Mọi công ty đều cần trợ giúp về an ninh mạng. Không một CISO nào từng nói: “Tôi có mọi thứ tôi cần và hoàn toàn tự tin rằng tổ chức của chúng tôi được bảo vệ đầy đủ trước các vi phạm.”
Điều này đặc biệt đúng đối với các doanh nghiệp vừa và nhỏ, những doanh nghiệp không có nhiều ngân sách an ninh mạng khổng lồ và đội ngũ chuyên gia an ninh mạng dày đặc.
Để giải quyết vấn đề này, đặc biệt là đối với các doanh nghiệp vừa và nhỏ, chúng tôi đã thấy sự gia tăng mạnh mẽ trong các dịch vụ Phát hiện và Phản hồi được Quản lý (MDR). MDR về cơ bản là một dịch vụ chuyên gia an ninh mạng được thuê ngoài nhằm giám sát môi trường của công ty và cung cấp khả năng phát hiện, điều tra và phản ứng với các mối đe dọa được cải thiện. Hãy coi đó là việc tăng cường đội ngũ nhân viên hiện tại của bạn với một nhóm các chuyên gia an ninh mạng có tay nghề cao.
Dịch vụ MDR
Cynet gần đây đã xuất bản một whitepaper mới xem xét tất cả các dịch vụ được cung cấp bởi nhóm MDR của họ, mà họ gọi là “CyOps” [you can download the whitepaper here].
Điều thú vị là Cynet cung cấp dịch vụ MDR cho khách hàng của mình mà không phải trả thêm phí. Danh sách các dịch vụ MDR được cung cấp trong sách trắng có thể được sử dụng như một hướng dẫn chỉ dẫn cho các công ty muốn thêm hoặc thay đổi nhà cung cấp MDR của họ. Các dịch vụ về cơ bản được chia thành các loại sau.
Phát hiện
Giám sát cảnh báo trên tất cả các biện pháp kiểm soát bảo mật là một yếu tố cơ bản của MDR. Đảm bảo rằng nhà cung cấp MDR của bạn thực hiện điều này 24×7. Dịch vụ MDR cũng nên ưu tiên các cảnh báo và có quy trình sẵn sàng liên hệ với bạn theo cách thức sắp xếp trước khi phát sinh các cảnh báo quan trọng, nhạy cảm với thời gian.
Tin tôi đi, bạn sẽ đánh giá cao cuộc gọi đó vào lúc 3 giờ sáng một ngày nào đó! Tất cả các liên hệ nhạy cảm về thời gian phải bao gồm các báo cáo chi tiết bằng văn bản.
| Ví dụ về hoạt động độc hại tiếp cận bởi CyOps |
MDR của bạn cũng phải liên tục cập nhật các cơ chế phát hiện và thông báo cho bạn về các mối đe dọa mới. Ví dụ: các biến thể ransomware mới hoặc các kỹ thuật phần mềm độc hại mới nên được chia sẻ, cùng với các chi tiết về cách các bản cập nhật mới bảo vệ khỏi các mối đe dọa mới. Cynet đưa ra một loạt các dịch vụ phát hiện trong báo cáo mới nhất của nó.
Cuộc điều tra
Điều tra các cảnh báo đã được xác thực để hiểu đầy đủ về phạm vi và tác động của một cuộc tấn công là điều mà nhà cung cấp MDR của bạn nên thành thạo.
Sau khi điều tra, MDR của bạn phải cung cấp cho bạn các IoC được cập nhật và sau đó chủ động cập nhật thông tin này cho hệ thống phòng thủ của bạn.
 |
| Ví dụ về phân tích tệp bằng CyOps |
Phản ứng
Đảm bảo tất cả các hành động khắc phục thích hợp được thực hiện và hướng dẫn bạn trong toàn bộ quy trình cũng phải là điều mà dịch vụ MDR của bạn cung cấp. Việc khắc phục toàn bộ phạm vi của cuộc tấn công có thể là một quá trình tẻ nhạt, nhưng điều quan trọng là phải đảm bảo loại bỏ tất cả các khía cạnh của sự lây nhiễm.
 |
| Hướng dẫn khắc phục và ví dụ về IOC của CyOps |
Lời khuyên của Chuyên gia Ad Hoc
MDR của bạn phải luôn sẵn sàng trả lời các câu hỏi và cung cấp sự trợ giúp và hướng dẫn của chuyên gia. Có điều gì bạn không chắc chắn? Có mối đe dọa mới mà bạn lo ngại không?
Bất kể mối quan tâm về bảo mật nào, MDR nên có mặt để giải quyết mọi nhầm lẫn và trả lời đầy đủ mọi câu hỏi mà bạn có thể có.
Báo cáo
Cuối cùng, một MDR tốt sẽ cung cấp các bản tin, cập nhật và báo cáo thường xuyên để thông báo cho bạn về các kỹ thuật tấn công và bảo vệ mới. Họ cũng sẽ nhắc nhở bạn về các bản cập nhật hệ thống quan trọng và giúp bạn lập kế hoạch và thực thi chúng trong khi đảm bảo hệ thống bị gián đoạn tối thiểu.
 |
| Cần cập nhật quan trọng do ví dụ về lỗ hổng bảo mật mới được phát hiện |
Lời kết
Với ngày càng nhiều nhà cung cấp MDR, các công ty có thể chọn lọc để đảm bảo rằng các nhu cầu cụ thể của họ phù hợp với các dịch vụ được cung cấp. Giống như hầu hết các dịch vụ, một số dịch vụ tốt hơn nhiều so với các dịch vụ khác và một số dịch vụ toàn diện hơn các dịch vụ khác. Chọn một cách khôn ngoan.
