В этом году я несколько раз писал про отличие MDR от MSSP (вот тут и тут , напомню просто, что они оба предоставляют услуги аутсорсинга ИБ), а сегодня обратил внимание на еще один занятный критерий, упоминание о котором встретил в нескольких статьях.
Чем отличается MDR от MSSP? Первый обычно использует больше сложных аналитических систем ИБ для выявления и расследования инцидентов ИБ. Так, помимо уже знакомого нам SIEM, считается желательным наличие хотя бы одной из следующих систем: UEBA/UBA, NTA (Network traffic analysis) и/или EDR (Endpoint detection and response).
Чем отличается MDR от MSSP? Первый обычно использует больше сложных аналитических систем ИБ для выявления и расследования инцидентов ИБ. Так, помимо уже знакомого нам SIEM, считается желательным наличие хотя бы одной из следующих систем: UEBA/UBA, NTA (Network traffic analysis) и/или EDR (Endpoint detection and response).
Кстати, NTA, EDR и сам MDR включены Gartner Top Technologies for Security in 2017 (а значит про них будем часто говорить в ближайшие годы) со следующими пояснениями:
- EDR. Gartner predicts that by 2020, 80% of large enterprises, 25% of midsize organizations and 10% of small organizations will have invested in EDR capabilities. These solutions monitor endpoints for unusual behavior or malicious intent.
- NTA. Network traffic analysis is a network-based approach to monitor network traffic, flows, connections and objects looking for malicious intent. This solution will identify, monitor and triage these events.
- MDR. MDR can be a good solution for enterprises that want to improve threat detection, incident response and continuous-monitoring abilities but lack the skill or resources to do so in-house. MDR is particularly popular with small and midsize enterprises due to lack of investment in threat detection.
Критерий очень прост, но очень показательный, на мой взгляд. Если компания заявляет о возможности выявлении сложных атак, то у нее должны быть необходимые инструменты (а не просто SIEM + VM + купленные фиды TI). Наверное стоит спрашивать провайдера услуг про используемые технологии, это поможет создавать правильные ожидания (а не завышать их)...
P.S. В июне на конференции в СПб я рассказывал большую презентацию про SOCи и, в том числе, приводил информацию про технологии ИБ (и ИТ), используемые в Solar JSOC, вот один из слайдов:
