FAQ: MDR

OFTE STILTE SPØRSMÅL

På dette tidspunktet er de fleste av oss klar over vanlige cybertrusler – utbredelsen av hackere, ransomware, phishing-angrep, informasjon som selges på det mørke nettet, etc. – men cybersikkerhetslandskapet er i stadig endring, og skurkene blir mer sofistikerte. Sårbarhetsadministrasjon og administrert gjenkjenning og respons (MDR) kan bidra til å beskytte bedriftens og kundenes informasjon gjennom aktiv jakt på trusler og internering.

Hva er MDR?

MDR er en cybersikkerhetstjeneste som kombinerer avansert trusseldeteksjon med menneskelig ekspertise for å gi sanntidsovervåking, trusseljakt og hendelsesresponsfunksjoner. Det primære målet med MDR er å hjelpe organisasjoner med å oppdage og reagere raskt på nettrusler. Når du hører «MDR», tenk:

• 24/7/365 overvåking av bedriftens IT-nettverk og brukerkontoer av erfarne sikkerhetsanalytikere.
• Umiddelbar, aktiv respons før trusselaktører kan spre seg videre inn i nettverket ditt.
• En betydelig reduksjon i tid brukt på å svare på varsler og håndtere falske positiver.
• En totaladministrert, smidig sikkerhetstjeneste bygget for raskt å oppdage og stoppe nettrusler.

Hvorfor trenger jeg MDR?

Cybersikkerhet er nå et kritisk krav for enhver bedrift som bruker IT-teknologi. Dessverre sliter de fleste bedrifter med å ansette, trene og beholde topp cybersikkerhetspersonell. I tillegg krever mange hyllevare cybersikkerhetsprodukter menneskelig styring og overvåking og genererer ofte mange falske alarmer. Til slutt utvikler trusselaktører kontinuerlig sin taktikk og teknologi for å målrette IT-infrastruktur og brukere for å identifisere svakheter. Ifølge Gartner Predicts 2023 vil mangelen på cybersikkerhetstalent om to år føre til dårligere utfall i over halvparten av betydelige cyberhendelser. For å kompensere for kompetansegapet og bemanningsmangelen trenger bedrifter 24/7 MDR for å sikre selskapet sitt og utfylle eventuelle eksisterende interne sikkerhetstiltak.

Hva er endepunktsdeteksjon og respons (EDR)?

EDR er en cybersikkerhetsteknologi som fokuserer på automatisk å oppdage og svare på sikkerhetshendelser på endepunkter, for eksempel stasjonære datamaskiner, bærbare datamaskiner, servere og mobile enheter. Den fokuserer på å oppdage skadelig programvare, eller skadelig programvare, ved å sammenligne filer og programmer med definisjoner av skadelig antivirus (AV) og/eller bruke maskinlæring for å oppdage mistenkelig eller ondsinnet oppførsel av et program eller en fil. Mens EDR-er, sammen med AV-produkter, gir grunnleggende deteksjon av skadelig programvare, klarer de ofte ikke å oppdage aktivitet før trusselen, så vel som avanserte teknikker som brukes av trusselaktører for å unngå selskapers cybersikkerhetsinnsats. For eksempel har trusselaktører lært å utnytte standard, pålitelige IT-administrasjonsverktøy og -tjenester som er utbredt i moderne IT-systemer for å utføre angrep. I disse scenariene klarer vanligvis ikke EDR-er å oppdage trusselen, siden de ikke kan skille mellom ondsinnet og godartet bruk av disse klarerte og autoriserte verktøyene og tjenestene. Helautomatiske løsninger, som EDR, er ikke lenger tilstrekkelig for å stoppe cybertrusler. Våre egne data viser at de konsekvent savner innovative og sofistikerte teknikker, spesielt når trusselaktører bruker pålitelige verktøy, godkjente arbeidsflyter eller live-off-the-land teknikker.

Hva er Zero Trust?

Zero Trust er en cybersikkerhetstilnærming som understreker prinsippet om «aldri tillit, alltid verifisere» når det gjelder å gi brukere eller enheter tilgang til ressurser og systemer. De fleste cybersikkerhetsprodukter som gir Zero Trust-funksjoner, krever justering og administrasjon av tillatelses- eller blokkeringslister. Selv om denne teknologien høres lovende ut ved ikke å la noe annet enn «gode» ting oppstå, har den dessverre mangler som en cybersikkerhetsløsning. Problemer med Zero Trust-teknologier inkluderer:

• Den konstante detaljstyringen, overvåkingen og valideringen av «gode» brukere eller enheter er tungvint.
• Legitim bruk kan nektes tilgang, noe som fører til treg drift og redusert produktivitet.
• Med Zero Trust-teknologier som blokkerer programvare, sliter mange bedrifter med å identifisere og vedlikeholde en nøyaktig liste over programmer som skal blokkeres.
• Som et resultat deaktiverer eller deaktiverer mange organisasjoner som i utgangspunktet implementerer Zero Trust-løsninger, viktige sikkerhetsfunksjoner fordi innvirkningen på standard forretningsdrift er uakseptabel. En mer effektiv implementering av Zero Trust bør inkludere en kuratert blokkeringsliste (ideelt sett en administrert av en organisasjon som overvåker og sporer nye ting å blokkere), tillate enhetsunntak og støttes av et 24/7 Security Operations Center (SOC)-team.

Hva er en SOC?

En SOC er et team av IT-sikkerhetseksperter som overvåker hele organisasjonens IT-infrastruktur, 24/7. SOC-er fokuserer på å bruke telemetri (data fra IT-infrastruktur og sikkerhetsplattformer) samlet inn fra hele organisasjonens IT-infrastruktur og cybersikkerhetsplattformer for å oppdage og svare på cybersikkerhetshendelser.

Bør min lille eller mellomstore bedrift (SMB) benytte en outsourcet SOC?

I følge Verizons Data Breach Investigations Report 2023, «SMB-er og store selskaper bruker lignende tjenester og infrastruktur, og det betyr at angrepsflatene deres har mer til felles enn noen gang før.» Trusselaktører går ikke lenger etter en virksomhet basert på størrelse alene. Omfattende angrep, inkludert misbruk av pålitelige IT-verktøy, utvider angrepsoverflaten. Mange små og mellomstore bedrifter mener at de er for små eller for ukjente til å rettferdiggjøre oppmerksomheten til trusselaktører. Data viser imidlertid at små og mellomstore bedrifter ofte blir målrettet av trusselaktører fordi de ofte har utilstrekkelige sikkerhetskontroller, noe som gjør dem enklere mål og resulterer i mer suksess for trusselaktørene med mindre innsats. Dessverre skjer disse angrepene daglig til små og mellomstore bedrifter, men de lager sjelden nyhetsoverskrifter. Til syvende og sist er det ofte utfordrende for administrerte tjenesteleverandører (MSP-er) å bygge og bemanne sin egen SOC. I økende grad henvender MSP-er seg til en dedikert MDR-leverandør som Blackpoint Cyber for kritiske sikkerhetsverktøy og responstjenester for å holde selskapet sikkert.

Hva skal jeg se etter i en SOC?

• 24/7/365 overvåking av erfarne sikkerhetsanalytikere
• Aktiv trusselrespons med bransjeledende responstider
• Støtte for hendelsesgjenoppretting
• Håndtering av hendelser
• Veiledning for utbedring etter hendelsen
• Dedikert stab eller prosesser for trusseletterretning
• Evne til å overvåke og sikre dine spesifikke IT-tjenester og plattformer

Hvor dyrt er det å betjene en SOC?

De fleste bedrifter, uavhengig av størrelse, er ikke i stand til å bygge og drive sin egen virkelig effektive 24/7/365 SOC på grunn av kostnader, teknisk kompleksitet og bemanningsutfordringer. Spesielt for de fleste bedrifter er det ikke kostnadseffektivt å drive sin egen SOC, spesielt sammenlignet med de mange fordelene med en outsourcet SOC.

Hva er SOC som en tjeneste (SOCaaS)?

SOCaaS er en evolusjon i hvordan bedrifter kjøper, samhandler og administrerer et outsourcet SOC-program. I motsetning til tradisjonelle outsourcede SOCer, som kan kreve langsiktige kontrakter, full forhåndsbetaling og begrenset tilpasning eller administrasjon av tjenesten, følger SOCaaS-tilbud vanligvis en abonnementsbasert modell, som tilbyr skybasert tjenesteadministrasjon og kan gi selvbetjente tilpasningstilbud, rapporttilgang og sanntidssynlighet i SOC-operasjoner.

Hva er administrert applikasjonskontroll?

Trusselaktører unngår ofte endepunktbeskyttelsessystemer ved å «leve av landet» – misbruke legitime IT-verktøy som er hjemmehørende i målmiljøet. Managed Application Control beskytter mot disse angrepene med en unikt kuratert, kontinuerlig oppdatert blokkeringsliste over programmer fra Blackpoints trusseletterretningsteam. I tillegg kan organisasjoner fremdeles opprette egendefinerte regler og tillate unntak. Tilnærmingen står i kontrast til rene Zero Trust- eller deny-all-metoder for applikasjonskontroll, som produserer operasjonelle flaskehalser. Med Managed Application Control kan IT-administratorer redusere tiden som brukes på tillatelseslister og endeløse bekreftelsesforespørsler.

Hvilke anbefalte fremgangsmåter bør inkluderes i cybersikkerhetsstabelen min?

Sikkerhetsstakken din skal dekke de fem hovedpilarene forsvar og motstandskraft:

1. Synlighet av ressurser
2. Forsterket system
3. Oppdagelse av trusler
4. Respons i sanntid
5. Gjenoppretting av hendelser

Mer spesifikt bør stabelen din inneholde:

1. Praktiser grunnleggende cyberhygiene, inkludert praksis som:
   • Multifaktorautentisering (MFA),
   • Sterke passordpolicyer, og
   • Prinsippet om minste privilegium.
2. Oppretthold et aktivt cybersikkerhetsbevissthets- og opplæringsprogram for å holde deg selv og dine ansatte oppdatert om de nyeste indikatorene for kompromiss (IoC) og hvordan du skal handle deretter.
3. Implementer sikkerhetstjenester som gir fullstendig administrert og kontinuerlig respons for lokale miljøer og skymiljøer.
   • Denne tjenesten skal gi beskyttelse mot nåværende og nye nettangrepstaktikker, inkludert lateral spredning, misbruk av legitime IT-verktøy, kontoetterligning, etc., og kan effektivt svare på disse angrepene i tide, spesielt raskt bevegelige ransomware-angrep.
4. Implementer streng programadministrasjon som oppdateres ofte med gjeldende trusselintelligens.
5. Etabler et sikkerhetskopierings- og gjenopprettingsprogram, inkludert sikkerhetskopier utenfor stedet som ikke kan kompromitteres selv i et standardangrep.
6. Gjennomfør regelmessige risikovurderinger og adresser høyrisikofunn.
7. Overhold beste praksis og samsvarskrav fra myndigheter og bransjen.
8. Utfør et patch management program.
9. Kontinuerlig innsyn i interne, eksterne og skymiljøer.
10. Oppretthold en oppdatert plan for hendelsesrespons (IRP).
11. Oppretthold en nøyaktig oversikt over utstyr, infrastruktur og brukerkontoer, inkludert IoT-enheter (Tingenes Internett).

Hvordan beskytter jeg dataene mine i skyen?

Arbeidsplassens overgang til skyplattformer har utvidet og endret trusselaktørenes angrepsflater. Samarbeid med en skysikkerhetsleverandør som tilbyr:

• Kontinuerlig overvåking, sanntidsdeteksjon, aktiv respons,
• Evnen til å stoppe nulldagsangrep (angrepstaktikk aldri sett før),
• Muligheten til å stoppe kontokompromittering, kompromittering av bedrifts-e-post (BEC), dataeksfiltrering og mer.

Hvis jeg allerede bruker Microsoft Defender for bedrifter eller Microsoft 365 Business Premium til å drive og sikre bedriften min, trenger jeg andre tjenester?

For MSP-fellesskapet kan skysikkerhet være et av de mest utfordrende områdene innen cybersikkerhet, med mange som bruker et Microsoft-miljø for å drive virksomheten sin. For å hjelpe MSP-er med å betjene kundene sine bedre, tilbyr Blackpoint flere løsninger for å gi ytterligere støtte for disse tjenestene.

• Respons i skyen: MDR-drevet skyovervåking og -respons for Microsoft 365, inkludert Microsoft 365 Business Premium
• Administrert EDR: SOC-teamet vårt svarer fullstendig på EDR-varsler for Microsoft Defender for endepunkt og Defender for bedrifter
• Administrert Defender for endepunkt: Fullt administrert versjon av Microsoft Defender for endepunkt, der du enkelt kan kontrollere og bruke policyer på flere kunder samtidig
• Sårbarhetshåndterings interne skanning: Forstå sikkerheten til kundenes Microsoft 365-tilstedeværelse, inkludert deres Microsoft Secure Score, gjennom Microsoft Defender for endepunkt
• Sårbarhetshåndterings Cloud Scan: Se enkelt hvordan skysikkerhetstiltakene dine samsvarer med CIS Microsoft 365 Foundations benchmarks

Hva er en SIEM?

En SIEM-plattform (Security Information and Event Management) samler inn hendelses- og loggdata generert av organisasjonens teknologiinfrastruktur, revisjonssystemer og cybersikkerhetsteknologier. Selv om det kan hjelpe med å oppdage IT-operasjonelle hendelser og lagre betydelige mengder data for undersøkelser og øvelser, har det noen fallgruver:

• Det kan være ekstremt dyrt, spesielt å implementere godt,
• Må motta betydelige mengder data for å tilby mye nytte, noe som ytterligere øker kostnadene,
• Tar vanligvis uker eller måneder å implementere fullt ut,
• Ofte overvelder sikkerhetsteam med unødvendige data og varsler,
• Krever ekspertbrukere med kunnskap om komplekse dataspørringsspråk,
• Er treg til å oppdage aktive/sanntids nettrusler, og
• Krever ekstra tredjepartsverktøy for alle svarfunksjoner.

Trenger jeg andre sikkerhetsløsninger enn sikkerhetskopien?

Selv om oppdaterte sikkerhetskopier er en kritisk komponent i et effektivt cybersikkerhetsprogram, er de ikke en sølvkule. Å stole på sikkerhetskopier som din primære cybersikkerhetsstrategi er en høyrisikobeslutning som ikke beskytter virksomheten din, da den ikke vil:

1. Stopp et angrep fra å skje i utgangspunktet,
2. Forhindre tyveri av sensitive data; unnlatelse av å beskytte disse dataene kan føre til brudd på overholdelse og søksmål,
3. Tillat full gjenoppretting ettersom trusselaktører også kan målrette, ødelegge eller ødelegge sikkerhetskopiene dine som en del av angrepet,
4. Forhindre omdømmeskade på kunder og virksomhet, eller
5. Forhindre avbrudd i forretningsdriften.

Bør jeg konsolidere sikkerhetsstabelen min med én leverandør?

Cybersecurity-tjenesteleverandører som tilbyr et økosystem av integrerte løsninger, gir ofte mer effektiv sikkerhet til samme eller lavere kostnad enn en strategi som er avhengig av flerpunktsløsninger fra forskjellige leverandører. Når du evaluerer administrerte sikkerhetstjenester, bør du vurdere en som har et robust økosystem av produkter og tjenester. Slike tjenesteleverandører kan tilby følgende fordeler:

• Teknologiske løsninger som fungerer godt sammen, er effektive og gir mulighet for ekspansjon,
• Konsekvent serviceopplevelse og forventninger,
• Konsolidert fakturering, upåvirket av andre selskaper, sammen med samlet prising,
• Raskere onboarding og implementering av sikkerhetsfunksjoner,
• Enhetlig rapportering og varslings-/hendelseshåndtering,
• Helhetlig sikkerhetssyn på eiendelene dine,
• Raskere oppdagelse av trusler på grunn av integrerte produkter, og
• Rask etablering av nye trusseldeteksjonsfunksjoner.

Hvorfor velge Blackpoint Cyber fra Absec?

Hos Absec, så smelter vi sammen Blackpoint’ ekte sikkerhet og reell respons. Blackpoint ble grunnlagt i 2014 av tidligere eksperter på cyberoperasjoner i National Security Agency (NSA), og har bygget et innovativt og strømlinjeformet cyberøkosystem for å beskytte hver enkelt av dere og kundenes endepunkter mot avanserte trusselaktører. Drevet av vår proprietære MDR-teknologi, kombinerer vi nettverksvisualisering, håndverksdeteksjon og endepunktsikkerhet, mistenkelige hendelser og ekstern privilegert aktivitet, vårt elite SOC-team nøytraliserer cybertrusler raskere enn noen annen løsning på markedet. Denne innsatsen støttes ytterligere av vår Zero Trust-mentalitet, tilpasning til beste praksis i bransjen og uovertruffen, internt trusseletterretningsteam for å holde oss alle ett skritt foran våre motstandere. Sammen kan MSPs sikkerhetsstack være bevis på at du bruker overlegen sikkerhet og beste praksis, og holder samfunnets selskaper sikre. Finn ut hvordan Blackpoint Cyber beskytter hundrevis av bedrifter akkurat som din.

Book en demo!