Сколько времени требуется субъектам угроз, чтобы перейти от первоначального доступа к боковому смещению? Дни? Часы? К сожалению, для многих организаций все чаще и чаще этот ответ — «минуты». Согласно одному из отчетов, среднее время перерыва в работе в 2024 году составило 48 минут, что на 22% меньше, чем в предыдущем году. Опасения усиливает и другая цифра из того же отчета: среднее время сдерживания (MTTC) кибератак обычно измеряется часами.

Это гонка со временем, которую многие организации проигрывают. К счастью, у противника не все карты на руках, и защитники сетей могут нанести ответный удар. Инвестируя в управляемое обнаружение и реагирование (MDR) высшего уровня от надежного партнера, ИТ-команды получают доступ к команде экспертов, работающей круглосуточно для быстрого обнаружения, сдерживания и смягчения последствий входящих угроз. Пора перейти на быструю полосу.

Почему вам нужно MDR?

Ожидается, что в ближайшие 7 лет рынок MDR будет расти на 20% в год и к 2032 году превысит 8,3 миллиарда долларов США. Это прямой ответ на изменения в киберландшафте. Его растущая популярность среди ИТ-отделов и служб безопасности объясняется несколькими важнейшими взаимосвязанными факторами:

Взломы достигли рекордного уровня

По данным американского Центра исследования краж личных данных (ITRC), только в прошлом году в США было зафиксировано более 3 100 случаев несанкционированного доступа к корпоративным данным, в результате чего пострадали 1,4 миллиарда человек, а 2025 год снова побьет рекорды.

Финансовые последствия не менее плачевны. Согласно последнему отчету IBM «Стоимость утечки данных», сегодня стоимость средней утечки данных — 4,4 миллиона долларов США. В США эта сумма еще выше — в среднем 10,22 миллиона долларов США.

Поверхность атаки продолжает расти

Предприятия по-прежнему используют большое количество удаленных и гибридных работников. Для получения конкурентных преимуществ они инвестируют в облачные технологии, ИИ, IoT и другие технологии. К сожалению, эти же инвестиции — и постоянный рост цепочек поставок —увеличивают и размер цели для противников.

Субъекты угроз профессионализируются

В киберпреступном подполье все больше появляется предложений по предоставлению услуг, которые снижают барьеры для входа на рынок, начиная с фишинга и DDoS и заканчивая программами-вымогателями и кампаниями инфокрадов. По мнению экспертов правительства Великобритании, ИИ предоставит еще больше новых возможностей преступникам для увеличения частоты и интенсивности угроз.

Он уже помогает им автоматизировать разведку, быстрее обнаруживать и использовать уязвимости. В одном исследовании утверждается, что время между обнаружением дефекта в программном обеспечении и его эксплуатацией сократилось на 62%.

Нехватка квалифицированных кадров и ресурсов продолжает расти

Команды защиты уже давно испытывают нехватку кадров. По оценкам, глобальная нехватка профессионалов в области ИТ-безопасности составляет более 4,7 миллиона человек. А поскольку 25% организаций сообщают об увольнениях в сфере кибербезопасности, руководители предприятий не настроены тратить большие средства на персонал и оборудование для операционного центра безопасности (SOC).

A Buyer’s Guide to Managed Detection and Response: What is it and why do you need it?

Почему в MDR скорость имеет значение

Аутсорсинг в этом контексте имеет абсолютный смысл. Это более дешевый (особенно в плане капитальных затрат) способ обеспечить круглосуточный мониторинг и обнаружение угроз, включающий проактивный поиск угроз с помощью специальной команды экспертов. Это не только помогает преодолеть нехватку квалифицированных кадров, но и обеспечивает оперативную круглосуточную защиту. Это может обеспечить душевное спокойствие, особенно сейчас, когда 86% жертв программ-вымогателей признают, что их атаковали в выходные или праздничные дни.

В этом контексте важна скорость, потому что она может помочь:

  • Минимизировать время пребывания злоумышленников, которое в настоящее время, по данным фирмы Mandiant, составляет 11 дней. Чем дольше противники находятся в вашей сети, тем больше у них времени на поиск и похищение конфиденциальных данных, а также развертывание программ-вымогателей.
  • Быстро ограничить «радиус взрыва» атаки, обеспечить изоляцию взломанных систем/сегментов сети и, таким образом, предотвратить распространение несанкционированного доступа.
  • Сократить расходы, связанные с серьезными нарушениями, включающими время простоя, устранение последствий, репутацию бренда, уведомления, ИТ-консультации и возможные штрафы со стороны регулирующих органов.
  • Удовлетворить пожелания регуляторов, демонстрируя вашу приверженность быстрому и эффективному обнаружению угроз и реагированию на них.

На что обращать внимание в MDR

После того как вы решили усовершенствовать свои операции по обеспечению безопасности (SecOps) с помощью решения MDR, необходимо обратить внимание на критерии покупки. Поскольку на рынке представлено множество решений, важно найти то, которое подойдет именно вашему бизнесу. Как минимум, вы должны искать:

  • Обнаружение и реагирование на угрозы на основе ИИ: Интеллектуальная аналитика позволяет автоматически отмечать подозрительное поведение, использовать контекстные данные для повышения точности оповещений и автоматически исправлять ситуацию в случае необходимости. Таким образом можно ускорить расследование и устранить проблемы до того, как противники успеют нанести серьезный ущерб.
  • Надежная команда профильных экспертов: Как бы ни была важна технология, люди, стоящие за вашим решением MDR, пожалуй, еще важнее. Вам нужны специалисты SOC корпоративного уровня, которые будут работать как продолжение вашей команды ИТ-безопасности над ежедневным мониторингом, проактивным поиском угроз и реагированием на инциденты.
  • Передовые исследовательские возможности: Поставщики, которые содержат известные лаборатории по исследованию вредоносных программ, будут лучше других справляться с возникающими угрозами, включая «нулевые дни». Все потому, что их эксперты ежедневно изучают новые атаки и способы их защиты. В контексте MDR эти сведения бесценны.
  • Персонализированное развертывание: Оценка клиента перед каждым новым подключением гарантирует, что поставщик MDR поймет вашу уникальную ИТ-среду и культуру безопасности.
  • Комплексное покрытие: Ищите возможности, подобные XDR, на уровни рабочих станций, электронной почты, сети, облака и т. п., чтобы у противников не было возможности скрыться.
  • Проактивный поиск угроз: Периодические исследования для поиска угроз, которые могли ускользнуть от автоматического анализа, включая сложные APT-угрозы и эксплойты нулевого дня.
  • Быстрое подключение: После того как вы выбрали поставщика, последнее, что вам нужно, — это ждать несколько недель, пока вы сможете воспользоваться защитой. Перед началом работы должны быть правильно настроены правила обнаружения, исключения и параметры.
  • Совместимость с другими инструментами: Средства обнаружения и реагирования должны работать в тесном взаимодействии с инструментами управления информацией о безопасности и событиями (SIEM), а также средствами оркестровки и реагирования на угрозы безопасности (SOAR). Они должны предлагаться поставщиком MDR или передаваться через API сторонним решениям.

Правильно подобранное MDR станет неоценимым дополнением к вашей среде кибербезопасности, поддерживая подход к безопасности, основанный на предотвращении, в первую очередь на предотвращении нанесения ущерба вашим ИТ-системам вредоносным кодом или злоумышленниками. Это означает использование защиты серверов, рабочих станций и устройств, управление уязвимостями и исправлениями, а также полнодисковое шифрование и другие элементы. Благодаря правильному сочетанию человеческого и искусственного интеллекта вы сможете ускорить свой путь к более безопасному будущему., vulnerability and patch management, and full-disk encryption, among other elements. With the right blend of human and artificial intelligence, you can accelerate your journey to a more secure future.