O que é a detecção e resposta gerenciadas (MDR)?

Sophos MDR Relatório de Ransomware da Sophos

A detecção e resposta gerenciadas (MDR) é um serviço totalmente gerenciado — 24 horas por dia, sete dias por semana — entregue por peritos especializados em detectar e responder a ataques cibernéticos que as soluções tecnológicas por si só não conseguem evitar. Ao combinar perícia humana às tecnologias de proteção e modelos avançados de Machine Learning, os analistas de MDR podem detectar, investigar e neutralizar ataques avançados conduzidos por humanos, evitando violações de dados e ransomwares.

A demanda pelos serviços MDR está nas alturas, e a Gartner prevê que em 2025 metade das organizações estará usando os serviços MDR.

Por que o MDR é importante?

A verdade é que a tecnologia por si só não consegue evitar todo e qualquer ataque cibernético. Os adversários, muito bem-financiados, usam e abusam de credenciais roubadas, configurações de segurança incorretas e ferramentas de TI legítimas que utilizam para esquivar-se de tecnologias de defesa, e continuam a inovar e industrializar suas abordagens.

A única maneira de detectar e neutralizar os invasores mais determinados de maneira confiável é com a supervisão ininterrupta realizada por profissionais de segurança especializados. Essa cobertura especializada disponível 24 horas é impraticável para a grande maioria das organizações, o que resulta em um número cada vez maior de empresas que buscam provedores especializados em MDR para a detecção e resposta gerenciadas.

Quais serviços o MDR disponibiliza?

Os serviços MDR variam, contudo, normalmente incluem:

  • Monitoramento e resposta a ameaças conduzidos por peritos 24/7
  • Caça a ameaças conduzida por peritos
  • Contenção de ameaças: ataques são interrompidos, evitando que se alastrem
  • Resposta a incidentes de grande escala: ameaças totalmente eliminadas
  • Análise de causa primária: para prevenir recorrências futuras
  • Verificações de integridade para garantir uma postura de segurança forte
  • Relatórios semanais e mensais

Como funcionam os serviços de MDR?


Há seis etapas principais no processo de detecção e resposta:

  1. Coleta – A telemetria de segurança é proveniente de todos os pontos de TI do seu ecossistema: endpoint, firewall, rede, nuvem, e-mail e soluções de identidade. Quanto mais os analistas veem, mais rápido eles podem responder.
  2. Detecção de ameaças – Adiciona-se aos dados a inteligência de ameaças e o contexto empresarial, e o quadro está pronto: uma visão completa da situação. Os eventos de segurança relacionados são agrupados em clusters para uma investigação completa e eficaz.
  3. Caça a ameaças – Analistas altamente treinados detectam proativamente as ameaças que ludibriam os produtos de segurança. Eles procuram pelas táticas, técnicas e procedimentos (TTPs) mais comumente usados por criminosos cibernéticos e ameaças que tapeiam diferentes ferramentas de segurança.
  4. Investigação – Os analistas determinam o escopo e a severidade das ameaças e identificam as próximas etapas.
  5. Remediação – Os analistas interrompem o ataque para prevenir sua propagação, removem o malware e isolam os sistemas afetados.

  6. Neutralização – Os analistas realizam análises de causa primária para eliminar por completo o invasor e prevenir a reincidência.

     

Quem usa a resposta e detecção gerenciadas?

Todos os tipos de organizações em todos os setores usam os serviços MDR, desde pequenas empresas com recursos de TI limitados até grandes empresas com um grupo interno de SOC. A pergunta é: como as organizações trabalham com serviços MDR? Existem três modelos principais de resposta MDR:

  • Uma equipe de MDR gerencia completamente a resposta a ameaças para o cliente
  • Uma equipe de MDR trabalha com a equipe interna, cogerenciando a resposta a ameaças
  • Uma equipe de MDR alerta a equipe interna e fornece diretrizes para remediação

Cada organização é diferente e, portanto, deve escolher o modelo de resposta MDR que melhor atende às suas necessidades.

Quais são os tipos principais de provedores de MDR?

Há três tipos principais de provedores de MDR:

  1. Traga a sua própria tecnologia – Esses provedores coletam informações da segurança de diversas fontes, mas, normalmente, só oferecem alertas, não ação — e limitam-se à profundidade e velocidade dos seus insights do provedor.
  2. Único fornecedor – A segunda categoria é a de fornecedores que oferecem serviços MDR a seus próprios produtos de segurança: no caso, as ferramentas de tecnologia e o serviço MDR estão integrados, mas exigem que o cliente passe por um processo “rip & replace” e desperdice suas ferramentas de segurança cibernética existentes, além de limitar as ações àquelas oferecidas pelos produtos do fornecedor.
  3. Totalmente flexível – Provedores totalmente flexíveis combinam as duas abordagens. Podem usar uma combinação dos seus produtos de segurança existentes (eliminando a necessidade de substituir produtos) e dos produtos de segurança que fornecem (oferecendo a capacidade de respostas profundas).

Quais são as vantagens do MDR?

  1. Defesas cibernéticas superiores Uma das maiores vantagens de usar um provedor de MDR em lugar de contar apenas com programas internos de operações de segurança é elevar o seu nível de proteção contra ransomwares e outras ameaças cibernéticas avançadas. Com o MDR, você se beneficia da variedade e abrangência da experiência dos analistas do provedor. Os fornecedores de MDR enfrentarão um maior volume e variedade de ataques do que qualquer organização individual, conferindo-lhes tal nível de expertise que será quase impossível replicar internamente.
  2. Libere a capacidade de TI – A detecção e resposta a ameaças é demorada e imprevisível. A natureza urgente do trabalho pode impedir que as equipes se concentrem em situações mais estratégicas — e, geralmente, mais interessantes. Trabalhar com um serviço MDR permite que você libere o pessoal de TI, que passa a ter maior capacidade para cuidar de iniciativas mais direcionadas aos negócios.
  3. Tranquilidade 24/7 – Um ataque pode chegar a qualquer momento. Os adversários estão mais ativos quando a sua equipe de TI está menos propensa a estar online, ou seja, à noite, nos fins de semana e nos feriados. Isso mostra que a detecção e resposta a ameaças é uma tarefa incessante; se você ficar alerta apenas durante o horário de expediente, deixará sua organização exposta. Ao disponibilizar assistência 24 horas por dia, sete dias por semana, os serviços MDR lhe dão uma excelente garantia de um sono tranquilo. Para as equipes de TI, isso significa, literalmente, uma boa noite de sono, pois seu pessoal pode descansar sabendo que os cuidados estarão nas mãos do provedor de MDR — e, assim, todos podem retomar suas vidas. A assistência de especialistas de alto nível 24 horas, sete dias por semana, garante às equipes de liderança e aos clientes um alto nível de prontidão e pontualidade na poderosa proteção cibernética de seus dados e também da sua organização.
  4. Aumente os conhecimentos, não o quadro de funcionários – A detecção e resposta a ameaças é uma operação altamente complexa. As pessoas que trabalham nesse nicho precisam ter um conjunto específico de habilidades. Essa rara combinação de competências, exacerbada pela notável falta de pessoal capacitado no setor de TI, é o que faz do recrutamento uma tarefa árdua — às vezes impossível — para muitas organizações. Os serviços MDR lhe oferecem a expertise, permitindo que as organizações aumentem sua capacidade de operações de segurança sem aumentar seu quadro de funcionários.
  5. Melhore o ROI da sua segurança cibernética – Manter uma equipe de caça a ameaças 24/7 é caro. Para oferecer cobertura ininterrupta, você precisa de uma equipe de segurança cibernética com, no mínimo, cinco ou seis funcionários trabalhando em turnos. Mas ao aproveitar a economia que os serviços MDR dimensionados oferecem, você assegura uma melhor relação entre custos e benefícios para a sua organização e gera um maior retorno do seu orçamento em segurança cibernética.

Além disso, ao elevar sua proteção, os serviços MDR reduzem significativamente o risco das dispendiosas violações de dados e um possível colapso financeiro de ter que lidar com incidentes ainda maiores. Com a média de custo da remediação de um ataque de ransomware a organizações de médio porte atingindo US$ 1,4 milhão em 2021⁶, investir na prevenção é uma sábia decisão.

Ao escolher um fornecedor que se integre às suas tecnologias de segurança, você pode aumentar o retorno de investimentos já existentes. Além disso, os serviços MDR permitem que as organizações atendam a controles cibernéticos que são essenciais para a elegibilidade ao seguro de proteção digital e prêmios mais atraentes e melhores ofertas de cobertura.

Como o MDR se compara à Detecção e resposta de endpoint (EDR) e à Detecção e resposta estendidas (XDR)?

Não confunda MDR com EDR (detecção e resposta de endpoint) ou com XDR (detecção e resposta estendidas).

Ainda que MDR, EDR e XDR sejam voltados à detecção e resposta a ameaças, EDR e XDR são ferramentas que permitem que os analistas saiam no encalço de ameaças e investiguem possíveis comprometimentos; já o MDR é um serviço em que os analistas de segurança do fornecedor buscam, investigam e neutralizam as ameaças por você.

Como o próprio nome sugere, as ferramentas EDR trabalham com telemetria proveniente da tecnologia de proteção de endpoint, enquanto as ferramentas XDR estendem suas fontes de dados para englobar toda a configuração de TI (incluindo firewall, e-mail, nuvem, rede, identidade e soluções de segurança móvel) para oferecer maior visibilidade e insights. Na Sophos, usamos nossas soluções de EDR e XDR líderes do setor ao promover nossos serviços MDR.

Qual a diferença entre MDR e gerenciamento de eventos e informações de segurança (SIEM)?

  • SIEM é uma tecnologia que coleta dados das ferramentas de segurança que você já está usando. Depois, o SIEM agrega e analisa essas informações para identificar anomalias de ameaças.
  • O MDR é um serviço conduzido por humanos que combina análise de telemetria com grande perícia em ameaças e capacidade de investigação e resposta.

Qual a diferença entre MDR e um provedor de serviços de segurança gerenciada (MSSP)?

Os provedores MDR são especializados na detecção e resposta a ameaças. O MDR não faz o dia a dia do gerenciamento da segurança cibernética, como, por exemplo, implantar suas tecnologias de segurança, atualizar políticas, aplicar patches ou instalar atualizações. Os provedores de serviços gerenciados (MSP) fornecem serviços gerenciados de segurança de TI a organizações que buscam suporte nessa área.

Como escolher o provedor certo de serviços MDR

As organizações que estão buscando serviços MDR devem considerar:

  • Qual é o tipo e a abrangência do serviço que o provedor oferece? Qual é o nível de perícia e inteligência de ameaças que tem?
  • Quais são os modelos de serviço que fornece e como se alinham às suas necessidades?
  • Quantas pessoas trabalham para fornecer o serviço?
  • Qual é a experiência que tem na sua indústria?
  • Como fornece cobertura ininterrupta 24 horas? O provedor tem centros de operações de segurança (SOCs) distribuídos mundialmente?
  • Qual é o tempo médio de detecção e resposta a ameaças oferecido?
  • Qual é a integração que oferece com os seus investimentos existentes em segurança?
  • O que os clientes dizem sobre o serviço?
  • Qual o desempenho que atinge nas avaliações independentes?
  • Ele oferece garantia contra violações? Em caso afirmativo, a qual nível de cobertura a sua organização se qualifica?

O Sophos MDR oferece os melhores resultados em segurança

O Sophos Managed Detection and Response é um serviço MDR líder mundial. Você pode usar o Sophos MDR para proteger seus computadores, servidores, redes, cargas de trabalho na nuvem, contas de e-mail e mais. Para conhecer melhor o Sophos MDR, entre em contato conosco hoje mesmo.

Fale com um especialista

Tópico de segurança relacionado: O que é segurança de endpoint?

Fique por dentro com mais notícias sobre segurança cibernética