Het ontbreekt veel organisaties aan interne expertise om proactief bedreigingen voor cybersecurity op te sporen en aan te pakken. Een MDR-dienst (managed detection and response) neemt deze taak over. Er zijn echter wel een paar aandachtspunten om rekening mee te houden bij de keuze voor een MDR-dienst.
De meeste CISO’s erkennen het belang van het tijdig detecteren en aanpakken van dreigingen in de IT-omgeving. Hoe sneller dit kan, hoe goedkoper en gemakkelijker het is om eventuele schade te herstellen. Volgens onderzoek van Ponemon Institue duurt het in de praktijk echter gemiddeld 280 dagen voordat een inbreuk ontdekt wordt. Er is dus nog veel ruimte voor verbetering.
Men kan ervoor kiezen om zelf oplossingen te implementeren die kunnen helpen bij detectie en respons. Dat vraagt echter om expertise en het valt niet mee om beschikbare vaardige IT-beveiligingsprofessionals te vinden. Daarom is niet verrassend dat steeds meer organisaties deze taken uitbesteden aan een managed detection and response (MDR)-dienstverlener. Volgens Gartner maakt tegen 2024 een kwart van alle organisaties gebruik van een MDR-dienst.
Voor CISO’s die momenteel overweegt een MDR-dienst in de arm te nemen, zijn er hier zeven overwegingen om daarbij in acht te nemen.
1. Uitgebreide monitoring
Werkelijke ’24/7′ bescherming van de IT-omgeving vereist een grondige analyse van telemetrische gegevens. Kies daarom voor een MDR-dienst die deze gegevens verzamelt van elk apparaat in het netwerk, het verkeer continu in de gaten houdt en een volledig beeld schept van een organisatie. Vraag of de MDR-dienst gegevens kan ophalen van alle endpoints, cloudservices en netwerken binnen de organisatie. Alleen dan is een diepgaande analyse mogelijk die afwijkingen aan het licht brengt en bedreigingen herkent.
2. Snelle reactie
Detectie is niet erg zinvol als er niet snel een reactie op volgt die de potentiële schade beperkt. Kies daarom voor een MDR-dienst die in realtime reageert. Kan de MDR-partner een automatische respons uitvoeren voor ‘kleine’ incidenten en belangrijke bedreigingen markeren voor deskundig onderzoek? Hou er rekening mee dat dit betekent dat de MDR-partner continu toegang nodig heeft tot de gegevensstromen. Bovendien is het essentieel dat men bedreigingen na een onderzoek kan verwijderen of afzonderen. Het is ook belangrijk dat de MDR-partner de juiste mensen op de hoogte stelt van de ontdekte dreigingen, zodat men tijdig noodzakelijke aanpassingen kan maken. Een snelle responstijd moet daarom vastgelegd zijn in de Service Level Agreement (SLA) van de MDR-dienst.
3. Deskundig herstelplan
Na het detecteren en aanpakken van een dreiging is de volgende stap het herstellen van de schade. Kies daarom voor een MDR-dienst die duidelijk aangeeft welke maatregelen nodig zijn om de oorzaak van een incident aan te pakken, zodat het niet opnieuw kan gebeuren. Kan de MDR-partner duidelijk maken wat deze oorzaak was, bijvoorbeeld fouten in de softwareconfiguratie of een gehackte gebruikersaccount? De dienstverlener dient vervolgens snel aanbevelingen te geven om onmiddellijk het beleid aan te passen, software-updates uit te voeren of de regels voor netwerktoegang aan te scherpen.
4. Betrokkenheid
Kies een MDR-dienst die 24 uur per dag ondersteuning biedt wanneer deze nodig is. In de praktijk verschilt het beleid hierover nogal tussen de dienstverleners. Sommige MDR-partners bieden slechts ondersteuning op afstand, bijvoorbeeld via chat of telefoon. Anderen staan direct op locatie om hun klanten door een beveiligingsincident te leiden en de zaken weer op orde te krijgen. Dit laatste is meestal sneller en effectiever, maar brengt vanzelfsprekend wel extra kosten met zich mee voor de MDR-dienst.
5. Maatwerk
Elke organisaties heeft een eigen budget, beveiligingsniveau en risicotolerantie. Kies daarom een MDR-partner die zich voegt naar de unieke omstandigheden van hun klanten. Kan de MDR-dienst omgaan met de bestaande infrastructuur, processen en applicaties en tekortkomingen in de interne expertise aanvullen? De MDR-dienst moet ook voldoende flexibiliteit bieden om de dekking snel op of af te schalen zodra dat nodig is.
6. Naleving van wet- en regelgeving
Het is bijna een fulltime baan om op de hoogte te blijven van de nieuwste wet- en regelgeving en de naleving daarvan te waarborgen. Een MDR-dienst moet precies begrijpen wat hiervoor nodig is. Bij een eerste netwerkaudit zal een MDR-partner advies geven over hoe de beveiliging versterkt kan worden en naleving van wet- en regelgeving garandeert is. Door praktijklessen toe te passen en de regelgeving in de gaten te houden, haalt een MDR-dienst de complexiteit uit compliance en ervoor zorgen dat een organisatie aan zijn verplichten voldoet.
7. Aanvullende diensten
Veel MDR-diensten kunnen nuttig advies bieden, evenals andere diensten die verder gaan dan alleen detectie en respons. Indien men dat zelf niet kan, beschikt men mogelijk over partners die aanvullende diensten kunnen verlenen. Denk bijvoorbeeld aan kwetsbaarheidsbeoordeling, penetratietesten en inbraakpreventie. Als een MDR-dienst goed werkt levert, is het logisch om ook aanvullende diensten van deze partner af te nemen.
De keuze van de juiste MDR-dienst is een uitdaging, maar het is de moeite waard hiervoor de tijd te nemen. De juiste MDR-partner vult ontbrekende expertise aan, versterkt de IT-beveiliging en vergroot de veerkracht van een organisatie.
Bron: CSO online