Qu'est-ce que la gestion de la détection et de la réponse ?
Avantages de la gestion de la détection et de la réponse
Les principaux avantages de la MDR sont les suivants
- Accès à des analystes expérimentés du centre d'opérations de sécurité (SOC) pour combler les lacunes en matière de compétences internes
- Amélioration de la gestion des incidents, de la réponse aux incidents et des processus de remédiation
- Détection proactive des menaces et chasse aux menaces
- Meilleure gestion des risques et des vulnérabilités
- Triage plus efficace des alertes et des notifications
- Amélioration de la sécurité et du niveau de risque pour les employés et les clients
- Réduction du coût total de possession par rapport à la CED traditionnelle
La pénurie de compétences en cybersécurité qui sévit dans le monde entier n'est pas près de s'arrêter. Les équipes SOC s'efforcent de faire plus avec moins, alors même qu'elles sont confrontées à un paysage de menaces peuplé de cybercriminels de plus en plus sophistiqués, organisés et bien financés. Le personnel informatique est épuisé, surmené et débordé.
MDR est conçu pour mettre en relation les entreprises avec des équipes d'experts en cybersécurité, réduisant ainsi considérablement la charge de travail des équipes de sécurité internes. En permettant aux entreprises de combler les lacunes de leur infrastructure et de leur expertise en matière de sécurité, MDR contribue à résoudre le problème de la pénurie de talents en cybersécurité. Grâce à MDR, les entreprises peuvent mettre en place un programme de sécurité mature et efficace qui englobe à la fois la cybersécurité et la cyberrésilience.
Plus d'avantages MDR :
- Consolidation de la détection, de la remédiation et de l'administration dans un tableau de bord unique
- Réduit considérablement le temps consacré à la détection et à la réponse aux menaces
- Libère les ressources internes pour qu'elles se concentrent sur d'autres processus essentiels à la mission de l'entreprise
- Faciliter le respect des règles et l'établissement de rapports
- Accès à une expertise approfondie en matière de sécurité et de prévention des menaces
Fonctions de détection et de réponse gérées
Selon le Market Guide for MDR Services de Gartner, les principales caractéristiques d'une offre MDR sont les suivantes :
- Un ensemble de technologies détenues et gérées par le fournisseur de services qui permet la surveillance, la détection et l'investigation des menaces en temps réel, ainsi que l'atténuation et la réponse actives.
- Une équipe d'experts qui s'occupe quotidiennement des données des clients
- Un cahier des charges normalisé pour les procédures de sécurité, la gestion des flux de travail et l'analyse
- Atténuation, investigation et confinement à distance
- Fonctionnalité centralisée de détection, d'atténuation et d'établissement de rapports
- Un fournisseur de services de sécurité maîtrise parfaitement la manière dont les menaces sont détectées, identifiées et validées.
- Réduction du délai entre la détection et l'atténuation
- Génération et collecte de données de sécurité et d'alertes à plusieurs niveaux de sécurité
- Une combinaison de processus d'atténuation manuels et automatisés, y compris le verrouillage du compte, l'isolement de l'hôte et le blocage du réseau.
Les autres caractéristiques du MDR sont les suivantes
- Surveillance, détection et réponse aux menaces 24 heures sur 24, 7 jours sur 7 et 365 jours par an
- Protection des points finaux alimentée par l'IA
- Gestion et réponse aux incidents/événements
- Gestion de l'exposition, de la notification et de la conformité
- Interactions et interventions préautorisées et personnalisables de l'analyste
- Orchestration avancée
- Méthodes de triage et de filtrage personnalisées
- Télémétrie organisée et contextualisée
Gartner note également que les services MDR s'étendent pour inclure des technologies et une couverture allant au-delà de l'EDR traditionnel, comme décrit par Managed XDR.
Fonctionnement de la gestion de la détection et de la réponse
Étant donné que le MDR est simplement un cadre de services gérés superposé à l'EDR, le MDR sert essentiellement le même objectif que l'EDR. Le MDR prévient et protège le réseau d'une organisation contre les cybermenaces, en fournissant les fonctionnalités de base de l'EDR et de l'EPP, ainsi que les conseils et l'expertise nécessaires pour utiliser pleinement ces fonctionnalités. Ces conseils peuvent prendre de nombreuses formes, mais comprennent généralement un ou plusieurs des éléments suivants :
- Équipe rouge et simulation d'attaque
- Tests de pénétration
- Gestion stratégique des risques
- Rapports d'incidents, réponses et analyses médico-légales
- Évaluation des compromis
Cas d'utilisation des services gérés de détection et de réponse
Renforcer le SOC d'une organisation
De nombreux SOC ont du mal à répondre aux exigences de la cybersécurité :
- La configuration du SIEM est un cauchemar logistique.
- Ils sont inondés de notifications de toutes parts.
- La visibilité est au mieux brouillée.
MDR soulage ces équipes de sécurité et leur apporte l'expertise du fournisseur de services ainsi qu'une suite robuste d'outils de sécurité.
Servir de SOC à distance
La meilleure façon de décrire la relation entre MDR et Managed XDR est de la comparer à la relation entre Extended Detection and Response (XDR) et EDR. L'XDR est une évolution de l'EDR ; de même, le Managed XDR est une évolution du MDR.
XDR étend les capacités EDR d'une organisation tout en ajoutant des renseignements avancés sur les menaces ainsi que des protections au niveau du réseau, du serveur, du nuage et de l'application. De même, Managed XDR améliore le cadre MDR en y ajoutant la fonctionnalité XDR.
FAQ
Qu'est-ce que le MDR ?
Managed Detection and Response (MDR) est un cadre dans lequel une solution EDR est fournie en tant que service géré, avec une surveillance 24 heures sur 24 et 7 jours sur 7 et des conseils d'experts.
Quelle est la différence entre MDR et Managed XDR ?
Managed XDR, également appelé MXDR, est une mise à jour de MDR. Managed XDR offre toutes les caractéristiques et fonctionnalités de MDR, tout en introduisant de nouvelles protections de sécurité et une meilleure connaissance des menaces.
Le MDR est-il la même chose que le Professional Cybersecurity Services?
Bien que le MDR soit lui-même un service géré, les fournisseurs de MDR adoptent une approche plus approfondie que les fournisseurs de services de sécurité gérés (MSSP) typiques. Avec le MDR, les professionnels de la sécurité s'engagent directement avec l'organisation cliente, 24 heures sur 24 et 7 jours sur 7. Cela dit, les solutions MDR et les offres MSSP se complètent souvent.
Pourquoi le MDR est-il important ?
Les organisations sont confrontées à des surfaces d'attaque de plus en plus vastes et à des cybermenaces de plus en plus sophistiquées, mais leurs équipes de sécurité et leurs budgets ne suivent pas. MDR propose une solution en offrant un moyen rentable de tirer parti d'une expertise et d'une technologie de premier plan en matière de cybersécurité.