InfoSec Europe: MSSP и MDR

InfoSec Europe: MSSP и MDR
Еще одним наблюдением с выставки Information Security Europe , которую посетил полторы недели назад, стало заметное увеличение (по сравнению с прошлым годом) количества специализированных компаний, оказывающих услуги Managed Detection and Response (MDR).

Чувствую, что начинают сбываться предсказания Gartner: и MSSP идут в MDR, и появляются новые игроки MDR.

Gartner даже пришлось скорректировать свои прогнозы из отчета "Market Guide for Managed Detection and Response Services" (старый от 10 мая 2016 и новый от 31 мая 2017), рост ожидается существенным:

2016:
  • By 2020, 15% of midsize and enterprise organizations will be using services like MDR, up from less than 1% today. 
  • By 2020, 50% of worldwide MSSPs will offer MDR-type services. 

2017: 
  • By 2020, 15% of organizations will be using services such as MDR, which is an increase from fewer than 1% today.
  • By 2020, 80% of worldwide managed security service providers (MSSPs) will offer MDR-type services.
А количество провайдеров MDR, упоминаемых в отчете Gartner, увеличилось за год в 2.5 раза (с 12 до 30), актуальный список теперь такой: Alert Logic, Arctic Wolf Networks, Cisco, CrowdStrike, CSIS, Cybereason, Cynet Systems, Datashield, eSentire, F-Secure, FireEye, Ingalls Information Security, IronNet, K2 Intelligence, Kudelski Security, Mnemonic, MWR InfoSecurity, Morphick, NCC Group, Netswitch, NetWatcher, Paladion, Proficio, Rapid7, Raytheon Foreground Security, Red Canary, Rook Security, SecureLink, UnitedLex, Vigilant.

Обратите внимание, что нет пересечения с перечнем MSSP из отчета magic Quadrant MSS 2017:
Но это ладно, это маркетинг. Давайте немного поговорим про суть понятий.

Что же такое MDR Services?

Если просто, то это такие специализированные услуги аутсорсинга ИБ (Managed Security Services, MSS), которые сфокусированы на выявлении и реагировании на инциденты ИБ. Услуги MDR предоставляются в режиме 24х7, и для их реализации используется совокупность из нескольких технологий и подходов к мониторингу ИБ (SIEM, NGFW, UBA, Sandbox, Endpoint MDR, SWG, NIDS, Threat Intelligence, Threat Hunting и пр.). Предполагается, что в отличие от MSSP, способных выявлять только типовые инциденты, провайдеры MDR могут обнаруживать и предотвращать даже сложные целенаправленные атаки...

Нашел несколько таблиц со сравнением MSS и MDR, приведу их полностью.

Вот вариант Gartner:

А вот вариант Esentire:

Вот и получается: хотите типовые сервисы ИБ - идите к MSSP, хотите "заточенные" под вас услуги по мониторингу и реагированию на инциденты - идите к провайдерам услуг MDR.

Но справедливости ради напомню, что MSSP обычно предлагают больший перечень услуг (а не только мониторинг и реагирование), например, Gartner приводит такой типовой список:
  • Monitored or managed firewalls and multifunction firewalls, or unified threat management (UTM) technology
  • Monitored or managed intrusion detection and intrusion prevention systems (IDPSs)
  • Managed or monitored security gateways for web and email traffic
  • Monitoring and/or management of advanced threat defense technologies, or the provision of those capabilities as a service
  • Security analysis and reporting of events collected from IT infrastructure logs
  • Reporting associated with monitored/managed devices and incident response
  • Managed vulnerability scanning of networks, servers, databases or applications
  • Monitoring or management of customer-deployed security information and event management (SIEM) technologies
  • Distributed denial of service (DDoS) mitigation via a remotely managed service
В общем, аутсорсинг ИБ становится все более технологичным и специализированным. И все это к нам Россию уже начинает потихоньку приходить...

Alt text

Ваш провайдер знает о вас больше, чем ваша девушка?

Присоединяйтесь и узнайте, как это остановить!

Andrey Prozorov

Информационная безопасность в России и мире