Nestačí dostať alert. Pri kyberútoku rozhoduje rýchla reakcia

BVF MTTR nahladovy obrazok

Mnohé firmy dnes majú EDR, SIEM, logy aj bezpečnostné notifikácie. To je dobrý základ, no pri incidente rozhoduje správna reakcia, teda kto tieto signály vyhodnotí a kto dokáže rýchlo konať. A to aj v noci, cez víkend alebo počas dovoleniek. Odpoveďou môže byť riadená detekcia a reakcia MDR.

Kybernetické útoky sa neriadia pracovným časom. Útočník nečaká, kým bude mať interný IT tím plnú kapacitu, kým sa niekto pozrie do konzoly alebo kým sa po víkende otvorí e-mail s upozornením.

Aj preto sa v bezpečnosti čoraz viac hovorí nielen o tom, či firma hrozbu zachytí, ale najmä o tom, ako rýchlo ju zachytí a ako rýchlo na ňu dokáže reagovať.

V praxi tu vstupujú do hry dve dôležité metriky: MTTD a MTTR.

MTTD — Mean Time to Detect — označuje priemerný čas, ktorý uplynie, kým firma hrozbu odhalí.
MTTR — Mean Time to Respond — hovorí o tom, ako dlho trvá, kým po odhalení incidentu príde prvý relevantný reakčný krok. Môže ísť napríklad o izoláciu endpointu, zablokovanie škodlivej aktivity alebo eskaláciu incidentu bezpečnostným expertom.

Tieto dve skratky môžu v praxi rozhodovať o rozsahu škody. Rýchla detekcia bez reakcie nestačí. A rýchla reakcia na incident, ktorý si nikto nevšimol včas, prichádza neskoro.

Alert nie je reakcia

Mnohé organizácie už dnes investovali do moderných bezpečnostných nástrojov. Majú EDR, SIEM, logy, dashboardy a notifikácie. To všetko je dôležité, pretože bez viditeľnosti sa bezpečnosť robiť nedá. Lenže samotný alert incident nevyrieši.

Ak systém v sobotu o druhej ráno upozorní na podozrivú aktivitu, nasleduje zásadná otázka: kto s tým niečo urobí? Sleduje alert niekto v reálnom čase? Vie ho vyhodnotiť? Má oprávnenie konať? Môže izolovať endpoint mimo pracovného času? Alebo sa incident začne riešiť až v pondelok ráno?

Práve tu sa ukazuje rozdiel medzi tým, či má firma iba bezpečnostný nástroj, alebo aj reálnu schopnosť incidenty zvládať.

Zostaňte v obraze
a o krok pred útočníkmi.

Prihláste sa na odber nášho newslettra a každý mesiac získajte prehľad o aktuálnych hrozbách aj praktické rady, ako chrániť firmu.

Túto stránku chráni reCAPTCHA, platia Pravidlá ochrany súkromia a Zmluvné podmienky spoločnosti Google.
Loading

Prečo pri MDR rozhodujú minúty

Služby riadenej detekcie a reakcie MDR (Managed Detection and Response) vznikli ako odpoveď na problém, ktorý pozná čoraz viac firiem. Technológie síce generujú množstvo signálov, no interné tímy často nemajú kapacitu sledovať ich nepretržite, triediť ich a okamžite reagovať.

MDR preto nie je len o detekcii. Je o spojení technológie, automatizácie, threat intelligence a expertov, ktorí dokážu hrozbu vyhodnotiť a konať.

Na význam rýchlosti reakcie nedávno upozornil aj portál HackRead, ktorý publikoval porovnanie viacerých MDR poskytovateľov z pohľadu času potrebného na odhalenie a reakciu na hrozby. Dôležité je povedať, že nejde o nezávislý laboratórny test, ale o porovnanie verejne dostupných údajov, ktoré poskytovatelia uvádzajú na svojich webových stránkach. Aj napriek tomu článok dobre ilustruje, prečo sú MTTD a MTTR pri MDR službách také dôležité.

V tomto porovnaní bol ESET MDR uvedený s najkratším celkovým MTTR — 6 minút od detekcie po prvú reakčnú akciu. HackRead zároveň pri ďalších známych poskytovateľoch uvádza reakčné časy v desiatkach minút.

Tento výsledok netreba čítať ako univerzálne tvrdenie, že jeden poskytovateľ bude v každom scenári vždy najrýchlejší na trhu. Správnejšie je vnímať ho ako potvrdenie širšej pointy: pri MDR službách nestačí hrozbu vidieť. Treba vedieť rýchlo konať.

ESET MDR: technológia, experti a 24/7 pokrytie

Účinná kybernetická bezpečnosť nestojí iba na jednom nástroji. Potrebuje kvalitnú technológiu, globálnu viditeľnosť, automatizáciu a ľudí, ktorí rozumejú správaniu útočníkov.

ESET MDR spája 24/7 službu správy kyberbezpečnosti, kontinuálne monitorovanie, triáž, threat hunting a reakciu na incidenty. Kombinuje AI a ľudskú expertízu a pomáha firmám skrátiť čas detekcie a reakcie iba na spomínaných 6 minút.

Pre zákazníka to znamená, že bezpečnosť nestojí iba na tom, či si niekto všimne upozornenie v konzole. Za službou sú experti, procesy a nepretržité pokrytie, ktoré sú dôležité najmä vtedy, keď interný tím nemusí byť k dispozícii.

Najdôležitejšia otázka: čo sa stane po alerte?

Firmy by sa preto nemali pýtať iba na to, či majú EDR, SIEM alebo dostatok logov. Mali by si položiť praktickejšie otázky.

Ako dlho u nás trvá, kým hrozbu odhalíme? Ako dlho trvá, kým na ňu zareagujeme? Kto sleduje kritické alerty mimo pracovného času? Kto rozhoduje o izolácii endpointu v noci alebo cez víkend? Sú niektoré reakcie automatizované? A máme vôbec kapacitu odlíšiť skutočný incident od bezpečnostného šumu?

Ak na tieto otázky neexistujú jasné odpovede, firma môže mať modernú bezpečnostnú technológiu, ale stále nemusí mať zvládnutú realitu reakcie na incident.

Menej času pre útočníka znamená menšie riziko

MTTD a MTTR sú viac než len technické skratky. Sú to ukazovatele pripravenosti. Ukazujú, či firma dokáže premeniť signál na rozhodnutie a rozhodnutie na konkrétny zásah.

Ak by sa incident stal dnes v noci, kto by ho u vás riešil — a ako rýchlo by vedel zasiahnuť? Ak neviete odpovedať, je možno načase zvážiť outsourcing dohľadu nad kybernetickou bezpečnosťou vašej firmy prostredníctvom služby MDR.

BVF_MDR_banner