Phát hiện và ứng phó được quản lý (MDR) là gì?
Phát hiện và ứng phó được quản lý, hay MDR, là một giải pháp bảo mật mạng được quản lý toàn phần kết hợp các chuyên gia bảo mật, thông tin về mối đe dọa và các công cụ tiên tiến để cung cấp khả năng bảo vệ 24/7 khỏi mối đe dọa cho các tổ chức.
Mối đe dọa ngày càng tăng mà bảo mật mạng nêu ra cho các cá nhân và doanh nghiệp trên toàn thế giới đã được ghi nhận rõ ràng, nhưng điều có lẽ ít được biết đến hơn là một số tổ chức đang phải vật lộn nhiều như thế nào để duy trì các cơ chế phòng thủ và phản ứng mạnh.
Theo nghiên cứu của Kaspersky, 41% chuyên gia InfoSec nói rằng đội ngũ bảo mật mạng trong tổ chức của họ đang “thiếu nhân sự đáng kể" hoặc “phần nào”. Điều này có nghĩa là có một nhu cầu rất lớn về chuyên gia bảo mật và các tổ chức đang gặp khó khăn hơn trong việc thu hút và giữ chân đủ nhân viên có kỹ năng phù hợp. Điều này ảnh hưởng đến mọi loại hình doanh nghiệp: Diễn đàn Kinh tế Thế giới đã phát hiện ra rằng khoảng cách kỹ năng là thách thức lớn nhất về khả năng phục hồi mạng đối với 52% các tổ chức công. Đồng thời, chưa đến một nửa các tổ chức nhỏ hơn cho biết họ có kỹ năng để ứng phó và khôi phục sau một cuộc tấn công mạng.
Vì lý do này, nhiều doanh nghiệp đang chuyển sang sử dụng các dịch vụ được quản lý để tiếp cận các giải pháp và chuyên môn họ cần để bảo vệ an toàn cho dữ liệu, hệ thống, ứng dụng và người dùng. Một trong những cách hiệu quả nhất để đạt được điều này là thông qua dịch vụ Phát hiện và ứng phó được Quản lý (MDR), nhưng chỉ đến bây giờ các tổ chức mới dần nhận ra bảo mật MDR có tầm quan trọng như thế nào đối với doanh nghiệp của họ. Nghiên cứu của Gartner đã phát hiện rằng năm 2023, chỉ có 30% tổ chức đang tích cực sử dụng khả năng ngăn chặn và đập tan mối đe dọa từ xa của các nhà cung cấp MDR – nhưng con số này dự kiến sẽ tăng lên 50% vào năm 2025. Và không phải là quá sớm; dịch vụ Kaspersky MDR (Managed Detection and Response) đã xử lý hơn 430 sự cố bảo mật năm 2023, trong đó hầu hết các sự cố nghiêm trọng được phát hiện ở các cơ quan chính phủ, tổ chức công nghiệp và tài chính. Tình hình các mối đe dọa mạng hiện đang không ngừng phát triển và nhiều tổ chức khó có thể theo kịp.
Dịch vụ phát hiện và ứng phó được quản lý hoạt động như thế nào?
Vậy trong thực tế, MDR hoạt động như thế nào? Đây là một hình thức bảo mật mạng, được cung cấp dưới dạng một dịch vụ được quản lý và được thiết kế để tăng tốc độ xác định và khắc phục các mối đe dọa, đồng thời giảm thiểu quy mô tác động mà chúng có thể gây ra cho các doanh nghiệp. Các kỹ năng bảo mật của con người và công nghệ tiên tiến được kết hợp trong MDR, đồng nghĩa với việc có thể tạo ra hiệu quả đáng kể về chi phí và nguồn lực.
Các dịch vụ MDR tốt thường bao gồm năm chức năng chính:
Xếp mức ưu tiên cho sự kiện
Sự kết hợp giữa việc kiểm tra sự kiện bảo mật của đội ngũ nhân viên lành nghề và đánh giá sự kiện theo các quy tắc tự động được thiết lập trước sẽ xác định sự kiện nào có liên quan hoặc rủi ro hơn những sự kiện khác. Những sự kiện báo động giả và những sự kiện không có khả năng trở thành vấn đề sẽ bị giảm mức ưu tiên, trong khi các vấn đề lớn nhất sẽ được đặt lên hàng đầu để các dịch vụ MDR khác giải quyết và đánh giá chi tiết hơn.
Tìm kiếm mối đe dọa
Tự động hóa là một công cụ cực kỳ mạnh để xác định các mối đe dọa tiềm ẩn – nhưng không thể coi đó là một giải pháp toàn diện. "Những chuyên gia săn tìm mối đe dọa" giàu kinh nghiệm rất thành thạo trong việc phát hiện các hoạt động và các loại hành vi bất thường mà tội phạm mạng thực hiện khi thiết lập một vụ vi phạm dữ liệu hoặc một cuộc tấn công tiềm ẩn. Kết hợp giữa nỗ lực của con người và kỹ thuật số, các mối đe dọa có thể được phát hiện nhanh hơn nhiều, từ đó cho phép khắc phục nhanh hơn.
Điều tra mối de dọa
Sau khi xác định được các mối đe dọa, giai đoạn tiếp theo là khám phá chúng sâu hơn và truy tìm gốc rễ của vấn đề. Các dịch vụ điều tra được quản lý sẽ tìm ra nguyên nhân, thời điểm và địa điểm xảy ra sự cố, đồng thời xác định các hệ thống, dữ liệu, ứng dụng và người dùng đã – hoặc sẽ – bị ảnh hưởng. Tất cả bối cảnh này đều quan trọng để đưa ra những cách hiệu quả và phù hợp nhất nhằm dập tắt mối đe dọa.
Hỗ trợ ứng phó
Làm việc với một đối tác về bảo mật MDR giúp các tổ chức có thể tiếp cận được lời khuyên và giải pháp. Các chuyên gia có thể dựa vào kinh nghiệm của chính họ và thông tin thu thập được thông qua tìm kiếm và điều tra mối đe dọa để tư vấn về cách tốt nhất để giải quyết vấn đề. Điều này có thể là loại bỏ mối đe dọa sắp xảy ra hoặc cách ứng phó và khôi phục sau khi một cuộc tấn công đã xảy ra.
Quản lý khắc phục
Khi cần thiết, các quy trình khắc phục có mục đích loại bỏ tất cả các dấu vết của một mối đe dọa và đưa hệ thống, ứng dụng và dữ liệu trở lại trạng thái trước khi xảy ra cuộc tấn công. Điều này có thể bao gồm một loạt các quy trình, chẳng hạn như loại bỏ phần mềm độc hại, dọn dẹp sổ đăng ký (registry), từ chối truy cập trái phép, khôi phục hệ thống và các biện pháp khác. Các biện pháp được sử dụng sẽ khác nhau tùy thuộc vào bản chất của mối đe dọa hoặc cuộc tấn công và được lựa chọn sau khi tham khảo ý kiến với các chuyên gia bảo mật MDR.
MDR khác với phần mềm diệt virus truyền thống như thế nào?
Sự khác biệt lớn nhất giữa các dịch vụ MDR và bảo mật dựa trên phần mềm diệt virus truyền thống là MDR mang tính chủ động, còn phần mềm diệt virus mang tính đáp trả.
Nói chung, các hệ thống diệt virus dựa vào khả năng phát hiện chữ ký, trong đó các biến thể phần mềm độc hại khác nhau có dấu vân tay riêng mà khi đó hệ thống sẽ tìm kiếm chúng. Tuy nhiên, ngày càng nhiều tội phạm mạng phát triển các biến thể phần mềm độc hại dị thường, không giống bất kỳ biến thể nào khác và do đó, không thể phát hiện được thông qua các dấu vân tay này. Và trong mọi trường hợp, phần mềm diệt virus không thể phát hiện ra các biến thể đó cho đến khi chúng đã xuất hiện, lúc đó thường có thể đã quá muộn để ngăn chặn bất kỳ tác động nào.
Mặt khác, các công cụ phát hiện và ứng phó được quản lý sẽ chủ động tìm kiếm các trường hợp lây nhiễm phần mềm độc hại trên hệ thống 24 giờ một ngày, 7 ngày một tuần và giảm thiểu tác động của chúng.
Sự khác biệt giữa MDR và EDR là gì?
EDR là viết tắt của Endpoint Detection and Response (Phát hiện và ứng phó điểm cuối), hoạt động theo các quy tắc tự động được sử dụng ở giai đoạn ưu tiên của MDR. Việc triển khai EDR sẽ ghi lại các sự kiện và kiểu hành vi trên tất cả các điểm cuối, sau đó đánh giá theo các quy tắc tự động mà đội ngũ bảo mật thiết lập. Bất kỳ hành vi hoặc hoạt động đáng ngờ nào được phát hiện sau đó sẽ được đánh dấu để đội ngũ bảo mật điều tra thêm.
Do đó, đối với nhiều tổ chức, EDR là một phần cấu thành của MDR, hoạt động cùng với các chuyên gia bảo mật CNTT lành nghề, các quy trình và phương pháp luận được thiết lập rõ ràng.
Dịch vụ phát hiện và ứng phó được quản lý có giống XDR không?
Không hẳn. Nói một cách đơn giản nhất thì XDR – viết tắt của Extended Detection and Response (Phát hiện và ứng phó mở rộng) – đưa ra các nguyên tắc của MDR lên một mức mới. XDR tích hợp một lượng lớn dữ liệu được thu thập từ nhiều nguồn khác nhau để giúp việc săn tìm và điều tra mối đe dọa trở nên chủ động và nhiều thông tin hơn. Giải pháp này cũng tận dụng các công cụ tiên tiến hơn, bao gồm ngăn ngừa mất dữ liệu và Quản lý danh tính và truy cập (IAM), để có được tầm nhìn toàn diện về bối cảnh mối đe dọa trên toàn bộ doanh nghiệp.
MDR có những lợi ích chính nào?
Các dịch vụ phát hiện và ứng phó được quản lý có thể chuyển đổi cách tiếp cận bảo mật của một tổ chức theo nhiều cách khác nhau và nâng cao hiệu suất trong hầu hết mọi lĩnh vực của hoạt động bảo mật. Những lợi ích của bảo mật MDR bao gồm, và không giới hạn ở các điều sau:
Giảm thời gian phát hiện
Một số tổ chức mất vài tháng để phát hiện một sự cố bảo mật, trong thời gian đó, các hệ thống, ứng dụng và dữ liệu có thể bị tàn phá nghiêm trọng, mà đôi khi các doanh nghiệp thậm chí còn không biết. MDR có thể rút ngắn thời gian này không chỉ xuống còn vài ngày hoặc thậm chí vài giờ mà còn xuống vài phút để có thể làm giảm đáng kể phạm vi tác động tiềm ẩn của một cuộc tấn công.
Cải thiện tình hình bảo mật
Các dịch vụ MDR có thể giúp một doanh nghiệp trở nên mạnh mẽ và kiên cường hơn trong trường hợp bị tấn công, vì cơ hội vi phạm gây hậu quả lớn sẽ thấp hơn nhiều. Nó cũng giúp đảm bảo rằng cấu hình bảo mật tổng thể của doanh nghiệp được tối ưu hóa tốt hơn và duy trì như vậy kể cả khi nhu cầu của doanh nghiệp và hồ sơ tấn công thay đổi.
Phát hiện mối đe dọa liên tục
Khả năng các công cụ phát hiện và ứng phó được quản lý tìm kiếm các mối đe dọa 24 giờ một ngày, 7 ngày một tuần, 365 ngày một năm đảm bảo rằng các mối đe dọa và phần mềm độc hại không thể "ẩn náu" trong các hệ thống, sẵn sàng được kích hoạt trong tương lai. Các mẫu dữ liệu và hành vi có thể được phân tích liên tục để có thể cảnh báo hoạt động bất thường ngay trước khi xảy ra bất kỳ hành vi độc hại nào.
Ứng phó và khắc phục mối đe dọa nhanh hơn
Cả ba điểm trên đều góp phần giúp việc ứng phó và khắc phục mối đe dọa trở nên nhanh hơn nhiều so với cách có thể khác. Việc nhận biết về một vấn đề sớm hơn cho phép ứng phó trước mối đe dọa được hình thành nhanh hơn theo MDR, nghĩa là có thể áp dụng các hoạt động khắc phục thích hợp cho khu vực bị ảnh hưởng và kịp thời hơn nhiều.
Giảm gánh nặng cho nhân viên bảo mật
Khi đã thiếu hụt nhân viên bảo mật, việc áp dụng nhiều công nghệ bảo mật khác nhau có thể gây thêm áp lực và sự căng thẳng cho thời gian quý báu của họ. Điều này có thể dẫn đến những sự cố không được xử lý kịp thời, cũng như việc không sử dụng đúng cách các công cụ có sẵn vì họ không có thời gian để làm vậy. Việc chuyển phần lớn gánh nặng này cho các dịch vụ được quản lý và các chuyên gia lành nghề của bên thứ ba có thể giảm bớt áp lực này và tối đa hóa hiệu quả của đội ngũ làm việc nội bộ hàng ngày.
Giảm thiểu nguy cơ mệt mỏi do cảnh báo
Việc sử dụng các công nghệ bảo mật làm tăng đáng kể số lượng cảnh báo và sự cố mà đội ngũ bảo mật nhận biết và phải xử lý. Ngoài việc nhàm chán, lặp đi lặp lại và dễ xảy ra lỗi của con người, điều này còn khiến nhân viên bảo mật khó xác định được vấn đề nào cấp bách nhất và cần giải quyết trước những vấn đề khác. Các quy trình ưu tiên trong dịch vụ MDR giải quyết vấn đề đó bằng cách phân tích, cảnh báo các vấn đề cấp bách nhất và xử lý phân loại sự kiện thay mặt đội bảo mật.
Bạn nên tìm kiếm điều gì ở các dịch vụ phát hiện và ứng phó được quản lý?
Thị trường dịch vụ MDR rất mạnh: Nghiên cứu của Gartner cho thấy thị trường MDR đang tăng trưởng với tỉ lệ 48% và dự kiến đạt 2,2 tỷ đô la vào năm 2025. Điều này có nghĩa là có nhiều nhà cung cấp công cụ phát hiện và ứng phó được quản lý khác nhau, khiến bạn khó có thể xác định được nhà cung cấp phù hợp với nhu cầu và yêu cầu cụ thể của bạn. Là một phần của quá trình lựa chọn, chúng tôi khuyến cáo bạn chú ý đến bốn thuộc tính sau:
Các kỹ năng MDR bổ sung
Có thể bạn đã có một cơ sở kỹ năng đáng kể trong đội bảo mật của bạn, nhưng như khoảng cách kỹ năng toàn cầu cho thấy, bạn cũng có thể có một số lĩnh vực cần tăng cường. Bạn nên xác định những khoảng cách đó ngay từ lúc bắt đầu quy trình cân nhắc nhà cung cấp và tìm kiếm một nhà cung cấp chuyên về các kỹ năng và trình độ đó để họ có thể tăng cường và hoàn thiện đội của bạn.
Kiến thức và khả năng bảo mật MDR
Các dịch vụ phát hiện và ứng phó được quản lý tốt sẽ có kiến thức cập nhật về tình hình bảo mật hiện tại. Họ sẽ biết về các mối đe dọa mới nổi cần nhận biết và hiểu nhiều yếu tố cơ bản thúc đẩy tội phạm mạng, bao gồm mọi hoàn cảnh địa chính trị và văn hóa liên quan. Kiến thức này – kết hợp với các kỹ năng và khả năng bảo mật của họ – sẽ bổ sung giá trị cho hầu hết các đội bảo mật nội bộ.
Sự cung cấp dịch vụ MDR và cộng tác
Bạn có thể hài lòng với chuyên môn và kỹ năng mà dịch vụ bảo mật MDR tiềm năng có thể cung cấp, nhưng chúng vẫn cần phù hợp với đội ngũ, công nghệ và tổ chức rộng hơn hiện có của bạn. Chúng cần có khả năng thể hiện sự cam kết mạnh mẽ trong việc liên lạc rõ ràng để thông tin và hiểu biết có thể dễ dàng truyền đạt giữa hai bên. Điều này sẽ giúp đội bảo mật nội bộ bắt kịp với phương pháp mới nhanh chóng hơn. Chúng cũng cần có khả năng thể hiện cam kết bảo vệ 24/7, điều này có thể giúp bảo vệ an toàn cho các hệ thống ngoài giờ làm việc bình thường của đội bảo mật.
Các giải pháp toàn diện
Cuối cùng, bạn cần tìm kiếm giải pháp bảo mật MDR đáp ứng mọi nền tảng. Một giải pháp như Kaspersky Managed Detection and Response cung cấp các công nghệ bảo vệ tiên tiến, chủ động săn tìm mối đe dọa, ứng phó tự động và có hướng dẫn, cùng với chuyên môn được công nhận toàn cầu mà bạn cảm thấy thoải mái khi khai thác. Giải pháp có thể đảm bảo không chỉ giảm thiểu rủi ro về các mối đe dọa bảo mật mạng mà còn giúp tối đa hóa việc đầu tư bảo mật CNTT của bạn vào MDR.
Kaspersky Managed Detection and Response và Kaspersky Incident Response được Quadrant Knowledge Solutions xếp hạng trong những giải pháp công nghệ hàng đầu năm 2023, một sự chứng thực về mức độ hiệu quả cao của các giải pháp này trong việc bảo vệ doanh nghiệp khỏi tội phạm mạng.
Sản phẩm được khuyến cáo:
