O que é MDR?
Nem toda organização tem os recursos para hospedar um grupo maduro centro de operações de segurança (SOC) internamente. Ao fazer parceria com um fornecedor de MDR, uma organização terceiriza algumas de suas responsabilidades de segurança para um fornecedor terceirizado. Alguns dos serviços que um provedor de MDR normalmente oferece incluem:
- Investigação de Alerta: As equipes de segurança ficam frequentemente sobrecarregadas com enormes volumes de alertas gerados por soluções de segurança. Um provedor de MDR investigará alertas para determinar se são ameaças verdadeiras ou falsos positivos usando aprendizado de máquina (aprendizado de máquina, ML), análise de dados e investigação humana.
- Triagem de Incidentes: A resposta rápida a incidentes críticos é essencial para minimizar o custo e o impacto na organização. Os provedores de MDR classificarão os eventos de segurança para que as questões mais importantes sejam abordadas primeiro.
- Remediação: Minimizar o impacto de uma intrusão requer uma resposta rápida por parte de uma equipe qualificada de resposta a incidentes. Um provedor de MDR corrigirá remotamente incidentes nos ambientes de seus clientes, minimizando seus impactos.
- Caça proativa a ameaças: Algumas ameaças podem escapar das defesas de uma organização e obter acesso aos sistemas corporativos. Os caçadores proativos de ameaças pesquisarão no ambiente de uma organização sinais de um ataque perdido e o corrigirão.
A parceria com um provedor de MDR pode trazer benefícios significativos para uma organização, como:
- Acesso à experiência em segurança: A lacuna de competências em cibersegurança significa que muitas organizações operam com equipas de segurança com falta de pessoal e com falta de acesso a conhecimentos especializados. O MDR oferece uma equipe de segurança completa e acesso a especialistas quando necessário.
- Detecção avançada de ameaças: Os provedores de MDR possuem um conjunto de ferramentas sofisticado com soluções de ponta. Isso lhes permite detectar e remediar ataques sofisticados e sutis de ameaças persistentes avançadas (APTs).
- Identificação rápida de ameaças: Muitos incidentes de segurança cibernética passam despercebidos por muito tempo, ampliando o impacto e o custo para os negócios. Os provedores de MDR oferecem detecção e tempos de resposta apoiados por acordo de nível de serviço (SLA).
- Programa de segurança maduro: Um provedor de MDR pode permitir que uma organização implemente um programa de segurança maduro com custos e requisitos de recursos mais baixos do que seria possível internamente. O compartilhamento de custos entre a base de clientes de um provedor reduz o custo total de propriedade (TCO) da detecção e resposta de ameaças 24 horas por dia, 7 dias por semana, por uma equipe especializada em segurança.
O que é SIEM?
Todas as diversas soluções de segurança implantadas na infraestrutura de uma organização ingerem dados, identificam ameaças e geram alertas. No entanto, essas soluções geralmente têm visibilidade limitada e só conseguem ver uma pequena peça do quebra-cabeça geral. Como resultado, muitos destes alertas podem ser falsos positivos devido a informações incompletas.
Um SIEM coleta dados de todas essas soluções de segurança, agrega-os e normaliza-os e analisa os dados normalizados. Com base em sua análise e em outras fontes de dados, como feeds de inteligência de ameaça ou políticas de segurança corporativa, um SIEM gera dados e alertas de segurança com base em uma visão mais ampla da postura de segurança atual da organização.
O acesso de um SIEM aos dados de segurança de toda a organização e aos alertas que ele gera podem ser usados para algumas finalidades diferentes, incluindo:
- Detecção e análise de ameaças: Um SIEM analisa dados de segurança e gera alertas com base nessas informações. Esses alertas podem permitir que a equipe de segurança de uma organização identifique e analise ameaças potenciais à organização.
- Análise forense digital e caça a ameaças: Analistas forenses e caçadores de ameaças precisam de acesso a dados detalhados sobre os sistemas que estão investigando. Um SIEM já coletou, agregou e analisou esses dados, tornando-os muito mais acessíveis a um investigador.
- Conformidade regulatória: A demonstração da Conformidade regulatória requer a capacidade de demonstrar que determinados controles de segurança estão em vigor e que não ocorreram violações. O rico conjunto de dados de segurança de um SIEM pode simplificar e agilizar o processo de geração de relatórios de Conformidade.
Um SIEM pode ser uma ferramenta poderosa, mas precisa ser usada corretamente. Algumas das principais limitações de um SIEM incluem:
- Operação Humana: Um SIEM pode ampliar a eficácia da equipe de segurança de uma organização, mas requer operadores treinados. Se uma organização não tiver uma equipe de segurança interna, um SIEM trará poucos benefícios.
- Integração Complexa: Um SIEM foi projetado para coletar dados de várias soluções de segurança, mas primeiro precisa estar conectado a essas soluções. Configurar um SIEM para coletar os dados de que uma organização precisa pode ser demorado e requer conhecimentos e experiência em segurança significativos.
- Detecção baseada em regras: Os SIEMs identificam ameaças em grande parte com base em padrões e regras predefinidos. Isto significa que um SIEM pode ignorar novas ameaças e exigir que pessoal de segurança crie essas regras.
- Falta de validação de alerta contextualizado: Um SIEM pode aproveitar a agregação de dados e o contexto adicional para diminuir o volume de alertas que uma equipe de segurança deve abordar. No entanto, um SIEM não valida alertas, pelo que ainda pode gerar falsos positivos que requerem uma investigação mais aprofundada.
MDR x SIEM
O MDR e o SIEM foram projetados para permitir que a equipe de segurança de uma organização seja dimensionada para atender às suas responsabilidades. No entanto, as duas soluções fazem isso de maneiras diferentes.
Uma solução SIEM consegue isso destilando os muitos alertas de segurança gerados pelas soluções de segurança de uma organização em um conjunto menor de alertas de maior qualidade, mas potencialmente ainda falsos positivos. A equipe de segurança de uma organização ainda é responsável por manter e operar o SIEM e investigar e responder aos alertas.
O MDR, por outro lado, simplifica a segurança terceirizando responsabilidades para uma equipe terceirizada. Essa equipe investiga alertas, faz triagem de eventos, corrige incidentes e realiza busca proativa de ameaças. Embora uma organização ainda possa ter uma equipe de segurança interna, ela é apoiada pela equipe de especialistas treinados do fornecedor.
Escolha a solução certa para o seu negócio
A escolha certa entre SIEM e MDR depende das necessidades da organização e do tamanho e maturidade da sua equipe de segurança. Uma equipe qualificada que precisa apenas crescer poderia se beneficiar de um SIEM como o Check Point Infinity SOC, que elimina o ruído e concentra sua atenção no que é mais importante. Por outro lado, uma organização com uma equipa de segurança subdimensionada ou imatura pode beneficiar mais do aumento das suas capacidades com a experiência da Check Point. Infinity MDR.
Para saber mais sobre uma solução específica ou para determinar qual é a certa para sua organização, assista ao SOC demo video e inscreva-se em um free Infinity MDR demo hoje.