Когда мне было лет 15-16, я решил пойти работать в небольшой местный автосервис, чтобы научиться обслуживать машины и подготовиться к покупке собственной. Через несколько лет у меня появилась служебная машина. Однажды загорелся индикатор низкого уровня масла, и требовалась его замена с фильтром. Я знал, что делать — я же работал там недорогим чернорабочим в автосервисе. Поэтому, вместо того чтобы записаться на сервис (как должен был), я решил слить масло, поменять фильтр и залить новое. Я открыл капот.

Что это за чертовщина?

Я не мог узнать то, что находилось под капотом, как какой-либо двигатель, который я видел всего 10 лет назад. Не унывая, я поддомкратил машину и стал искать сливную пробку — болт под двигателем, который нужно открутить, чтобы слить старое масло. Сливной пробки не было! Как мне слить масло? Поискав некоторое время, я прочитал инструкцию: замена масла возможна только в авторизованных сервисах с соответствующим оборудованием — в данном случае, установкой для откачки масла! Я сдался и отвез машину в сервис.

Какое отношение это имеет к кибербезопасности — и к решению, известному как Managed Detection and Response (MDR)?

От пит-лейна до серверной

Эта история аналогична опыту многих IT-менеджеров за последние 15-20 лет. Когда-то они могли поддерживать простые антивирусные решения, настраивать несколько параметров, и все было в порядке. Сегодня то, что находится «под капотом» современных решений кибербезопасности, неузнаваемо сложно по сравнению с прошлым. Эта сложность — не намеренная, а вынужденная. Сети киберпреступников и государственные акторы разработали все более изощренные инструменты и методы для обхода защиты и вымогательства денег или нарушения работы сервисов.

Технологические достижения в этой гонке вооружений в той или иной степени оставили IT-менеджеров-универсалов позади с точки зрения навыков. Это не их вина — почти все в современном бизнесе зависит от IT, а безопасность — лишь небольшая (но критически важная) часть предоставляемых ими услуг.

Возвращаясь к моей истории о моей (смелой, как я люблю думать) попытке самостоятельно обслуживать свою машину: я — это IT-менеджер-универсал. Технологии меня опередили, и мне понадобилась команда специалистов, чтобы сделать то, что я раньше мог. В условиях стремительного роста числа кибератак по сравнению с мерами защиты IT-менеджеру нужны навыки пилота Формулы-1 и команды пит-стопа из нескольких экспертов, чтобы обеспечить необходимый сервис.

Рули Формулы-1
Растущая сложность рулей McLaren F1 с 1969 года (вверху слева) до 1988 года (Айртон Сенна – вверху справа) и 2014 года (Дженсон Баттон – внизу справа) (источник: McLaren)

Сервисы XDR и EDR — это машины Формулы-1 в мире кибербезопасности, и многие IT-менеджеры, менеджеры по безопасности и CIO/CISO просто не умеют ими управлять. Именно поэтому Managed Detection and Response (MDR) часто называют основным способом защиты организаций. Ранее в этом году Gartner прогнозировал, что к концу 2025 года до 50% всех организаций внедрят MDR.

Итак, возвращаясь к заголовку, какой же вопрос?

Учитывая, что существуют экспертные инструменты, доказавшие свою способность значительно снизить вероятность успешного и разрушительного взлома; что существуют эксперты, владеющие этими инструментами; что у вас, скорее всего, нет необходимых навыков; и что вы вряд ли сможете управлять собственным круглосуточным SOC… если бы было что-то одно, что вы могли бы сделать, чтобы максимально снизить этот риск для вашей организации, какую услугу вы бы внедрили как можно скорее?

Почему MDR — это стратегическое преимущество, которое нужно IT-командам

  1. Вы не справитесь в одиночку! Времена ручной настройки брандмауэров и сканирования журналов прошли. Современные угрозы требуют специализированных инструментов и экспертизы. MDR предоставляет и то, и другое, позволяя IT-командам сосредоточиться на более широких бизнес-приоритетах, не жертвуя безопасностью.
  2. IT-специалисты общего профиля — и даже менеджеры по безопасности — носят много шляп. У злоумышленников одна задача, и они делают ее круглосуточно! Киберпреступники действуют как элитные гоночные команды — используя автоматизацию, ИИ и скоординированные тактики. MDR уравнивает шансы, привлекая преданных своему делу профессионалов, которые понимают ландшафт угроз и могут реагировать в режиме реального времени.
  3. Видимость и скорость критически важны: Как миллисекунды имеют значение в гонках, так и время реагирования имеет решающее значение в кибербезопасности. MDR-платформы мгновенно обнаруживают аномалии и действуют решительно — часто еще до того, как внутренние команды заметят проблему.
  4. Разрыв в навыках растет — и вам нужно противостоять угрозе 24/7/365: Большинство IT-отделов работают на пределе возможностей, а наем лучших специалистов по безопасности дорог и требует высокой конкуренции. MDR заполняет этот пробел масштабируемыми услугами под руководством экспертов, которые адаптируются к потребностям вашей организации.
  5. Корпоративный уровень защиты для организаций любого размера: Создание собственного центра безопасности (SOC) — это дорого. Настолько дорого, что это недоступно для подавляющего большинства организаций. MDR предлагает такой же уровень защиты — без дополнительных расходов, делая его доступным как для малого и среднего бизнеса, так и для крупных предприятий.

Заключение

Очевидно, что «сокровища», доступные киберпреступникам и злонамеренным государственным акторам путем взлома защиты, ускорили развитие их инструментов и организационных структур. Они — специалисты, и MDR-провайдеры тоже. MDR — это больше не «желательная опция»; как часто подчеркивают многие наблюдатели, это необходимость. Прошли те блаженные времена, когда можно было самому менять масло и устанавливать немного антивирусного ПО. MDR, несомненно, будет вытеснен — вероятно, MXDR — раньше, чем позже, и эта статья может быть переиздана с простым «поиском и заменой» ссылок на MDR по всему тексту.

Читать полный анализ на WeLiveSecurity →