MDR (Managed Detection and Response, «управляемое обнаружение и реагирование») — класс сервисов для бизнеса, в которые входит мониторинг инфраструктуры заказчика, проактивное обнаружение угроз и реагирование и восстановление систем в случае инцидента.
Принципы работы MDR
MDR включает в себя как автоматические средства мониторинга и реагирования, так и работу аналитиков из SOC-центра компании-поставщика.
Автоматические инструменты, необходимые для реализации MDR, обычно принадлежат поставщику сервиса. Они позволяют собирать данные с корпоративных систем и анализировать их на предмет наличия индикаторов компрометации, а также автоматизировать рутинные задачи по реагированию.
В свою очередь, специалисты сервиса мониторят оповещения защитных решений, детально анализируют их и принимают необходимые меры в случае инцидента или предоставляют заказчику рекомендации по реагированию.
Инструменты MDR
В сервис MDR могут входить такие технологии, как:
- Endpoint Detection and Response (EDR), Network Detection and Response (NDR) или Extended Detection and Response (XDR) — решения для выявления киберугроз и реагирования на них. EDR работает с угрозами на конечных точках (серверах, компьютерах сотрудников и т. д.), NDR — на уровне сети, а XDR — на разных уровнях.
- Endpoint Protection Platform (EPP) — комплексные защитные решения для конечных точек, в которые входит антивирус, технологии шифрования данных, технологии для отслеживания и устранения уязвимостей, контроля приложений и устройств и т. д.
- Security Information and Event Management (SIEM) — решения для сбора и автоматического анализа информации о событиях безопасности.
- Система обнаружения вторжений (Intrusion Detection System, IDS) — решение для обнаружения подозрительной активности внутри корпоративной инфраструктуры.
Полный список технологий может различаться от вендора к вендору.
Чем MDR отличается от MSS
Сервисы MDR часто сравнивают с MSS (Managed Security Services, «управляемыми сервисами безопасности»). В обе услуги входит управление безопасностью инфраструктуры заказчика на стороне поставщика, однако это не одно и то же. MDR специализируется на обнаружении угроз и оперативном реагировании на них, в то время как MSS охватывает более широкий спектр услуг в области кибербезопасности — в частности, оценку соответствия регуляторным требованиям, управление защитными технологиями (VPN, брандмауэрами и другими), тестирование на проникновение, предоставление общих рекомендаций по безопасности и т. д.