Friday, July 20, 2018

Managed Defence and Response

Есть в среде аналитиков такой устоявшийся термин - MDR.
Сам феномен этот, в целом, несложно объяснить. Ранее, когда угрозы, с которыми мы сражались были "обычными", проблема в случае аутсорсинга закрывалась предложением MSSP. Высокая эффективность MSSP обеспечивается жесткой формализованностью его бизнес-процессов, зарегулированностью и алгоритмизацией деятельности участников. Но, как конвейер пригоден для массового производства, и не работает в случае выпуска опытных образцов, так и MSSP не может быстро перестраиваться при возникновении угроз, требующих изменения подходов к управлению ими.
Сейчас мы узнали (и убедились, что целевые атаки - реальность), и эти "Продвинутые угрозы" требуют иных подходов к управлению такими угрозами. Мы заговорили об активном поиске угроз, Threat intelligence, EDR и т.п.
Перестройка зарегулированного "конвейера" MSSP требует времени, а угрозы адресовать нужно сейчас, - это создало нишу "MDR", как совокупность технологий-процессов-людей (да, то же, что и в MSSP), способную решить задачу обнаружения необнаружимого. Я фанат схемок и картинок, способствующих пониманию, поэтому вот "домики", красноречиво описывающие сказанное.

Иметь только MDR - мало, а иметь только MSSP не компенсирует все риски, поэтому, очевидно, что, справившись со своей инерцией, и наладив новый\старый конвейер по обнаруженинию "продвинутых" атак, MSSP в ближайшем будущем поглотит MDR, и, то что раньше было MDR, будет компонентом в составе предложения MSSP...


Но этот пост всего лишь о названии (а предметные рассуждения на эту тему я продолжу когда-нибудь потом)! Получившееся комплексное предлоение я бы назвал тоже MDR, но "Managed Defence & Response". Одно слово на "De" полностью меняет ситуацию. Так как мы уже не говорим только об "обнаружении", но о "защите",  что с точки зрения конечного потребителя - более ценный продукт. Но этот продукт и более сложен: он уже не является просто сервисом мониторинга над EDR (Managed EDR, MEDR) или (Managed Detection and Response, где к EDR добавляется еще что-то, помимо Endpoint-а), а где реализуются все возможные слои и циклы.
Managed Defence & Response предоставляет в первую очередь защиту, если это возможно, если невозможно - обнаружение (и автоматизированное и ручное, т.е. с активным поиском угроз), а также - реагирование. И к такому "MDR" надо стремиться, и такой смысл надо в него вкладывать, - "Defence" вместо незаконченного "Detection".

No comments: