MDR – en introduksjon og nøkkelkomponenter til Managed Detection and Response

Hva er Managed Detection and Response? 

Managed Detection and Response (MDR) er en overvåkningstjeneste for cybersikkerhet som fokuserer på å oppdage og håndtere trusler i sanntid. Dette gjøres ved å kombinere sikkerhetsteknologier som samler inn sikkerhetsinformasjon, med 24/7/365 menneskelig overvåking som analyserer og tolker informasjonen. Hovedformålet med MDR er å forbedre organisasjoners evne til raskt å identifisere potensielle trusler og reagere raskt på sikkerhetshendelser når de oppstår. 

Hvilke typer organisasjoner trenger MDR? 

MDR er spesielt nyttig for organisasjoner som kanskje ikke har tilstrekkelige interne ressurser eller eksperter til å overvåke og reagere på sikkerhetshendelser på egen hånd. Ved å sette ut disse tjenestene kan organisasjoner forbedre sikkerhetsinfrastrukturen og redusere risikoen for alvorlige datalekkasjer eller ondsinnede inntrengninger.  

De viktigste komponentene i MDR 

MDR omfatter følgende funksjoner;  

• Deteksjon
• Analyse 
• Respons 
• Rapportering og tilbakemelding 

Deteksjon 

Deteksjon i MDR er en kombinasjon av avanserte teknologier for å overvåke, analysere og reagere på ulike typer angrep. To av de vanligste deteksjonssystemene er EDR (Endpoint detection and response) og SIEM (Security Information and Event Management). 

EDR 

En angripers vei inn i en organisasjon går påfallende ofte via brukerklienter som datamaskiner eller smarttelefoner. Derfor er sikkerheten på disse enhetene avgjørende for organisasjonens generelle cyberbeskyttelse. Et EDR-verktøy analyserer hva som skjer på en klient og reagerer på potensielle trusler. Dette omfatter ikke bare skadelige filer, men også hva brukeren gjør, hvordan programmene oppfører seg og hvilke data som overføres. Alt dette analyseres og brukes til å oppdage ondsinnet atferd. Gjennom denne brede analysen kan EDR oppdage ikke bare klassiske virus og trojanere, men også skript og annen dynamisk kode - dvs. "filløs" skadelig programvare og andre avanserte angrep. 

SIEM 

Mens EDR overvåker brukerklienter og andre endepunkter, overvåker SIEM en rekke andre kilder for å oppdage ondsinnet atferd. SIEM-plattformer samler inn og analyserer loggdata fra kilder som nettverksenheter, servere, applikasjoner og andre IT-systemer. Loggene inneholder informasjon om ulike hendelser og aktiviteter som skjer på disse enhetene. Dataene sammenstilles og analyseres for å skille normal atferd fra avvik. SIEM-verktøy bruker korrelasjonsregler og algoritmer for å identifisere sammenhenger mellom ulike hendelser. Det betyr at SIEM kan oppdage mønstre og avvik som hver for seg kanskje ikke er mistenkelige, men som til sammen kan indikere en potensiell sikkerhetshendelse. Alarmer opprettes basert på regler eller kunstig intelligens, og så snart mistenkelig atferd oppdages, utløses alarmen. Ved å samle inn store datamengder kan SIEM utføre avanserte atferdsanalyser og fange opp mistenkelige eller ondsinnede aktiviteter i sanntid - og dermed oppdage trusselaktører før de slår til.  

Analyse 

Basert på innsamlede deteksjonsdata utføres ekspertanalyser av erfarne MDR-analytikere. Hos Iver utføres dette arbeidet av eksperter i vårt Security Operations Centre (SOC). Når en sikkerhetshendelse oppdages gjennom deteksjonsfunksjonen, går analytikerne våre gjennom hendelsen for å forstå omfanget, hvordan den påvirker organisasjonens sikkerhet og de vurderer hvor alvorlig trusselen er. Dette kan innebære å undersøke hvilke systemer og data som er involvert, hvordan angriperen har beveget seg gjennom nettverket og hvilke verktøy og teknikker som er brukt. 

Våre eksperter overvåker kontinuerlig trusselbildet for å identifisere nye trusler og forstå hva som kjennetegner dem. Dette for å sikre at teknologien som brukes i deteksjonsfunksjonen, er tilpasset de nyeste truslene. Den overordnede analysen er dermed basert på både deteksjonsdata og kunnskap om aktuelle trusler, samt erfaringer fra tidligere angrep.  

Respons 

Når en trussel eller hendelse oppdages, iverksettes tiltak for å stoppe angrepet og minimere skaden. Dette kan omfatte isolering av berørte systemer, fjerning av ondsinnet kode og iverksetting av tiltak for å forhindre lignende hendelser i fremtiden.  

Ved spesielt alvorlige hendelser, som pågående sikkerhetsbrudd eller løsepengevirusangrep, settes det inn et eget Cyber Security Incident Response Team (CSIRT).  Dette ekspertteamet jobber intensivt og målrettet for å stoppe pågående angrep og minimere skadene. Ved hjelp av veldefinerte prosesser og prosedyrer kan de riktige tiltakene iverksettes raskt, slik at IT-miljøet kan gjenopprettes til normal drift så raskt som mulig - noe som er avgjørende for å minimere angrepets innvirkning på virksomheten.   

Rapportering og tilbakemelding 

Rapportering og tilbakemelding er et viktig aspekt ved MDR ettersom det gir organisasjonen en forståelse av sikkerhetstilstanden. Informasjon om identifiserte sårbarheter i organisasjonens IT-infrastruktur kan hjelpe virksomheter med å utbedre og styrke systemene for å forhindre fremtidige angrep. En tett dialog er avgjørende for å opprettholde en effektiv og dynamisk sikkerhetsstrategi.  

Vil du vite mer om hvordan Iver kan hjelpe din virksomhet med MDR?
Les mer om våre MDR-tjenester eller ta kontakt via skjemaet nedenfor.