Posted inArtigos

Protegendo sua empresa: como funciona o MDR

A maneira como as empresas estão investindo em segurança digital vem mudando a cada dia devido a necessidade: a automatização dos processos deixa de ser voltada somente para a prevenção de ameaças e tem sido adotada uma maior abordagem nos processos de detecção e resposta. Por isso, cada vez mais, se tem falado sobre MDR (Managed Detection and Response ou Detecção e Resposta Gerenciadas).

Para organizações que desejam maximizar suas estratégias de segurança, mas não podem financiar equipes de segurança em tempo integral, iniciativas como MDR podem ser uma opção viável.  Por quê?

Para facilitar o trabalho das equipes de segurança, ao criar um time de resposta a incidentes, é necessário montar uma estrutura organizacional com uma política que seja aplicável e principalmente efetiva. 

Essencialmente, a MDR é composta por analistas de segurança e analistas de resposta que examinam os registros de uma organização para verificar a ocorrência de eventos suspeitos. Como por exemplo: a detecção e análise proativa de ameaças, incluindo análise de vulnerabilidades, correções, atualizações de firmware e o monitoramento dos sistemas de prevenção e detecção de invasão (IDS/IPS).

Após o registro de uma atividade maliciosa, a equipe fará uma análise mais aprofundada. A MDR é, então, responsável pela pesquisa de ameaças e pela resolução dos incidentes. 

Com isso é criado um processo de entrega para a solução do caso analisado – como uma notificação ao cliente, inteligência de ameaça ou alguma outra ação pré-definida.

Empresas que falharam em atualizar seus sistemas para corrigir brechas já conhecidas – e que poderiam ter sido evitadas – exemplificam a importância da abordagem MDR.

A MDR contribui para uma mudança de mentalidade das empresas de se transformar e equilibrar a prevenção com métodos inovadores. 

Além da multiplicação dos casos de ameaças cibernéticas, empresas de todos os portes estão cada vez mais dependentes das aplicações online. Com isso, cresce a urgência por soluções e especialistas em cibersegurança, com destaque para o serviço terceirizado como o  MDR. 

De fato, o chamado outsourcing de TI – ou contratação de terceiros especializados na área de segurança digital – traz vantagens para muitas organizações. Diante da escassez de profissionais especializados e/ou a falta de recursos internos para oferecer a defesa necessária, a opção tem ganhado cada vez mais adeptos no meio corporativo. 

O que é MDR (serviços gerenciados de detecção e resposta)? 

Por sua vez, os managed detection and response services ou serviços gerenciados de detecção e resposta combinam soluções tecnológicas e segurança via outsourcing, identificando malwares e atividades maliciosas nos sistemas. 

A partir daí, o modelo MDR se dedica a monitorar a rede de segurança e emite alertas rápidos quando qualquer anormalidade é detectada. Além disso, gera uma resposta ágil pós incidente e fornece assistência de recuperação. Os profissionais envolvidos também proporcionam insights alinhados com os requerimentos de segurança do negócio. 

Entre as características do MDR, podemos citar: 

  • combinação de tecnologias aplicadas nas camadas de rede e host;
  • serviços de detecção, monitoramento e resposta; 
  • analytics avançado;
  • expertise humana e threat intelligence no processo de investigação e resposta.

O MDR é um serviço gerenciado avançado de segurança que fornece inteligência contra ataques, caça de ameaças, monitoramento de segurança, análise e respostas de incidentes. Isso é diferente dos MSSPs tradicionais, que só fornecem alertas de monitoramento de segurança.

Usando análise de segurança avançada em endpoints, comportamento do usuário, aplicações e rede; O MDR fornece uma detecção mais profunda em comparação com os MSSPs tradicionais, que dependem principalmente de regras e assinatura.

Quais desafios o MDR resolve?

Aqui estão alguns desafios enfrentados pelas organizações de segurança, que os serviços de MDR podem ajudar a resolver:

  • Restrições de mão de obra – o setor de segurança cibernética enfrenta uma grave escassez de talentos. Isso torna difícil para as organizações cumprirem funções críticas de segurança internamente. O MDR permite que as organizações cubram essa lacuna usando especialistas externos em segurança e, no caso de organizações menores, adicionando experiência em segurança a uma pequena equipe.
  • Acesso limitado à experiência – funcionários especializados com experiência em áreas como resposta a incidentes, caça a ameaças ou segurança na nuvem, são ainda mais difíceis de encontrar devido à escassez de habilidades. Com o MDR, uma organização recebe acesso imediato à experiência em segurança cibernética com várias especialidades, sem a necessidade de reter esses talentos internamente.
  • Lidando com ameaças persistentes avançadas (APT) – as APTs são grupos cibercriminosos com ferramentas e técnicas avançadas que, em muitos casos, os tornam indetectáveis pelas soluções de segurança cibernética existentes. O MDR dá à organização acesso a ferramentas de segurança igualmente avançadas e expertise de caça a ameaças, que podem ajudar a detectar e se recuperar dessas ameaças.
  • Reduzindo o tempo de permanência – muitos incidentes de segurança de rede permanecem sem detecção por um período significativo de tempo, aumentando os danos e impactando a organização visada. Muitos provedores de MDR oferecem acordos de nível de serviço (SLAs) que podem garantir que os incidentes sejam tratados rapidamente, minimizando custos e danos devido a violações cibernéticas.
  • Economia de tempo – construir um programa de segurança cibernética eficaz pode ser caro e demorado, devido à necessidade de implementar ferramentas, contratar pessoal e construir uma estrutura operacional. O MDR permite que as organizações implantem rapidamente um programa de segurança completo com detecção de ameaças 24 horas por dia, 7 dias por semana e com recursos de resposta.
  • Economia de custos – como os clientes MDR compartilham muitos dos custos entre a base de clientes do provedor de MDR, eles reduzem o custo total da posse (TCO) da segurança cibernética. Em muitos cenários, os provedores de MDR são mais baratos do que configurar uma operação de segurança interna.

Como funciona a segurança MDR?

Os serviços MDR podem monitorar, detectar e responder remotamente às ameaças detectadas em uma organização. Os provedores de MDR normalmente usam ferramentas de detecção e resposta de endpoint (EDR) para obter visibilidade dos incidentes de segurança de endpoint.

Dados relevantes de inteligência de ameaças e dados forenses são repassados para analistas humanos empregados pelo provedor de MDR. Os analistas classificam os alertas, determinam as respostas apropriadas e reduzem o impacto e o risco de incidentes de segurança. Finalmente, combinando o trabalho de especialistas em segurança humana e ferramentas automatizadas, o provedor de MDR remove a ameaça e restaura os endpoints infectados ao seu estado anterior à infecção.

Abaixo, entraremos em mais detalhes sobre os principais recursos de um serviço MDR.

Priorização

O MDR pode ajudar as organizações a priorizar questões de segurança, analisando um grande número de alertas, muito mais do que os que podem ser gerenciados internamente de maneira viável. Eles usam regras, análise comportamental e revisão manual para remover falsos positivos e identificar ameaças reais. Os sistemas MDR, incluindo EDR e plataformas de inteligência de ameaças, são usados para adicionar contexto aos alertas e são disseminados como um feed de alerta de alta qualidade.

Threat Hunting

Ameaças avançadas têm maneiras sofisticadas de escapar dos controles de segurança. É necessária uma análise humana para correlacionar elementos e eventos de uma forma que os sistemas automatizados não conseguem fazer. Os MDRs empregam caçadores de ameaças humanas com extensas habilidades e experiência, que podem identificar até mesmo as ameaças mais ocultas e evasivas, para compensar o que as ferramentas de segurança automatizadas deixam passar.

Investigação

Os serviços de investigação gerenciada podem ajudar as organizações a compreender melhor as ameaças, aprimorando os alertas de segurança com informações adicionais. As organizações têm um melhor entendimento do que aconteceu, quando aconteceu, quem foi afetado e até onde o invasor foi. Você pode usar essas informações para planejar uma resposta eficaz, notificar as partes interessadas e compreender as implicações de conformidade.

Resposta Guiada

A resposta guiada fornece recomendações acionáveis sobre como controlar e lidar com ameaças específicas após a ocorrência de uma violação. As organizações são incentivadas a realizar atividades básicas, como remover ameaças de sistemas afetados, isolar sistemas da rede e recuperar-se gradualmente de ataques.

Remediação

Depois de um incidente de segurança confirmado, a etapa final é a recuperação. Se esta etapa não for realizada corretamente, as etapas anteriores podem se tornar inúteis. A correção gerenciada restaura o sistema ao estado anterior ao ataque por meio da exclusão de malware, limpeza do registro, remoção de intrusos e exclusão de mecanismos de persistência – fazendo isso em todos os endpoints afetados. A recuperação gerenciada restaura a rede a uma condição conhecida e evita mais danos.

MDR vs. MSSP

MDR é uma nova versão de um modelo de segurança conhecido como Managed Security Service Provider (MSSP). MDR e MSSPs executam as mesmas funções gerais – fornecendo serviços de segurança cibernética remotamente. No entanto, existem algumas diferenças importantes entre o serviço MDR e o MSSP tradicional.

  • Formato de log – os MSSPs geralmente podem lidar com uma variedade de logs de eventos e contextos. Por outro lado, o MDR usa principalmente logs fornecidos pela plataforma EDR.
  • Formato de serviço – os MSSPs lidam com a comunicação com provedores por meio de portais online e um sistema de tíquetes. A MDR possui uma equipe de especialistas que pode ser contatada em tempo real por meio de vários canais, que podem incluir telefone e videoconferências.
  • Métodos de detecção – o MDR pode aplicar análises mais detalhadas a alertas para detectar novas ameaças. Os MSSPs estão menos envolvidos em análises e normalmente usam um sistema baseado em regras para se concentrar em ameaças conhecidas e frequentes.
  • Visibilidade da rede – o MDR pode detectar eventos e movimentos dentro da rede corporativa, enquanto o MSSP se concentra principalmente nas violações do perímetro da rede.
  • Threat hunting – os MSSPs normalmente não fornecem serviços de caça a ameaças ativas, enquanto os MDRs o fazem, aproveitando sua infraestrutura de segurança de endpoint.