Κάθε οργανισμός σήμερα έχει επενδύσει σε τεχνολογία για τον μετριασμό των κινδύνων στον κυβερνοχώρο. Ωστόσο, ανεξάρτητα από τη δύναμη αυτών των αμυντικών μέτρων, ένας αποφασισμένος εισβολέας μπορεί τελικά να καταφέρει να ξεπεράσει την τεχνολογία.

Γιώργος Καπανίρης
Executive Director , NSS
www.nss.gr

 

 

 

 

 

Είναι γεγονός ότι η τεχνολογία, όσο προηγμένη και αν είναι, δεν γίνεται να σταματήσει κάθε επίθεση. Σήμερα, καλά χρηματοδοτούμενες ομάδες χάκερ (ακόμη και υποστηριζόμενες από κράτη) εκμεταλλεύονται κλεμμένα διαπιστευτήρια, λανθασμένες ρυθμίσεις σε συστήματα ασφαλείας, καθώς και κενά ασφαλείας σε νόμιμα εργαλεία πληροφορικής για να παρακάμψουν τις αμυντικές τεχνολογίες. Ταυτόχρονα, συνεχώς καινοτομούν, βιομηχανοποιούν και βελτιώνουν τις μεθόδους τους.

Ο μόνος αξιόπιστος τρόπος για να εντοπίσετε και να εξουδετερώσετε αυτούς τους επιτιθέμενους είναι η 24ωρη παρακολούθηση της υποδομής σας από ειδικούς στον τομέα της ασφάλειας. Για τους περισσότερους οργανισμούς ωστόσο, ακόμα και αν διαθέτουν καλά καταρτισμένα εσωτερικά τμήματα ασφάλειας πληροφορικής, μία τέτοια 24ωρη κάλυψη από ειδικούς δεν αποτελεί ρεαλιστική ή βιώσιμη επιλογή. Ως εκ τούτου, οι περισσότερες εταιρείες απευθύνονται όλο και συχνότερα σε εξειδικευμένους παρόχους υπηρεσιών απομακρυσμένου εντοπισμού και αντιμετώπισης περιστατικών «Managed Detection & Response (MDR)» για υποστήριξη.

Σκεφτείτε τη χρήση μίας ασπίδας στη μάχη: όταν αποκρούετε μια επίθεση, κερδίζετε χρόνο για την επόμενή σας κίνηση. Αν απλώς αμύνεστε διαρκώς, η ασπίδα κάποια στιγμή θα καταστραφεί και θα αποτύχει. Σημάδια που αγνοήθηκαν και καθυστερήσεις στην αντίδραση λόγω περιπλοκότητας στα περιβάλλοντα που περιλαμβάνουν ποικιλία λύσεων από διάφορους προμηθευτές μπορούν να κάνουν τη διαφορά μεταξύ επιτυχούς και αποτυχημένης άμυνας.

Αξιοποιώντας ένα ολοκληρωμένο σύνολο τηλεμετρίας πολλαπλών προϊόντων, οι ομάδες ειδικών που αξιοποιούνται από μία υπηρεσία MDR μπορούν γρήγορα και με ακρίβεια να εντοπίσουν απειλές και να τις αναχαιτίσουν σε όλο το εύρος του υπάρχοντος περιβάλλοντος ενός πελάτη, ακόμα και αν αυτό περιλαμβάνει σύνθετες λύσεις κυβερνοασφαλείας από πολλαπλούς προμηθευτές, προτού οι απειλές εξελιχθούν σε κάτι πιο επιζήμιο, όπως για παράδειγμα σε εκβιασμό μέσω μίας επίθεσης ransomware ή σε μία παραβίαση δεδομένων ευρείας κλίμακας.

Τι προσφέρουν οι υπηρεσίες MDR;

Οι υπηρεσίες MDR (Managed Detection and Response) προσφέρουν διάφορες δυνατότητες, όπως:

  • Συνεχής παρακολούθηση και διαχείριση περιστατικών από ειδικούς, 24/7.
    • Αναζήτηση απειλών με χειροκίνητες διαδικασίες υπό την καθοδήγηση εμπειρογνωμόνων.
    • Περιορισμός απειλών για την αποτροπή εξάπλωσής τους.
    • Πλήρης αντιμετώπιση περιστατικών για την εξάλειψη των απειλών.
    • Ανάλυση της ρίζας του προβλήματος για την πρόληψη μελλοντικών επιθέσεων.
    • Τακτικοί έλεγχοι υγείας για να διασφαλίζεται η ισχυρή στάση ασφαλείας.
    • Εβδομαδιαίες και μηνιαίες αναφορές για συνεχή ενημέρωση.

Πως λειτουργούν οι υπηρεσίες MDR;

Η διαδικασία απομακρυσμένου εντοπισμού και απόκρισης σε περιστατικά ασφαλείας περιλαμβάνει έξι βασικά στάδια:

  1. Συλλογή: Δεδομένα ασφαλείας συλλέγονται από ολόκληρο το IT οικοσύστημα, όπως τερματικές συσκευές, τείχη προστασίας, δίκτυα, cloud, ηλεκτρονικό ταχυδρομείο και λύσεις ταυτότητας. Όσο περισσότερα δεδομένα έχουν οι αναλυτές, τόσο πιο γρήγορα μπορούν να αντιδράσουν.
  2. Εντοπισμός απειλών: Οι πληροφορίες απειλών και το επιχειρηματικό πλαίσιο προστίθενται στα δεδομένα, παρέχοντας μια πιο ολοκληρωμένη εικόνα. Τα σχετικά περιστατικά ομαδοποιούνται και κατηγοριοποιούνται για αποτελεσματική διερεύνηση.
  3. Αναζήτηση απειλών: Ειδικοί αναλυτές εντοπίζουν ενεργά απειλές που μπορεί να διαφεύγουν των συστημάτων ασφαλείας, αναγνωρίζοντας τακτικές και τεχνικές που χρησιμοποιούν οι κυβερνοεγκληματίες.
  4. Διερεύνηση: Οι αναλυτές αξιολογούν το εύρος και τη σοβαρότητα της απειλής και καθορίζουν τα επόμενα βήματα.
  5. Αποκατάσταση: Η επίθεση σταματά, αποτρέπεται η εξάπλωση του κακόβουλου λογισμικού, και τα επηρεαζόμενα συστήματα απομονώνονται.
  6. Εξουδετέρωση: Γίνεται ανάλυση της κύριας αιτίας για να εξουδετερωθεί πλήρως ο επιτιθέμενος και να αποτραπεί μελλοντική επανάληψη παρόμοιου περιστατικού.

Ποιος μπορεί να αξιοποιήσει μία υπηρεσία σαν το Managed Detection and Response;

Όλοι οι τύποι οργανισμών, ανεξαρτήτως τομέα, μπορούν να αξιοποιήσουν τις υπηρεσίες MDR, από μικρές εταιρείες με περιορισμένους IT πόρους έως μεγάλες επιχειρήσεις με εσωτερικές ομάδες ασφαλείας και κέντρα επιχειρήσεων ασφαλείας (SOC). Το κύριο ερώτημα, όμως, είναι πώς μπορούν να συνεργαστούν οι οργανισμοί με τις υπηρεσίες MDR. Υπάρχουν τρία βασικά μοντέλα ανταπόκρισης MDR:

  • Η ομάδα MDR αναλαμβάνει πλήρως τη διαχείριση των απειλών εκ μέρους του πελάτη.
    • Η ομάδα MDR συνεργάζεται με την εσωτερική ομάδα, μοιράζοντας τη διαχείριση των απειλών.
    • Η ομάδα MDR ειδοποιεί την εσωτερική ομάδα και παρέχει καθοδήγηση για την αποκατάσταση.

Καθώς κάθε οργανισμός έχει διαφορετικές ανάγκες, υπάρχει η ευελιξία να επιλεγεί το μοντέλο MDR που ταιριάζει καλύτερα στις συγκεκριμένες απαιτήσεις του.

Υπάρχουν τρεις κύριοι τύποι παρόχων υπηρεσιών MDR: 

  1. “Φέρτε τη δική σας τεχνολογία”: Αυτοί οι πάροχοι συλλέγουν δεδομένα ασφαλείας από πολλαπλές πηγές, αλλά συνήθως παρέχουν μόνο ειδοποιήσεις χωρίς να αναλαμβάνουν δράση. Επίσης, η εσωτερική πληροφόρησή τους είναι περιορισμένη ως προς το βάθος και την ταχύτητα.
  2. “Ένας πάροχος για όλα”: Σε αυτή την κατηγορία, οι προμηθευτές προσφέρουν υπηρεσίες MDR αποκλειστικά για τα δικά τους προϊόντα ασφαλείας. Τα τεχνολογικά εργαλεία και οι υπηρεσίες MDR είναι πλήρως ενσωματωμένα, αλλά απαιτούν από τον πελάτη να αντικαταστήσει τα υπάρχοντα εργαλεία κυβερνοασφάλειας στην υποδομή του. Επιπλέον, περιορίζονται στις ενέργειες που μπορούν να γίνουν μόνο μέσω των δικών τους προϊόντων.
  3. Πλήρης ευελιξία: Αυτοί οι πάροχοι συνδυάζουν τα οφέλη των δύο προηγούμενων προσεγγίσεων. Μπορούν να χρησιμοποιήσουν οποιονδήποτε συνδυασμό των υπαρχόντων προϊόντων ασφαλείας του πελάτη, αποφεύγοντας την ανάγκη αντικατάστασης, ενώ ταυτόχρονα προσφέρουν δυνατότητες βαθιάς απόκρισης μέσω των δικών τους εργαλείων.

Ποια είναι τα οφέλη μίας υπηρεσίας MDR;

  1. Ανώτερη κυβερνοάμυνα: Ένα από τα μεγαλύτερα πλεονεκτήματα της χρήσης ενός παρόχου MDR σε σύγκριση με εσωτερικές λύσεις ασφαλείας είναι η αυξημένη προστασία απέναντι σε ransomware και άλλες εξελιγμένες απειλές. Οι αναλυτές των υπηρεσιών MDR έχουν αντιμετωπίσει περισσότερες και ποικιλότερες επιθέσεις, αποκτώντας εμπειρογνωμοσύνη που είναι δύσκολο να αναπαραχθεί εσωτερικά σε έναν οργανισμό.
  2. Απελευθέρωση πόρων από το IT τμήμα: Η παρακολούθηση και αντιμετώπιση απειλών είναι χρονοβόρα και απρόβλεπτη. Συνεργαζόμενοι με μια υπηρεσία MDR, οι οργανισμοί μπορούν να αποδεσμεύσουν το IT προσωπικό τους για να εστιάσει σε στρατηγικά έργα που προσθέτουν αξία στην επιχείρηση.
  3. Συνεχής προστασία, 24/7: Οι κυβερνοεπιθέσεις μπορεί να συμβούν οποιαδήποτε στιγμή, και συνήθως όταν οι εσωτερικές ομάδες ασφαλείας δεν είναι διαθέσιμες, όπως τα βράδια ή τα Σαββατοκύριακα. Οι υπηρεσίες MDR παρέχουν συνεχή κάλυψη, εξασφαλίζοντας ψυχική ηρεμία για τις εσωτερικές ομάδες IT και τους πελάτες, καθώς γνωρίζουν ότι η ασφάλεια της επιχείρησης διαχειρίζεται επαγγελματικά όλο το 24ωρο.
  4. Προσθήκη τεχνογνωσίας χωρίς επιπλέον προσωπικό: Η ανίχνευση και η αντιμετώπιση απειλών απαιτεί εξειδικευμένες δεξιότητες, καθιστώντας δύσκολη την πρόσληψη κατάλληλων ατόμων. Οι υπηρεσίες MDR παρέχουν πρόσβαση σε αυτή την τεχνογνωσία, επιτρέποντας στις επιχειρήσεις να ενισχύσουν την ασφάλειά τους χωρίς να αυξήσουν το προσωπικό τους.
  5. Βελτίωση της απόδοσης της επένδυσης στην κυβερνοασφάλεια: Η διατήρηση μιας 24ωρης ομάδας ασφαλείας είναι δαπανηρή. Οι υπηρεσίες MDR προσφέρουν οικονομικά αποδοτική προστασία αξιοποιώντας οικονομίες κλίμακας, μειώνοντας τον κίνδυνο ακριβών παραβιάσεων δεδομένων. Με το μέσο κόστος αποκατάστασης μιας ransomware επίθεσης να φτάνει τα 1,4 εκατομμύρια δολάρια το 2021, η επένδυση σε MDR αποτελεί σοφή οικονομική απόφαση.

Αξιοποιώντας τις υπηρεσίες MDR που ενσωματώνονται στην υπάρχουσα υποδομή ασφαλείας σας, μπορείτε να αυξήσετε την απόδοση των υφιστάμενων επενδύσεων σας και να βελτιώσετε τις πιθανότητες να εξασφαλίσετε ασφαλιστική κάλυψη με ευνοϊκότερους όρους.

Πώς συγκρίνονται οι υπηρεσίες MDR με τα EDR και XDR;

 Το Managed Detection and Response (MDR) δεν πρέπει να συγχέεται με το Endpoint Detection and Response (EDR) ή το Extended Detection and Response (XDR). Ενώ και τα τρία επιτρέπουν την ανίχνευση και αντιμετώπιση απειλών, το EDR και XDR είναι εργαλεία που δίνουν τη δυνατότητα στους αναλυτές να παρακολουθούν και να διερευνούν πιθανές απειλές, ενώ το MDR είναι μια πλήρως διαχειριζόμενη υπηρεσία, όπου οι αναλυτές ενός παρόχου αναλαμβάνουν την ανίχνευση, διερεύνηση και εξουδετέρωση απειλών για λογαριασμό σας.

Τα EDR εργαλεία επικεντρώνονται στην ανάλυση δεδομένων από τερματικές συσκευές (endpoints), ενώ τα XDR επεκτείνουν τις πηγές τους σε ολόκληρο το IT περιβάλλον, περιλαμβάνοντας τείχη προστασίας, email, cloud, δίκτυα, ταυτότητες και φορητές συσκευές. Αυτό προσφέρει μια πιο ολοκληρωμένη εικόνα των απειλών και καλύτερη ορατότητα σε πιθανούς κινδύνους.

Η Sophos χρησιμοποιεί τις κορυφαίες λύσεις EDR και XDR για την παροχή της υπηρεσίας Sophos MDR. Για παράδειγμα, η Sophos MDR αξιοποιεί την τεχνολογία CryptoGuard, που ανιχνεύει και προλαμβάνει ransomware επιθέσεις πριν καν επηρεάσουν συστήματα. Αυτή η τεχνολογία ανιχνεύει όχι μόνο τις τελευταίες παραλλαγές κακόβουλου λογισμικού, αλλά και την απομακρυσμένη κρυπτογράφηση (remote ransomware).

Το Sophos MDR είναι από τις πιο διαδεδομένες υπηρεσίες MDR παγκοσμίως, με περισσότερους από 17.000 πελάτες σε διάφορους βιομηχανικούς κλάδους. Είναι η μόνη υπηρεσία που μπορεί να ενσωματωθεί πλήρως στις υπάρχουσες υποδομές ασφαλείας και να συνεργαστεί τόσο με τα προϊόντα της Sophos όσο και με λύσεις τρίτων, όπως το Microsoft Defender.

Οι πελάτες του Sophos MDR απολαμβάνουν μια πλήρως διαχειριζόμενη υπηρεσία ασφάλειας, διαθέσιμη 24/7, με εξειδικευμένους μηχανικούς που εντοπίζουν και αντιμετωπίζουν επιθέσεις που η τεχνολογία από μόνη της δεν μπορεί να αποτρέψει. Η Sophos είναι η πρώτη εταιρεία που ενσωματώνει τηλεμετρία τόσο από τα δικά της εργαλεία όσο και από λύσεις τρίτων, επιταχύνοντας την ανίχνευση και την απόκριση σε απειλές και βελτιστοποιώντας τις υπάρχουσες επενδύσεις στην κυβερνοασφάλεια.

Σε αντίθεση με άλλες υπηρεσίες MDR, η Sophos προσφέρει πλήρη ευελιξία. Οι πελάτες μπορούν να διατηρήσουν τα υπάρχοντα εργαλεία ασφαλείας τους και να επιλέξουν το επίπεδο υποστήριξης και τα αποτελέσματα που επιθυμούν, θέτοντας ένα νέο πρότυπο στην αγορά του MDR.

Εγγύηση παραβίασης ύψους 1 εκατομμυρίου δολαρίων: Το Sophos MDR Complete προσφέρει εγγύηση κάλυψης έως 1 εκατομμυρίου δολαρίων σε έξοδα αντιμετώπισης για επιλέξιμους πελάτες, παρέχοντας επιπλέον ασφάλεια και προστασία.