Theo định nghĩa của Gartner, MDR là một dịch vụ cung cấp cho khách hàng các chức năng SOC do con người điều khiển, được thực hiện từ xa nhằm mục đích báo cáo, phát hiện, phân tích và điều tra nhanh chóng các mối đe dọa cũng như phản ứng giảm thiểu từ xa đối với các mối đe dọa đó trước khi chúng gây ra sự gián đoạn cho doanh nghiệp.
Các nhà cung cấp dịch vụ MDR cung cấp những khả năng này bằng cách sử dụng kết hợp nhiều công nghệ khác nhau – đây thường là các công nghệ dựa trên điểm cuối và mạng nhưng ngày càng liên quan đến các lớp dịch vụ đám mây, SaaS và các ứng dụng tùy chỉnh. Ngoài ra, kết nối với các khả năng liên quan còn cung cấp thêm thông tin theo ngữ cảnh (ví dụ: danh tính và người dùng, mức độ phơi nhiễm mối đe dọa và mức độ quan trọng trong kinh doanh) để cải thiện và xác thực khả năng phát hiện mối đe dọa. Các nhà cung cấp dịch vụ MDR phát triển nội dung và phân tích tập trung vào mối đe dọa, còn được gọi là kỹ thuật phát hiện và áp dụng thông tin tình báo về mối đe dọa, cho dù được phát triển nội bộ, mua từ bên thứ ba hay kết hợp cả hai phương pháp. Các nhà cung cấp dịch vụ MDR cũng áp dụng các hoạt động ngăn chặn và kiểm soát thủ công/tự động — chẳng hạn như cách ly máy chủ, khóa tài khoản và chặn mạng (xem Hình 1).
Figure 1: Managed Detection and Response and Adjacent Services
Các dịch vụ MDR được thiết kế để giảm thời gian giữa việc phát hiện và ứng phó với các mối đe dọa. Các chức năng hoạt động bảo mật bổ sung đã xuất hiện, bao gồm quản lý phơi nhiễm, điều tra kỹ thuật số và ứng phó sự cố (digital forensics and incident response – DFIR) cũng như khả năng xác thực bảo mật (chẳng hạn như mô phỏng vi phạm và tấn công [breach and attack simulation – BAS]). Những chức năng này bổ sung và làm phong phú cho việc phát hiện, phân tích, điều tra cũng như phản ứng giảm thiểu đối với các mối đe dọa.
Theo nhận định của Gartner đến năm 2025, 60% tổ chức sẽ đang tích cực sử dụng khả năng ngăn chặn và kiểm soát mối đe dọa từ xa được cung cấp trực tiếp bởi các nhà cung cấp MDR, tăng từ mức 30% hiện tại.
Dịch vụ Quản lý phát hiện và phản ứng (MDR) là một giải pháp cho nhiều thách thức mà doanh nghiệp phải đối mặt khi nỗ lực cải thiện sự trưởng thành về an ninh mạng, như:
Với sự phát triển của các công nghệ số, bao gồm IoT, AI và ML, bối cảnh các mối đe dọa đang phát triển và mở rộng mạnh mẽ. MDR mang đến các công nghệ và chuyên môn phù hợp để xác định các mối đe dọa hiện tại và mới nổi có liên quan đối với doanh nghiệp của bạn và chủ động giảm thiểu chúng.
Bằng cách phân biệt giữa các mối đe dọa thực sự và cảnh báo giả, nhà cung cấp dịch vụ MDR phác thảo một chiến lược hiệu quả để ứng phó và khắc phục các sự cố được xác nhận. Khía cạnh này là một trong những thách thức quan trọng nhất mà doanh nghiệp phải đối mặt. MDR tinh chỉnh khả năng phòng thủ trước các mối đe dọa tiên tiến thông qua sự kết hợp của các công nghệ giám sát mối đe dọa tinh vi và thông tin tình báo về mối đe dọa.
Xây dựng và duy trì cơ sở hạ tầng bảo mật, thông tin mối đe dọa và chuyên môn an ninh liên quan là thách thức đối với nhiều tổ chức. MDR giúp các tổ chức lấp đầy những khoảng trống an ninh, giúp họ trở nên an toàn, cảnh giác và linh hoạt hơn. Nhà cung cấp dịch vụ MDR cung cấp chuyên môn và nguồn lực cần thiết để đẩy lùi các mối đe dọa.
Khi doanh nghiệp mở rộng ranh giới CNTT của họ bằng cách chuyển sang đám mây, việc bảo vệ trước các mối đe dọa mới nổi đã trở thành một thách thức. Dịch vụ MDR cung cấp một bức tranh chi tiết về tình trạng an ninh mạng của bạn trên tất cả các môi trường và giúp bảo vệ tất cả các khối lượng công việc của bạn.
Các tổ chức có nhiều biện pháp kiểm soát bảo mật truyền thống theo ý của họ. Tuy nhiên, những biện pháp kiểm soát này không được tích hợp một cách thích hợp để thu thập bất kỳ thông tin hành động nào có ý nghĩa. MDR tích hợp khả năng bảo mật với thông tin chi tiết về mối đe dọa để giúp giám sát, phát hiện và ứng phó với các mối đe dọa ngày càng gia tăng.
Các mối đe dọa nội bộ là những mối đe dọa an ninh mạng thách thức nhất mà các tổ chức phải đối mặt ngày nay, với 97% các nhà lãnh đạo CNTT coi chúng là mối lo ngại bảo mật nghiêm trọng nhất. Các nhà cung cấp dịch vụ MDR cung cấp các giải pháp quản lý danh tính và quyền truy cập để giúp bạn chủ động giám sát hành vi của nhân viên và ngăn chặn các mối đe dọa nội bộ.
Các doanh nghiệp CNTT xử lý và lưu trữ lượng lớn dữ liệu hàng ngày, khiến việc quản lý và bảo mật dữ liệu trở nên cồng kềnh. MDR giúp giám sát mối đe dọa và giải quyết việc lạm dụng dữ liệu có chủ ý hoặc vô tình trên tất cả các môi trường, bao gồm điểm cuối, mạng on-prem và đám mây.
Các tổ chức phải có một bảng thông tin cung cấp cái nhìn rõ ràng về các tác nhân đe dọa và các chi tiết liên quan. MDR cung cấp bối cảnh xung quanh các mối đe dọa, tăng độ chính xác của việc săn tìm mối đe dọa và ứng phó sự cố.
Các nhà cung cấp dịch vụ phát hiện và phản hồi được quản lý giúp bạn kết hợp các nỗ lực đảm bảo tuân thủ và kiểm soát rủi ro bảo mật để đáp ứng các quy định của cơ quan quản lý mà không bỏ sót bất kỳ rủi ro kinh doanh nào.
MDR giúp các tổ chức nâng cao các chương trình an toàn, cảnh giác và linh hoạt của họ, giúp họ dự đoán một cách tích cực các mối đe dọa về an ninh cho doanh nghiệp của mình.
Dịch vụ quản lý phát hiện và phản ứng (MDR) cung cấp cho khách hàng các chức năng của một trung tâm hoạt động bảo mật (security operations center – SOC) được cung cấp từ xa. Những chức năng này cho phép tổ chức phát hiện, phân tích, điều tra và phản ứng một cách nhanh chóng thông qua việc ngăn chặn và kiểm soát mối đe dọa. Họ cung cấp một trải nghiệm hoàn chỉnh, sử dụng một bộ giải pháp công nghệ được xác định trước thường bao gồm kiểm soát điểm cuối, mạng, quản lý log và đám mây. Dữ liệu giám sát được phân tích trong nền tảng của nhà cung cấp bằng cách sử dụng một loạt các kỹ thuật. Quá trình này cho phép điều tra bởi các chuyên gia có kỹ năng săn lùng mối đe dọa và quản lý sự cố, mang lại các kết quả mà doanh nghiệp có thể hành động theo.
Theo “Gartner MDR Market Guide”, Dịch vụ quản lý phát hiện và phản ứng (MDR) của một nhà cung cấp cần bao gồm có các khả năng cốt lõi sau:
Các khả năng tùy chọn của Dịch vụ quản lý phát hiện và phản ứng (MDR) bao gồm: