アナリストのレンズを通して: マネージド検出および応答サービスの真の力

データ侵害の絶え間ない脅威により、組織は次の大規模な攻撃からビジネスを保護する能力を精査しています。しかし、テクノロジーだけでは、検出と対応までの平均時間を短縮することはできません。 IDC のセキュリティ サービス リサーチ プラクティスのプログラム ディレクターであり、米国のマネージド ディテクション アンド レスポンス (MDR) サービスに関する最新の IDC MarketScape 調査の著者である Craig Robinson 氏は、次のように述べています。 」 IDC MarketScape の出版物に続いて、私は Craig と一緒に座って、顧客とベンダーが MDR の背後にある真の力と見なしているものを発見しました。

Mandiant:顧客との議論と市場の見通しの両方に基づいて、MDR の最も重要な側面は何だと思いますか?

Craig Robinson: MDR について話しているときは、テクノロジーとサービスという 2 つのことについて話していることになります。私たちの観点では、人間的な側面のない MDR は本質的に XDR です。人間主導の脅威ハンティングの人間的な側面と、セキュリティ アナリストと定期的に対話する経験を積み重ねると、その人間の経験がいかに重要であり、テクノロジーを理解しているプロバイダーと協力することがいかに重要であるかを理解できます。そしてビジネス。信頼できるプロバイダーが必要であることに気付きます。

Mandiant:顧客が調査中に驚いたことは何ですか?

Craig Robinson:午前 2 時の電話を今でも望んでいるセキュリティ リーダーの数に驚きました。彼らは警告を受けたいのです。テクノロジーと MDR サービスの機能は進化し、セキュリティ リーダーが MDR プロバイダーと共に封じ込め戦略とユース ケースを考え出し、プロバイダーに任せることができるようになりました。

Mandiant:何年にもわたって最善のテクノロジを購入してきた組織は、既存のテクノロジ スタックをサポートできる MDR プロバイダを探していますか?

Craig Robinson:複雑さはセキュリティの敵だという格言がまだあります。 MDR を超えても、幅広いツールではなく、より深く、より強力な関係を築く傾向があります。セキュリティ機能を実行するために使用するツールが多ければ多いほど、より多くのツールを更新する必要があります。これは、スタッフのトレーニングを増やし、ベンダーとの関係を強化することを意味します。それは指数関数的に成長します。

さらに、パンデミック前には、リップ アンド リプレイスがより容易に行われていました。楽しんだことはありませんが、完了しました。私たちはCOVID 19のパンデミックから抜け出したばかりであり、一般的に予算が増加していることに恵まれています。 「MDR プロバイダーがこのテクノロジーをサポートしていないため、EDR プラットフォームを交換する必要がある」と言わなければならないのは高くつきます。 CFO は、以前に適切な決定を下していなかったか、完全な情報を持っていなかったため、有効期限が切れる前にライセンスを削除する必要があることを知ったとき、あまり満足していません。そのため、リッピング アンド リプレースは、2019 年のように簡単に行うことはできません。

Mandiant:あるベンダーを他のベンダーから際立たせる差別化要因は何ですか?

Craig Robinson:脅威ハンティングは差別化要因です。脅威ハンティングは、人によって意味が異なります。脅威ハンティングへの従来のアプローチは、常に事後対応型のアプローチでした。現在、プロアクティブな脅威ハンティングが見られます。これは人間のアナリスト主導のアプローチであり、インテリジェンス フィードから仮説を立てて、見逃された可能性のある攻撃の領域を探します。クライアント環境を見て、それに基づいてハントを行います。

私は、グローバルな存在感を持つ企業は、より有能な SOC チームを提供できると主張します。セキュリティ保護と対応を提供するほとんどの人は、通常、日勤で働いている方が優れていると思います。したがって、フォローザサン モデルで 24 時間 365 日サポートを提供するプロバイダーは、そうでないプロバイダーよりも有利になる可能性があります。

Mandiant:ベンダーが提供している、または顧客が要求しているユースケースの中で、最も興味深く前向きな考えを見つけたものは何ですか?

Craig Robinson:さまざまなテレメトリが取り込まれたことで、可視性が大幅に向上しました。数年前の MDR にラベルを付けたい場合は、完全な検出と対応というよりも、EDR Plus に似ていました。現在、クラウド、エッジ、IOT/OT からテレメトリを取り込むユース ケースが見られます。これは、拡張されたユースケースの観点から見ると良いことです.

Mandiant: MDR サービス プロバイダーがアラートとテレメトリを取り込むために使用するテクノロジについては、多くのことを話してきましたが、対応状況はどのようなものでしょうか?

Craig Robinson:業界として、信頼を迅速に構築するのに十分な仕事をしていないと思います。一部のベンダーは、完全な応答機能を提供していません。それでも、一部の企業は、必要な実際の修復を行うのではなく、アドバイスを提供してフェンスを越えてチケットを投げる可能性が高くなります. MDR サービス プロバイダーは、この機能を提供する必要があります。

Mandiant:以前は MDR ベンダーをマネージド セキュリティ サービス プロバイダー (MSSP) から際立たせていた修復と対応の提供。顧客の間で MSSP と MDR の間で多くの混乱が見られますか?

Craig Robinson:この調査を準備する際に、MDR を検出と応答の全機能を備えた MSSP 3.0 と定義しました。従来の MSSP はそれほどクリーンではありませんでした。現在、機械学習は、MDR にとってますます重要になっているより優れたアラート トリアージを可能にします。

Mandiant: MDR サービスの状態について、顧客が表明した懸念にはどのようなものがありますか?

Craig Robinson:コストは常に懸念事項ですが、今年は最大の懸念事項ではありませんでした。これは先行研究に遡ります。横方向の動きはあまりないようです。おそらく、以前に MDR を使用したことのない顧客が、別の MDR プロバイダーからの顧客よりも多くの顧客を獲得していることでしょう。それが起こらないという意味ではありません。

FireEye が後援する IDC Infobrief に戻ると、2021 年 1 月以降、アナリストの声: 高度なテクノロジーによるセキュリティ オペレーション センター プロセスの改善では、誤検知の数が常に懸念されています。アナリストの間のアラート疲労は、書かれていない巨大な話です。アナリストが会社を辞める理由を見始めると、これはすぐそこにあります。アナリストは、スーパーマンのマントを着て、世界を救い、悪者を止めるのが好きです。マクロを含むスプレッドシートを開いたためにたまたま Power Shell を実行した人を止めようとすると、彼らのフラストレーションが高まります。

Mandiant: MDR サービスの将来はどのようなものですか?

Craig Robinson: MDR の必要性はますます高まると思います。 MDR の機能は次のとおりです。完全な脅威の検出と対応機能のブロックと対処を提供します。これにより、企業はその希少なリソースであるセキュリティ アナリストに集中して、ビジネスと協力して規制遵守などの戦略的イニシアチブに取り組んだり、DevSecOps などの分野により注意を払うことができます。

MDR の次のイテレーションはどのようになりますか?自動化の部分にはまだ道のりがあります。封じ込めと対応のアクションをより細かく行うには、プロバイダーと顧客の間のより緊密な統合が必要だと思います。 MDR で提供されることが多い IR リテーナーとの統合がより緊密になると思います。最後に、脅威ハンティングには、平均検出時間 (MTTD) を改善する可能性がまだあると思います。 MTTD はまだ月単位で測定しています。これを下げる勢いがあります。確かに、技術はそこにありますが、適用する必要があります。

MDR の状態について時間を割いて議論してくれた Craig Robinson に特に感謝します。 FireEye は、IDC MarketScape の調査で、米国の MDR プロバイダーの中でリーダーとして認められました。 IDC MarketScape 分析の重要な基準は、顧客がベンダーの管理された検出および対応機能をどのように見ているかです。マネージド ディフェンスのお客様は、「24 時間 365 日対応のサポートは『期待を超えている』」と前向きなコメントを寄せており、さらに次のことを認めています。

  • 脅威インテリジェンスの統合、
  • 実装の容易さ、
  • プロアクティブな脅威ハンティング、および
  • 専任の脅威コンサルタント

インタラクティブな抜粋を表示して、IDC MarketScape による米国の MDR サービス市場の全体的な評価と、FireEye の詳細なプロファイルをご覧ください。

参照: https://www.mandiant.com/resources/blog/real-power-of-managed-detection-and-response-services

Comments

タイトルとURLをコピーしました