Wegwijs worden in managed detection & response ondanks de vage definities

Het toenemende dreigingslandschap stelt organisaties voor enorme uitdagingen. Security-teams worden overladen met meldingen, die elke melding afzonderlijk moet analyseren. Ook moeten organisaties 24/7 dreigingsdetectie en incidentenrespons paraat hebben. Dit allemaal vergt veel mankracht, dat vaak niet beschikbaar is. Managed detection & response (MDR) kan security-teams helpen met het opsporen, voorkomen en verkleinen van cyberdreigingen. Maar wat mag je nu eigenlijk van een kwalitatief hoogwaardige MDR-dienst verwachten?

Verschillende definities van MDR

Binnen de branche zijn er verschillende definities van MDR. Volgens analistenbureau Forrester omvat MDR de “toepassing van geavanceerde analysetechnieken, proactieve threat hunting en geautomatiseerde incidentrespons op basis van escalatieworkflows die vooraf door een managed security service provider zijn gedefinieerd.” Gartner komt met een vergelijkbare beschrijving: “MDR-diensten bieden organisaties een kant-en-klare oplossing voor 24/7 monitoring, dreigingsdetectie en incidentrespons.”

Ook zijn er veel verschillende manieren waarop MDR-diensten worden aangeboden. De branche lijkt het echter eens te zijn over de kerncomponenten waarin een MDR-dienst moet voorzien. Dat zijn proactieve incidentrespons, threat hunting en 24/7 bescherming.

Desondanks is er een aanzienlijk grijs gebied. De security-sector barst van de populaire buzzwords en jargon. Dat is te wijten aan zijn disruptieve karakter. Er verschijnen voortdurend nieuwe technologieën op de markt als reactie op het veranderende dreigingslandschap. Dus in zekere zin is het gebruik van buzzwords onvermijdelijk. Wie al diverse jaren actief is in de sector zal waarschijnlijk met zijn ogen rollen bij de onvermijdelijke claims van “artificial intelligence” of de laatste “flux capacitor” die in één klap al onze problemen gaat oplossen.

Gebrek aan standaardisatie

Soms lijkt het erop dat MDR het zoveelste voorbeeld hiervan is. Feit is echter dat het gebrek aan standaardisatie qua terminologie, processen en technologieën het enorm lastig maakt om diensten, tools en technologieën van verschillende leveranciers te beoordelen en de juiste oplossingen eruit te pikken. Bovendien zorgen veel MDR-diensten voor een stortvloed aan meldingen die security-teams overweldigen en nauwelijks toegevoegde waarde bieden. In dat geval ben je als CISO ontevreden met de investering en is je organisatie geen haar beter beschermd dan voorheen.

Het is tijd dat we binnen de branche overeenstemming bereiken over een standaarddefinitie van threat hunting en incidentrespons, en de KPI’s die over MDR-diensten moeten worden gehanteerd.

Waar een MDR-dienst aan zou moeten voldoen en welke vragen jij kan stellen

Bij het evalueren van aanbieders van MDR-diensten is het belangrijk om drie kernaspecten van hun dienst onder de loep te nemen: incidentrespons, threat hunting en 24/7 bescherming.

Incidentrespons

MDR-diensten worden vaak gepositioneerd als een dienst die wordt verzorgd door een team van beveiligingsanalisten die als het ware 24/7 door de ruit van je organisatie naar binnen kijken. Ze beloven om je data te beschermen met een volwassen en uitgebreide beveiligingsdienst die in staat is om cyberaanvallen te detecteren en erop te reageren, inclusief aanvallen die erin slagen om je bestaande beveiligingsmechanismen te omzeilen. Dat klinkt natuurlijk geweldig, maar het is belangrijk om na te gaan wat zij precies bedoelen met incidentrespons. Helaas betekent dit voor al te veel aanbieders niets meer dan het op de hoogte stellen van de klant van een beveiligingsincident. Dat betekent dat het zware werk (het reageren op de cyberaanval) aan jouw organisatie wordt overgelaten.

Belangrijke vragen om aanbieders van MDR-diensten te stellen zijn onder meer:

1. Welke proactieve incidentrespons bieden ze?
2. In hoeverre zijn die acties geautomatiseerd?
3. Wat is de rol van de klant bij de incidentrespons?
4. Hoe ziet het goedkeuringsproces incidentrespons eruit?

Theat hunting

Het jagen op cyberdreigingen vormt een cruciaal onderdeel van een MDR-dienst. Dit vraagt om ruime expertise en relevante, up-to-date dreigingsinformatie. Threat hunting zou een contextueel overzicht moeten bieden van de cybercriminelen waarmee je organisatie met de grootste waarschijnlijkheid te maken gaat krijgen en de tactieken en technieken die zij hanteren. De aanbieder van de dienst moet begrijpen hoe jouw bedrijfsvoering en IT-omgeving eruitziet. Bij het beoordelen van MDR-aanbieders zou je hen specifiek moeten vragen hoe zij threat hunting precies definiëren. Hoe worden de prestaties op dit gebied gemeten? Welke KPI’s hanteert de aanbieder? Andere vragen zijn onder meer:

1. In hoeverre is het threat hunting-proces geautomatiseerd?
2. Welke rol speelt bedreigingsinformatie binnen het threat hunting-programma?
3. Wat zijn de doelstellingen en outputs van dit programma?
4. Welke triggers zetten het threat hunting-proces in werking?

24/7 bescherming

In eerste instantie lijkt het eenvoudig om na te gaan of een MDR-dienst in 24/7 bescherming voorziet, maar ook dit aspect sterk kan per aanbieder verschillen. Door de juiste vragen te stellen, is het mogelijk een diepgaand inzicht te verwerven in het operationele model van de aanbieder, de bezettingsniveaus en de locatie van de beveiligingsanalisten die verantwoordelijk zijn voor de bescherming van je data. Het is belangrijk om een MDR-aanbieder te vragen naar:

1. Het meldingsproces buiten kantoortijden
2. De minimale bezettingsgraad buiten kantoortijden
3. Een ‘follow the sun’ (rond de klok) dienstenrooster
4. De aard van het security operations center (SOC). Vraag de aanbieder of zijn team van beveiligingsanalisten op afstand werkt maar een vaste klantenkring bedient, of dat de aanbieder werkt met internationale SOC’s om klanten in specifieke regio’s te bedienen.

Managed detection & response-diensten zijn onmisbaar voor organisaties die niet over de interne expertise of capaciteit beschikken om zelf een uitgebreide, 24/7 actieve security-organisatie op te bouwen, of voor organisaties die hun focus simpelweg op andere gebieden willen richten. MDR fungeert niet alleen als een veiligheidsnet wanneer alle andere beveiligingsmechanismen het laten afweten, maar biedt ook een continu overzicht van alles wat er zich afspeelt binnen de IT-omgeving en het bedrijfsspecifieke dreigingslandschap, en hoe beiden zich ontwikkelen.

De prestaties van een MDR-dienst zijn van bedrijfskritisch belang. Daarom is een gedegen selectieproces een must. Maar omdat het momenteel schort aan algemeen geaccepteerde branchestandaarden is het aan bedrijven om de juiste vragen te stellen bij het evalueren van potentiële beveiligingspartners. Kerncomponenten zoals incidentrespons, threat hunting en 24/7 bescherming zijn niet zomaar punten die je even snel van een lijstje kunt afvinken, als je een gefundeerde beslissing wilt maken ten aanzien van de MDR-aanbieder waarmee je in zee gaat. Stel de juiste vragen, bekijk alles met een kritisch oog en neem de juiste beslissing.

Daniel Clayton is vice president Global Security Services & Support bij Bitdefender