.

Οι λύσεις XDR διερευνούν χιλιάδες αρχεία καταγραφής πληροφοριών, αξιοποιώντας τη δύναμη της τεχνητής νοημοσύνης, της μηχανικής μάθησης και του αυτοματισμού. Ο στόχος τους είναι να παρέχει ακριβείς, πλούσιες σε περιβάλλον ειδοποιήσεις στις ομάδες ασφαλείας. Ενώ οι λύσεις αυτές βρίσκονται στο αρχικό στάδιο της υιοθέτησής τους, ορισμένοι πιστεύουν ότι το XDR θα μπορούσε να αποτελέσει ένα σημαντικό βήμα εξέλιξης της βιομηχανίας ασφάλειας πληροφοριών.

Managed Detect and Response (MDR) – Η εξέλιξη του XDR?

Οι υπηρεσίες Managed Detection and Response (MDR) αποτελούν προσφορά υπηρεσιών από παρόχους ασφάλειας, που έχει σχεδιαστεί ως μια εναλλακτική λύση σε ένα εσωτερικό Κέντρο Επιχειρήσεων Ασφαλείας (SOC). Μια λύση MDR παρέχει πρόσβαση τόσο στα εργαλεία όσο και στην τεχνογνωσία σε θέματα ασφάλειας που χρειάζεται ένας οργανισμός, για να προστατευτεί από απειλές στον κυβερνοχώρο.

Ένας πάροχος υπηρεσιών MDR προσφέρει 24ωρη παρακολούθηση δικτύου και διερεύνηση και απόκριση συμβάντων. Οι υπηρεσίες και λύσεις MDR αναπτύσσονται εντός του περιβάλλοντος του οργανισμού, παρέχοντας βαθύτερη ορατότητα και πιο λεπτομερή προστασία από άλλες προσφορές διαχειριζόμενων υπηρεσιών ασφαλείας, όπως ένας πάροχος υπηρεσιών διαχειριζόμενης ασφάλειας (MSSP).

Με τις υπηρεσίες MDR, ένας οργανισμός αποκτά πρόσβαση σε κορυφαίες τεχνολογίες ασφάλειας, όπως ανίχνευση και απόκριση τελικού σημείου και εξειδικευμένη τεχνογνωσία, όπως κυνήγι απειλών ή ασφάλεια cloud. Αυτό δίνει τη δυνατότητα σε έναν οργανισμό να αναπτύξει γρήγορα ένα ώριμο SOC ή να ενισχύσει την αποτελεσματικότητα μιας εσωτερικής ομάδας ασφαλείας.

Οι υπηρεσίες MDR επιλύουν αυτές τις προκλήσεις που αντιμετωπίζουν οι ομάδες ασφαλείας συμπληρώνοντας την ομάδα εσωτερικής ασφάλειας ενός οργανισμού με εξωτερικούς πόρους. Ένας πάροχος υπηρεσιών MDR προσφέρει ένα εξωτερικό SOC που εκτελεί τα περισσότερα ή όλα τα καθήκοντα που είναι απαραίτητα για την παρακολούθηση και την προστασία των περιουσιακών στοιχείων πληροφορικής ενός οργανισμού. Ένας πάροχος υπηρεσιών MDR πιθανότατα χρησιμοποιεί λύσεις XDR, χειριζόμενες όμως από εξωτερικούς αναλυτές SOC και όχι από εσωτερική ομάδα. Συνεργαζόμενος με έναν πάροχο MDR, ένας οργανισμός μπορεί να επωφεληθεί από σημαντική εξοικονόμηση κόστους σε σύγκριση με τη διατήρηση ενός ισοδύναμου SOC εσωτερικά στον οργανισμό και εξασφαλίζει πρόσβαση κατ’ απαίτηση σε εξειδικευμένα ταλέντα ασφαλείας.

Και οι δύο αυτές λύσεις (MDR & XDR) έχουν τη δυνατότητα να βελτιώσουν δραματικά την ικανότητα ενός οργανισμού να εντοπίζει και να ανταποκρίνεται σε απειλές ασφαλείας. Η σωστή λύση για έναν οργανισμό εξαρτάται από την ωριμότητα της ομάδας ασφαλείας που διαθέτει ήδη και τις μοναδικές απαιτήσεις ασφαλείας και τις επιχειρηματικές ανάγκες του.

Πολλές επιχειρήσεις αντιμετωπίζουν την προστασία του οργανισμού με μια λιτή ομάδα ασφάλειας ενόψει της αυξανόμενης πολυπλοκότητας του δικτύου και ενός εξελισσόμενου τοπίου απειλών στον κυβερνοχώρο. Τόσο οι υπηρεσίες MDR όσο και οι τεχνολογίες XDR παρέχουν λύσεις σε αυτό, αλλά ένας οργανισμός πρέπει να καθορίσει ποια επιλογή ταιριάζει καλύτερα στις απαιτήσεις ασφαλείας και τις επιχειρηματικές του ανάγκες.

Ένας οργανισμός που δεν διαθέτει βασική εσωτερική τεχνογνωσία σε θέματα ασφάλειας μπορεί να εξυπηρετηθεί καλύτερα από το MDR. Από την άλλη πλευρά, μια εταιρεία με ώριμο αλλά κατακλυσμένο SOC μπορεί να ωφεληθεί περισσότερο από τον πολλαπλασιασμό δυνάμεων που παρέχεται από το XDR.

Managed Detect and Response (MDR) και Managed Security Services Providers (MSSP) – Ποια είναι η καταλληλότερη λύση;

Οι υπηρεσίες (και κατ’ επέκταση οι πάροχοι) MSSP υπάρχουν σχεδόν για όσο διάστημα το Διαδίκτυο ήταν σε εμπορική χρήση. Οι περισσότεροι πάροχοι υπηρεσιών MSSP προσφέρουν εξωτερική ανάθεση διαχείρισης διάφορων υπηρεσιών, εργαλείων και συσκευών ασφαλείας, μεταξύ των οποίων τείχη προστασίας και VPN, ενώ μπορούν επίσης να προσφέρουν διαχειριζόμενη σάρωση ευπαθειών, διαχείριση περιουσιακών στοιχείων ασφαλείας και παρακολούθηση λύσεων SIEM και κέντρου λειτουργιών ασφαλείας. Ενώ κάθε πάροχος υπηρεσιών MSSP προσφέρει το δικό του συγκεκριμένο σύνολο υπηρεσιών, αυτές συχνά επικεντρώνονται στη διαχείριση και την παρακολούθηση της ασφάλειας. Με άλλα λόγια, εάν εντοπιστεί παραβίαση ή εισβολή, ο πάροχος υπηρεσιών MSSP μπορεί να ειδοποιήσει τον πελάτη σχετικά με την εισβολή, αλλά η απάντηση επαφίεται στον πελάτη, εκτός εάν ορίζεται διαφορετικά στην μεταξύ τους σύμβαση υπηρεσιών.

Οι υπηρεσίες MDR, από την άλλη πλευρά, επικεντρώνεται στην προληπτική αναζήτηση απειλών και στον εντοπισμό και την απόκριση σε αυτές. Ο πάροχος υπηρεσιών MDR διαχειρίζεται συνήθως τα εργαλεία ανίχνευσης και απόκρισης, όπως παράγοντες προστασίας τελικού σημείου, αλλά δεν διαχειρίζεται εργαλεία ασφαλείας που δεν χρησιμοποιούνται για τις σχετικές υπηρεσίες. Ενώ οι πάροχοι υπηρεσιών MSSP μπορούν να προσφέρουν σε μεγάλο βαθμό αυτοματοποιημένες υπηρεσίες, οι υπηρεσίες MDR λειτουργούν από τον άνθρωπο, με αναλυτές απειλών που παρακολουθούν τα δίκτυα πελατών σε πραγματικό χρόνο τόσο για δείκτες επίθεσης (indicators or attack – IOA) όσο και για δείκτες έκθεσης (indicators of compromise – IOC).

Η άλλη κύρια έμφαση των υπηρεσιών MDR είναι η επικύρωση και η απόκριση σε καταστάσεις συναγερμού. Ενώ οι περισσότεροι πάροχοι υπηρεσιών MSSP δεν αναλαμβάνουν δράση ή παρέχουν περιορισμένη απόκριση, η ολοκληρωμένη απόκριση αποτελεί ακρογωνιαίο λίθο των υπηρεσιών MDR.

Ανεξάρτητα από τη θέση που λαμβάνεται στη συζήτηση για την χρησιμότητα, την αξία και την προσφορά των υπηρεσιών MDR εναντίον των MSSP αυτών, στην σημερινή συγκυρία είναι απαραίτητο να υπάρχει ξεκάθαρη ανάληψη δράσης (μεταξύ του οργανισμού και του πάροχου) σχετικά με το ποιος πρόκειται να αναλάβει δράση και ποια – και πόση – δράση θα αναληφθεί, ενισχύοντας το πρόγραμμα ασφαλείας του οργανισμού με την χρήση υπηρεσιών MSSP, MDR ή ένας συνδυασμός των δύο, έχοντας σαν αποτέλεσμα την βελτίωση του χρόνου απόκρισής σε ένα περιστατικό, εξασφαλίζοντας την συμμόρφωση με συμβάσεις και κανονιστικά πλαίσια, εντός του καθορισμένου προϋπολογισμού και με αποδοτικό τρόπο, ξεπερνώντας πολλές φορές περιορισμούς λόγο περιορισμένου προσωπικού, ή γνώσης σε θέματα ασφάλειας.