Kui kaua kulub kurjategijatel esialgse juurdepääsu saamisest organisatsioonis laienemiseni? Päevi? Tunde? Kahjuks on paljude organisatsioonide puhul vastus üha sagedamini: „Minuteid”. Tegelikult oli ühe aruande kohaselt 2024. aastal keskmine läbimurdmise aeg 48 minutit, mis on 22% lühem kui eelmisel aastal. Muret tekitab veel üks sama aruande näitaja: küberrünnakute keskmist kontrolli alla saamise aega (MTTC) mõõdeti tavaliselt tundides.

See on võidujooks ajaga, mille paljud organisatsioonid kaotavad. Õnneks ei ole vastastel kõiki kaarte käes ja võrgukaitsjad saavad neile vastu hakata. Investeerides usaldusväärse partneri tipptasemel hallatavasse tuvastamis- ja reageerimisteenusesse (MDR), saavad IT-meeskonnad enda käsutusse ööpäevaringselt töötava ekspertmeeskonna, kes kiiresti sissetungijad tuvastab, need kontrolli alla võtab ja nende tegevuse tagajärgi leevendab. On aeg kiirust tõsta.

Miks on MDR vajalik?

MDR-turg kasvab prognooside kohaselt järgmise seitsme aasta jooksul keskmiselt 20% aastas, ületades 2032. aastaks 8,3 miljardi dollari piiri. See on otsene reaktsioon kübermaastikul toimuvale. MDR-i kasvav populaarsus IT- ja turvateenistuste seas on tingitud mitmest olulisest, omavahel seotud tegurist:

Sissetungid on jõudnud rekordilisele tasemele

Ameerika Ühendriikide identiteedivarguste uurimiskeskuse (ITRC) andmetel toimus eelmisel aastal Ameerika Ühendriikides üle 3100 ettevõtteandmetega seotud kuriteo, mis mõjutasid koguni 1,4 miljardit ohvrit, ning 2025. aastal on oodata ka selle rekordi purustamist.

Finantsiline kahju on sama suur – IBM-i viimane andmelekke kulude aruanne hindas keskmisteks andmelekke kuludeks tänapäeval 4,4 miljonit dollarit. Ainult Ameerika Ühendriike arvestades on keskmised kulud aga palju suuremad – keskmiselt 10,22 miljonit dollarit.

Haavatavad kohad aina kasvavad

Ettevõtted toetavad endiselt suurt hulka kaugtöötajaid ja hübriidtöötajaid. Nad investeerivad pilve, tehisintellekti, asjade Internetti ja muudesse tehnoloogiatesse, et saavutada konkurentsieelis. Kahjuks suurendavad need samad investeeringud – ja tarneahelate jätkuv kasv – ka haavatavate kohtade hulka.

Kurjategijad muutuvad professionaalsemaks

Küberkuritegevuse varjatud maailm on üha enam täis teenusepõhiseid pakkumisi, mis langetavad sisenemisläve kõige puhul alates petukirjadest (phishing) ja teenuseummistamise rünnakutest (DDoS) kuni lunavara (ransomware) ja infovarguse (infostealer) kampaaniateni. Ühendkuningriigi valitsuse ekspertide sõnul pakub tehisaru kurjategijatele veelgi rohkem uusi võimalusi rünnakute sageduse ja intensiivsuse suurendamiseks.

See aitab neil juba luuret automatiseerida ning haavatavusi kiiremini avastada ja ära kasutada. Ühe uuringu kohaselt on tarkvaravea avastamise ja selle ärakasutamise vaheline aeg lühenenud 62%.

Oskuste ja ressursside puudus kasvab jätkuvalt

Kaitsemeeskonnad on juba mõnda aega olnud personalipuuduses. IT-turbe spetsialistide ülemaailmne puudus on hinnanguliselt üle 4,7 miljoni töötaja. Ja kuna 25% organisatsioonidest teatasid küberturbe valdkonna töötajate koondamisest, näitab see, et ettevõtete juhid ei ole valmis kulutama suuri summasid turvakeskuse (SOC) talentide ja seadmete peale.

A Buyer’s Guide to Managed Detection and Response: What is it and why do you need it?

Miks MDR-i puhul on kiirus oluline?

Selles kontekstis on allhanke kasutamine täiesti mõistlik. See on odavam viis (eriti kapitalikulude osas) saada osa spetsiaalse ekspertmeeskonna poolsest ööpäevaringsest ohu jälgimisest ja avastamisest, sealhulgas proaktiivsest ohuotsingust. See aitab mitte ainult oskuste puudujäägi vastu, vaid tagab ka kiire, ööpäevaringse kaitse. See annab kindlustunde, eriti ajal, mil 86% lunavara ohvritest tunnistavad, et neid rünnati nädalavahetusel või riigipühal.

Kiirus on selles kontekstis oluline, sest see aitab:

  • vähendada ründaja süsteemis viibimise aega, mis Mandianti andmetel on praegu 11 päeva. Mida kauem kurjategijad saavad teie võrgus viibida, seda rohkem aega on neil tundlike andmete leidmiseks ja varastamiseks ning lunavara paigaldamiseks,
  • piirata kiiresti ründe mõjuala, isoleerides häkitud süsteemid/võrgusegmendid ja takistades seega ründe levikut,
  • vähendada tõsiste rikkumistega seotud kulusid, sealhulgas seisakute, parandusmeetmete, brändi maine taastamise, teavituste, IT-konsultatsioonide ja võimalike regulatiivsete trahvide kulusid,
  • rahuldada reguleerivate asutuste nõuded, demonstreerides oma pühendumust sellele, et kiiresti ja tõhusalt ohud tuvastada ja neile reageerida.

Mida MDR-i puhul silmas pidada

Kui olete otsustanud tõhustada oma turvateenistuse (SecOps) tööd MDR-lahendusega, tuleb tähelepanu pöörata sellele, mida osta. Turul on nii palju lahendusi, et on oluline leida just teie ettevõttele sobiv. Minimaalselt peaksite pidama silmas järgmist:

  • Tehisaru abil toimiv ohtude tuvastamine ja neile reageerimine: intelligentne analüüs, mis märgistab automaatselt kahtlase käitumise, kasutab hoiatuste täpsuse parandamiseks kontekstuaalseid andmeid ja vajadusel lahendab automaatselt olukorra. Nii on võimalik uurimist kiirendada ja lahendada probleeme enne, kui kurjategijad jõuavad tekitada püsivat kahju.
  • Usaldusväärne valdkonnaekspertide meeskond: tehnoloogia on küll oluline, kuid veelgi olulisemad on inimesed, kes teie MDR-lahenduse taga seisavad. Teil on vaja ettevõttetasemel SOC-ekspertiisi, mis toimib nagu teie IT-turvameeskonna laiendus, et tegeleda igapäevase seire, ennetava ohuotsingu ja intsidentidele reageerimisega.
  • Juhtival tasemel uurimisvõimekus: teenusepakkujad, kes haldavad ise tuntud pahavara uurimislaboreid, suudavad kõige paremini peatada kõik tekkivad ohud, sealhulgas nullpäevaohud, sest nende eksperdid uurivad iga päev uusi rünnakuid ja nende leevendamise viise. Selline teave on MDR-i kontekstis hindamatu väärtusega.
  • Isikupärastatud rakendamine: enne iga uue lepingu sõlmimist teostab MDR-teenuse pakkuja kliendi hindamise, et teenusepakkuja mõistaks teie unikaalset IT- keskkonda ja turvakultuuri.
  • Kõikehõlmav kaitse: otsige XDR-i sarnaseid funktsioone lõppseadmete, e-kirjade, võrgu, pilve ja muude kihtide kaitsmiseks, et kurjategijatel ei jääks võimalust end varjata.
  • Ennetav ohuotsing: perioodilised uurimised, et leida ohud, mis võivad olla jäänud automaatse analüüsi käigus märkamata, sealhulgas keerukad APT-ohud ja nullpäeva-rünnakud.
  • Kiire kasutuselevõtt: kui olete teenusepakkuja valinud, ei taha te kindlasti nädalaid oodata, enne kui hakkate kaitsest kasu saama. Tuvastamise reeglid, erandid ja parameetrid tuleb juba enne teenuse algust õigesti konfigureerida.
  • Ühilduvus teiste tööriistadega: ohtude tuvastamise ja reageerimise vahendid peaksid sujuvalt teie turbeinfo ja sündmuste haldamise (SIEM) ning turbe koordineerimise ja reageerimise (SOAR) tööriistadega koos toimima. MDR-i tarnija peaks neid ise pakkuma või tegema need teiste tarnijate API-lahenduste kaudu kättesaadavaks.

Õige MDR lisab teie küberturbe keskkonnale hindamatu väärtusega kihi, mis toetab ennetusele keskenduvat turvalähenemist, mille peamine eesmärk on takistada pahatahtliku koodi või pahatahtlike isikute tegevust, et nad ei saaks teie IT-süsteeme kahjustada. See tähendab muu hulgas ka serverite, lõppseadmete ja muude seadmete kaitset, haavatavuste ja turvaparanduste haldamist ning täis-kettakrüpteerimist. Õige kombinatsiooniga inim- ja tehisintellektist liigute kiiremini turvalisema tuleviku poole.