MDR – en introduktion till Managed Detection and Response och dess nyckelkomponenter

Vad är Managed Detection and Response? 

Managed detection and response (MDR) är en övervakningstjänst inom cybersäkerhet som fokuserar på att upptäcka och hantera hot i realtid. Detta görs med en kombination av säkerhetsteknologier som samlar in säkerhetsinformation – samt 24/7/365 mänsklig övervakning av dessa system för att utföra analys och tolkning av informationen. Huvudsyftet med MDR är att förbättra organisationers förmåga att snabbt identifiera potentiella hot och snabbt svara på säkerhetsincidenter när de inträffar.

Vilka typer av organisationer behöver MDR?

MDR är särskilt användbart för organisationer som kanske inte har tillräckliga interna resurser eller experter för att övervaka och svara på säkerhetsincidenter på egen hand. Genom att outsourca dessa tjänster kan organisationer förbättra sin säkerhetsinfrastruktur och minska risken för allvarliga dataläckor eller skadliga intrång. 

Nyckelkomponenter inom MDR

MDR omfattar följande funktioner;

• Detektion
• Analys
• Respons 
• Rapportering och återkoppling 

Detektion

Detektion inom MDR utgörs av en kombination av avancerade teknologier för att övervaka, analysera och hantera olika typer av attacker. Två av de vanligaste systemen för detektion är Endpoint detection and response (EDR) och Security Information and Event management (SIEM). 

EDR 

En angripares väg in i en organisation går påfallande ofta via användarklienter som datorer eller smartphones. Därför är säkerheten på dessa avgörande för en organisations övergripande cyberskydd. Ett EDR-verktyg analyserar vad som händer på en klient och reagerar på potentiella hot. Detta innefattar inte bara skadliga filer utan även vad användaren gör, hur program beter sig och data som överförs. Allt detta analyseras och används för att upptäcka skadligt beteende. Genom denna breda analys kan EDR upptäcka förutom klassiska virus och trojaner även script och annan dynamisk kod – dvs ”fillös” malware och andra avancerade attacker.

SIEM 

Medan EDR övervakar användarklienter och andra endpoints övervakar SIEM en mängd andra källor för att upptäcka skadliga beteenden. SIEM-plattformar samlar in och analyserar loggdata från källor som exempelvis nätverksenheter, servrar, applikationer och andra IT-system. Loggarna innehåller information om olika händelser och aktiviteter som inträffar på dessa enheter. Datat sammanställs och analyseras för att urskilja normalt beteende från avvikelser. SIEM-verktyg använder korrelationsregler och algoritmer för att identifiera samband mellan olika händelser. Detta innebär att SIEM kan upptäcka mönster och avvikelser som enskilt sett kanske inte skulle vara misstänkta, men tillsammans kan indikera en potentiell säkerhetsincident. Larm skapas baserat på regler eller AI och så snart misstänkt beteende upptäcks går larmet. Genom att ta in stora mängder data kan ett SIEM utföra avancerad beteendeanalys och fånga upp misstänkta eller skadliga aktiviteter i realtid – och upptäcka hotaktörer innan de hinner slå till.  

Analys 

Utifrån inhämtade detektionsdata utförs expertanalyser av erfarna MDR-analytiker. Hos oss på Iver utförs detta arbete av experter i vårt Security Operations Center (SOC). När en säkerhetsincident upptäcks genom detektionsfunktionen, går våra analytiker igenom incidenten för att förstå dess omfattning, hur den påverkar organisationens säkerhet samt bedömer hotets allvar. Detta kan inkludera att undersöka vilka system och data som är inblandade, hur angriparen har förflyttat sig genom nätverket, och vilka verktyg och tekniker som används. 

Våra experter arbetar kontinuerligt med att övervaka hotlandskapet för att identifiera nya hot och förstå deras egenskaper. Detta för att säkerställa att tekniken som används i detektionsfunktionen är anpassad till de senaste hoten. Den samlade analysen bygger således både på detektionsdata och kunskap om aktuella hot samt erfarenhet från tidigare attacker.  

Respons 

När ett hot eller en incident upptäcks vidtas åtgärder för att stoppa attacken och minimera skadorna. Det kan inkludera att isolera drabbade system, ta bort skadlig kod samt att implementera åtgärder för att förhindra framtida liknande incidenter.  
 
Vid särskilt allvarliga händelser så som pågående intrång eller ransomwareattacker påkallas ett särskilt Cyber Security Incident Response Team (CSIRT).  Detta expert-team arbetar intensivt och fokuserat för att stoppa pågående attacker och minimera skadorna. Genom väldefinierade processer och rutiner kan rätt åtgärder snabbt sättas in vilket gör att IT-miljön så snabbt som möjligt kan återställas till normala driftsförhållanden – något som är avgörande för att minska angreppets påverkan på verksamheten. 

Rapportering och återkoppling 

Rapportering och återkoppling är en viktig aspekt inom MDR då det ger organisationer en förståelse för hur deras säkerhetsläge ser ut. Information om identifierade sårbarheter i organisationens IT-infrastruktur kan hjälpa verksamheter att åtgärda och stärka sina system för att förhindra framtida attacker. En nära dialog är avgörande för att kunna upprätthålla en effektiv och dynamisk säkerhetsstrategi. 

Vill du veta mer om hur vi på Iver kan hjälpa din organisation med MDR?
Läs mer om vårt tjänsteerbjudande inom MDR eller ta kontakt via formuläret nedan.