CÔNG TY CỔ PHẦN CÔNG NGHỆ BẰNG HỮU


Tin tức

Giới thiệu dịch vụ Managed detection and response – MDR

  • 29/02/2024
  1. Dịch vụ quản lý phát hiện và phản ứng (Managed detection and response – MDR) là gì? 

Theo định nghĩa của Gartner, MDR là một dịch vụ cung cấp cho khách hàng các chức năng SOC do con người điều khiển, được thực hiện từ xa nhằm mục đích báo cáo, phát hiện, phân tích và điều tra nhanh chóng các mối đe dọa cũng như phản ứng giảm thiểu từ xa đối với các mối đe dọa đó trước khi chúng gây ra sự gián đoạn cho doanh nghiệp. 

Các nhà cung cấp dịch vụ MDR cung cấp những khả năng này bằng cách sử dụng kết hợp nhiều công nghệ khác nhau – đây thường là các công nghệ dựa trên điểm cuối và mạng nhưng ngày càng liên quan đến các lớp dịch vụ đám mây, SaaS và các ứng dụng tùy chỉnh. Ngoài ra, kết nối với các khả năng liên quan còn cung cấp thêm thông tin theo ngữ cảnh (ví dụ: danh tính và người dùng, mức độ phơi nhiễm mối đe dọa và mức độ quan trọng trong kinh doanh) để cải thiện và xác thực khả năng phát hiện mối đe dọa. Các nhà cung cấp dịch vụ MDR phát triển nội dung và phân tích tập trung vào mối đe dọa, còn được gọi là kỹ thuật phát hiện và áp dụng thông tin tình báo về mối đe dọa, cho dù được phát triển nội bộ, mua từ bên thứ ba hay kết hợp cả hai phương pháp. Các nhà cung cấp dịch vụ MDR cũng áp dụng các hoạt động ngăn chặn và kiểm soát thủ công/tự động — chẳng hạn như cách ly máy chủ, khóa tài khoản và chặn mạng (xem Hình 1). 

Figure 1: Managed Detection and Response and Adjacent Services 

Các dịch vụ MDR được thiết kế để giảm thời gian giữa việc phát hiện và ứng phó với các mối đe dọa. Các chức năng hoạt động bảo mật bổ sung đã xuất hiện, bao gồm quản lý phơi nhiễm, điều tra kỹ thuật số và ứng phó sự cố (digital forensics and incident response – DFIR) cũng như khả năng xác thực bảo mật (chẳng hạn như mô phỏng vi phạm và tấn công [breach and attack simulation – BAS]). Những chức năng này bổ sung và làm phong phú cho việc phát hiện, phân tích, điều tra cũng như phản ứng giảm thiểu đối với các mối đe dọa. 

  1. Vì sao doanh nghiệp cần đến dịch vụ MDR 

Theo nhận định của Gartner đến năm 2025, 60% tổ chức sẽ đang tích cực sử dụng khả năng ngăn chặn và kiểm soát mối đe dọa từ xa được cung cấp trực tiếp bởi các nhà cung cấp MDR, tăng từ mức 30% hiện tại. 

Dịch vụ Quản lý phát hiện và phản ứng (MDR) là một giải pháp cho nhiều thách thức mà doanh nghiệp phải đối mặt khi nỗ lực cải thiện sự trưởng thành về an ninh mạng, như: 

  • Bối cảnh mối đe dọa động 

Với sự phát triển của các công nghệ số, bao gồm IoT, AI và ML, bối cảnh các mối đe dọa đang phát triển và mở rộng mạnh mẽ. MDR mang đến các công nghệ và chuyên môn phù hợp để xác định các mối đe dọa hiện tại và mới nổi có liên quan đối với doanh nghiệp của bạn và chủ động giảm thiểu chúng. 

  • Thông tin về mối đe dọa 

Bằng cách phân biệt giữa các mối đe dọa thực sự và cảnh báo giả, nhà cung cấp dịch vụ MDR phác thảo một chiến lược hiệu quả để ứng phó và khắc phục các sự cố được xác nhận. Khía cạnh này là một trong những thách thức quan trọng nhất mà doanh nghiệp phải đối mặt. MDR tinh chỉnh khả năng phòng thủ trước các mối đe dọa tiên tiến thông qua sự kết hợp của các công nghệ giám sát mối đe dọa tinh vi và thông tin tình báo về mối đe dọa. 

  • Thiếu nhân tài 

Xây dựng và duy trì cơ sở hạ tầng bảo mật, thông tin mối đe dọa và chuyên môn an ninh liên quan là thách thức đối với nhiều tổ chức. MDR giúp các tổ chức lấp đầy những khoảng trống an ninh, giúp họ trở nên an toàn, cảnh giác và linh hoạt hơn. Nhà cung cấp dịch vụ MDR cung cấp chuyên môn và nguồn lực cần thiết để đẩy lùi các mối đe dọa. 

  • Mở rộng ranh giới CNTT 

Khi doanh nghiệp mở rộng ranh giới CNTT của họ bằng cách chuyển sang đám mây, việc bảo vệ trước các mối đe dọa mới nổi đã trở thành một thách thức. Dịch vụ MDR cung cấp một bức tranh chi tiết về tình trạng an ninh mạng của bạn trên tất cả các môi trường và giúp bảo vệ tất cả các khối lượng công việc của bạn. 

  • Silo bảo mật 

Các tổ chức có nhiều biện pháp kiểm soát bảo mật truyền thống theo ý của họ. Tuy nhiên, những biện pháp kiểm soát này không được tích hợp một cách thích hợp để thu thập bất kỳ thông tin hành động nào có ý nghĩa. MDR tích hợp khả năng bảo mật với thông tin chi tiết về mối đe dọa để giúp giám sát, phát hiện và ứng phó với các mối đe dọa ngày càng gia tăng. 

  • Quản lý mối đe dọa nội bộ 

Các mối đe dọa nội bộ là những mối đe dọa an ninh mạng thách thức nhất mà các tổ chức phải đối mặt ngày nay, với 97% các nhà lãnh đạo CNTT coi chúng là mối lo ngại bảo mật nghiêm trọng nhất. Các nhà cung cấp dịch vụ MDR cung cấp các giải pháp quản lý danh tính và quyền truy cập để giúp bạn chủ động giám sát hành vi của nhân viên và ngăn chặn các mối đe dọa nội bộ. 

  • Bảo vệ dữ liệu 

Các doanh nghiệp CNTT xử lý và lưu trữ lượng lớn dữ liệu hàng ngày, khiến việc quản lý và bảo mật dữ liệu trở nên cồng kềnh. MDR giúp giám sát mối đe dọa và giải quyết việc lạm dụng dữ liệu có chủ ý hoặc vô tình trên tất cả các môi trường, bao gồm điểm cuối, mạng on-prem và đám mây. 

  • Tổng quan về mối đe dọa 

Các tổ chức phải có một bảng thông tin cung cấp cái nhìn rõ ràng về các tác nhân đe dọa và các chi tiết liên quan. MDR cung cấp bối cảnh xung quanh các mối đe dọa, tăng độ chính xác của việc săn tìm mối đe dọa và ứng phó sự cố. 

  • Duy trì tuân thủ 

Các nhà cung cấp dịch vụ phát hiện và phản hồi được quản lý giúp bạn kết hợp các nỗ lực đảm bảo tuân thủ và kiểm soát rủi ro bảo mật để đáp ứng các quy định của cơ quan quản lý mà không bỏ sót bất kỳ rủi ro kinh doanh nào. 

  • Giám sát tích cực 

MDR giúp các tổ chức nâng cao các chương trình an toàn, cảnh giác và linh hoạt của họ, giúp họ dự đoán một cách tích cực các mối đe dọa về an ninh cho doanh nghiệp của mình. 

  1. Các khả năng mà dịch vụ MDR cung cấp 

Dịch vụ quản lý phát hiện và phản ứng (MDR) cung cấp cho khách hàng các chức năng của một trung tâm hoạt động bảo mật (security operations center – SOC) được cung cấp từ xa. Những chức năng này cho phép tổ chức phát hiện, phân tích, điều tra và phản ứng một cách nhanh chóng thông qua việc ngăn chặn và kiểm soát mối đe dọa. Họ cung cấp một trải nghiệm hoàn chỉnh, sử dụng một bộ giải pháp công nghệ được xác định trước thường bao gồm kiểm soát điểm cuối, mạng, quản lý log và đám mây. Dữ liệu giám sát được phân tích trong nền tảng của nhà cung cấp bằng cách sử dụng một loạt các kỹ thuật. Quá trình này cho phép điều tra bởi các chuyên gia có kỹ năng săn lùng mối đe dọa và quản lý sự cố, mang lại các kết quả mà doanh nghiệp có thể hành động theo. 

Theo “Gartner MDR Market Guide”, Dịch vụ quản lý phát hiện và phản ứng (MDR) của một nhà cung cấp cần bao gồm có các khả năng cốt lõi sau: 

  • Chức năng phát hiện và phản ứng được cung cấp từ xa 24/7. 
  • Một bộ giải pháp công nghệ do nhà cung cấp vận hành, cho phép và phối hợp phát hiện mối đe dọa, điều tra và phản ứng ngay lập tức. Bộ giải pháp công nghệ này có thể phát triển bởi nhà cung cấp MDR, hoặc là một bộ giải pháp công nghệ thương mại tích hợp sử dụng các kỹ thuật hiện đại (như API) để trao đổi dữ liệu và chỉ thị, hoặc một sự kết hợp của cả hai phương pháp. 
  • Các chuyên gia của nhà cung cấp MDR liên tục tương tác với dữ liệu của từng khách hàng hàng ngày và có kỹ năng và chuyên môn trong giám sát mối đe dọa, phát hiện và săn lùng mối đe dọa, thông tin mối đe dọa (threat intelligence – TI) và phản ứng sự cố. 
  • Cung cấp dịch vụ hoàn chỉnh, với các quy trình và nội dung phát hiện được định trước và điều chỉnh trước. Điều này bao gồm một playbook tiêu chuẩn của quy trình làm việc, thủ tục và phân tích; cung cấp tích hợp với các công nghệ phát hiện và phản ứng của bên thứ ba ngoài các công nghệ thuộc sở hữu của nhà cung cấp. 
  • Dịch vụ bao gồm sẵn các hoạt động phản ứng giảm thiểu từ xa ngay lập tức, điều tra và kiểm soát (như cách ly máy chủ và hủy xác thực người dùng) vượt qua việc cảnh báo và thông báo, được cung cấp và phối hợp bởi chuyên gia của nhà cung cấp dịch vụ MDR. 
  • Phân loại, điều tra và quản lý phản ứng với tất cả các mối đe dọa được phát hiện, bất kể mức ưu tiên mà không có giới hạn về khối lượng hoặc thời gian dành cho quá trình phát hiện và điều tra. 

Các khả năng tùy chọn của Dịch vụ quản lý phát hiện và phản ứng (MDR) bao gồm: 

  • Các nguồn dữ liệu ngữ cảnh bổ sung cung cấp chi tiết về các mối nguy hiểm bảo mật như lỗ hổng, khả năng hiển thị bề mặt tấn công, phân tích thương hiệu và danh tiếng. 
  • Khả năng cung cấp dịch vụ điều tra kỹ thuật số và ứng phó sự cố (Digital forensics and incident response – DFIR) để tiến hành phân tích sâu về sự cố và nguyên nhân gốc rễ. 
  • Khả năng đánh giá và xác nhận bảo mật, chẳng hạn như mô phỏng vi phạm và tấn công (breach and attack simulation – BAS), giúp phân tích hiệu quả của các quy trình phản hồi và kiểm soát bảo mật, đồng thời cung cấp cho khách hàng hướng dẫn về cách cải thiện tư thế phòng thủ của họ. 
  • Sự săn lùng mối đe dọa dựa trên giả thuyết (Hypothesis-driven threat hunting), trong đó khách hàng có khả năng xác định mục tiêu săn lùng mối đe dọa cụ thể để xác định liệu một tác nhân đe dọa có phải là nguyên nhân. Trọng tâm sẽ là những người dùng quan tâm hoặc nơi dữ liệu đặc quyền được biết là đã được lưu hành công khai. Khả năng này khác với việc săn lùng mối đe dọa, đã được bao gồm như một phần của dịch vụ MDR và săn lùng các kỹ thuật đe dọa đã biết.