最后更新于2023年8月10日星期四19:56:13 GMT

从托管安全服务中获得最大收益

即使一个安全团队得到了一张空白支票,他们想花什么就花什么,想雇什么就雇什么, 建立一个检测和反应系统仍然需要付出巨大的努力&R)针对该组织的具体需求量身定制的程序. 值得庆幸的是,大量可用的托管服务选项可以帮助解决这个问题.

但是有多种类型的托管服务提供商, 您如何知道哪种类型的服务适合您的组织? 你如何有效地采访提供者,然后尝试构建一个D&R套件与正确的供应商, 同时继续加强你的安全程序以抵御威胁?

▶︎ 耐多药产品导览

对于开始寻找可以实际增加价值的托管服务合作伙伴的组织, 有一些起步的跑腿工作可以做. 有许多管理服务提供者的方法&R脉,如:

最后一个, MSSP, 是一个可以协助许多专业服务(如外包)的提供商的总称吗 安全运营中心即服务、耐多药或安全工具的管理,如 安全信息和事件管理(SIEM)、防火墙、漏洞风险管理等. 知道了这一切, 在寻找合适的托管服务时,您将与许多供应商进行交谈,这是一个简单的事实. 他们每个人都可以说他们会帮助你加强安全防御——他们会说他们有很棒的员工, 他们使用最好的技术, 他们有一个流程来确保你的成功.

所面临的挑战? 每个供应商的营销材料听起来都是一样的. 真正要做的是确定哪个提供者的策略最适合您的程序需求. 让我们进一步了解这三种类型的托管服务,以帮助您决定最适合您的组织的托管服务.

耐多药

An 耐多药提供商工作 与客户一起获得可见性,并完全覆盖客户的整个环境. 这有助于安全从业者更好地了解恶意活动可能发生的时间和地点.

耐多药提供者 通过立即成为客户团队的延伸,帮助解决运营挑战-提供员工数量并将覆盖范围扩展到24x7x365. 耐多药合作伙伴还可以提供专业知识和技术,帮助快速发现攻击者行为,并在其成为更广泛的问题之前阻止它.

越来越多的公司正成为目标攻击的焦点——旨在渗透到单个组织的防御系统的特定攻击. 耐多药提供者成为帮助识别疾病的合作伙伴 有针对性的 威胁(即声誉威胁), 修复受影响的系统, 并集中精力消除威胁,并提供建议,使受影响的系统在未来更加安全.

有许多耐多药提供程序超越了“越过围栏抛出警报”,让客户端自己解析和分类. 如今,越来越多的耐多药供应商发现,他们的努力——以及他们的底线——是值得的 战略 安全组织的合作伙伴. 它们有助于进一步的安全举措, 建立网络弹性, 并与客户合作,通过以下方式更深入地了解他们的威胁状况:

  • 提供事件后的调查见解
  • 剔除良性事件,只报告真正的正面威胁
  • 提供量身定制的补救和缓解建议

XDR的作用

最近,托管服务提供商(包括Rapid7)已经集成 扩展检测和响应(XDR) 进入他们的总体 耐多药的解决方案. 这会创建一个 更有力量,更积极主动&R过程 by:    

  • 认识到数据没有边界,因为它在端点和云之间来回移动
  • 减轻了安全团队繁重的分析分析工作,将更多的精力放在寻找威胁上, 由于解析警报会自动合并到威胁情报中
  • 策划高保真检测和可操作的遥测,以创建有效的响应

这些都是扩展D的好处&R和积极主动地消除威胁. 然而, 将XDR纳入其方法的耐多药提供商不能简单地将字母“X”添加到服务列表中并就此收工. XDR必须帮助组织真正获得对整个攻击面的控制和可见性, 从最近的端点到受损的用户帐户, 网络流量, 云资源, 和更多的.

当整合到一个注重更积极努力的有凝聚力的战略中时,像 InsightIDR 这个解决方案可以从这些不同的来源获取遥测数据吗, 关联数据, 并为潜在威胁提供了更大的背景.

MEDR

MEDR是耐多药的一种风格,它更像是一种附加管理服务,位于端点保护技术部署之上. 虽然MEDR确实提供了一些好处,比如在设置代理的任何地方获得可见性, the EDR-centric approach won’t show the full story of a threat 和 its scope; an agent will simply tell the service provider what it gathers from the endpoint.  

然而,许多违规行为确实是从端点开始的. 为什么? 攻击者可以通过破坏一个端点轻松绕过防火墙和各种已实现的安全控制, 比如用户的笔记本电脑. 从那里, 它们可以在网络中移动, 挖掘有价值的内部/外部数据,并在此过程中迅速破坏公司的声誉. 即使他们很快就被找到了,他们又犯了什么罪?

因此,关注端点非常重要. 这是不争的事实. 基于edr的服务是强大的工具 托管服务计划. 它们具有以下优点:

  • 具有集成端点预防平台(EPP)代理功能的预防方面, 例如防病毒(NGAV),并停止恶意文件的执行
  • 在攻击链中更早地检测被破坏的端点
  • 文件完整性监视(FIM)功能,以便在给定端点上的特定文件发生更改时向您的团队发出警报(如果您自己进行监视)。

只关注端点, 然而, 是否错过了关键的网络和云跨分析,而这些分析可以在与潜在威胁的斗争中提供重要的遥测数据. MEDR通常缺乏分析网络跨越数据的能力, 用户分析, 以及依从性行为, 收集可操作的见解, 并利用它们有效地应对突发事件. 所以用户参与模式的缺点是. 一些MEDR玩家将依赖于技术去完成大部分繁重的工作. 预防是为了尽早阻止威胁.

但如果攻击者越过了这个点, 托管服务提供商可能会使用EDR工具或采用自动操作来处理警报, 更糟糕的是, 将警报传递给他们的客户,让他们管理调查和响应工作. (如果你认为自动化的EDR操作是伟大的,你被鼓励去阅读 在没有人为干预的情况下采取自动响应行动所带来的风险.)

SOCaaS

SOCaaS. 这是一个很重的缩写. 但“安全运营中心即服务”的概念正试图满足任何现代公司的一个重大需求:实施和管理一个强大而健全的网络安全计划. 任何提供整体SOCaaS选项的MSSP都应该能够提供使安全从业人员能够将时间和精力集中在业务其他部分的创新上的底线效益.  

一个能够主动防御的专家团队, 应对威胁, 并代表客户提供(希望如此)全天候的支持,这可能是近年来广为流传的最接近SOCaaS的定义. 它们可以成为公司的虚拟SOC, 作为战术控制台,使团队成员能够执行日常任务. 它们还将帮助团队在更大、更长期的安全趋势中制定战略. So, SOCaaS提供商以何种方式充当安全团队的战略检测和响应中心?

  • 高级SIEM功能- 每天都有可能发生数十亿起安全事件, SIEM可以帮助优先考虑那些真正值得跟进的项目. 一个好的SOCaaS提供者将通过考虑用户和攻击者行为分析,将适当的响应计划置于上下文中, 性能指标, 事件响应, 端点检测.
  • 〇人为因素 在令人难以置信的 竞争激烈的市场为当今的安全人才, 对于公司领导层来说,寻找资源是一项艰巨的任务, 开发, 并保留一个完整的SOC有能力的人员. 在保持网络安全招聘的多样性方面尤其如此. 例如,弗雷斯特表示,女性目前正在化妆 全球只有24%的安全专业人员.
  • 既定程序- 它通常需要一个极其复杂的流程框架——经过长时间的建立和测试——才能准确识别, 优先考虑, 并消除潜在的威胁. 对于企业来说,放弃与关键人员构建自己的SOC是一个令人难以置信的好处,即使是在组装时,也必须花费必要的试错时间才能有效地协同工作并有效地应对威胁.  
  • D&〇R专业知识 如果使用SOCaaS的目标不是增加现有的D&R项目,然后审查供应商在该领域的专业知识是非常重要的. It really comes down to what you’re looking to achieve; as mentioned above, 现代耐多药提供商将利用多种遥测来源来检测和响应威胁. 但是当SOC完全外包时, 代表顾客的安全人员有责任弄清楚D&R专业知识在供应商组织的外包SOC操作中占有更大的地位.  
  • 通信, 与技术和安全毫无关系, SOCaaS提供者必须具备良好的沟通技巧. 提供者将如何呈现信息——特别是关于可能影响公司的潜在可怕威胁的信息, 它的声誉, 以及它的底线——对客户的客户和执行团队? 是否有一个专门的联络点(POC)或一个团队,您将与之定期工作和交互?

如果这看起来像一个菜单,寻找托管服务的安全团队可以从中选择, 那是因为事实就是如此. 然而,在此上下文中,我们将SOCaaS作为业务的完全外包部门来讨论. 不管出于什么原因——在业务的其他部分需要速度/增长, 缺乏对有才能的安全从业人员的招聘权力, 等. —企业可能只是希望配备一个安全“骨干团队”,他们与SOCaaS提供商进行接口,并依赖该提供商来运行, 监控, 管理, 并支持所有的功能.  

底线:选择最适合您需求的托管安全服务合作伙伴

如果您的安全组织正在考虑使用托管服务提供商, 这意味着您的团队很可能希望卸载现有安全团队每天根本没有时间来管理的繁琐和/或技术操作任务. 或者你可能需要一些增强和专业知识来帮助实现24小时的覆盖. 这也意味着你已经准备好找一个合作伙伴来提供深入的分析和可行的见解,这样你就可以找到:

  • 发生了什么事,还有…
  • 这是公司应该担心的事情吗?

在那之后, 您的专业提供者应该能够就如何应对提出建议, 更好的是, 以你的名义采取这些行动. 因为在一天结束的时候,一切都取决于你想要达到的结果. 交钥匙D&当你的团队专注于其他重要的事情时? 从传统MSSP进行简单的端点监控? Or, 你是否打算把你的SOC业务外包出去,让别人来处理所有的安全事务, 不仅仅是安全方面?

对于那些寻求更全面的解决方案,旨在严格加强D&利用具有XDR功能的耐多药提供商是R肌肉的发展方向.

当然,这需要一些预算. 但大多数情况下,同样的预算被指定用于与开放人员数量(取决于环境的大小)相似的成本。. 资本支出(CapEx)成本是相对的,与持续运营费用(OpEx)相比,通常更容易负担得起, 火车, 建立一个内部SOC项目. 无论你的团队关注的是什么结果, 作为一个整体的托管服务是帮助构建D&大规模R程序.

寻找更多的分析来帮助您做出明智的托管服务决策? 请查看 2022年耐多药买方指南 从Rapid7,或 联系我们 了解更多信息.

更多阅读:

不要错过任何一个博客

获取有关安全的最新故事、专业知识和新闻.