Sự gia tăng của EDR và MDR, ý nghĩa của chúng đối với security team

Sự gia tăng của EDR và MDR, ý nghĩa của chúng đối với security team

January 9, 2019 | vietsunshine

Endpoint Detection Response (EDR) được thiết kế để liên tục theo dõi và đối phó với các mối đe dọa internet tiên tiến.

Managed Detection and Response (MDR) là một dịch vụ an ninh mạng được quản lý thường cung cấp dịch vụ 24/7 để phát hiện, ứng phó và khắc phục mối đe dọa.

Cùng với sự xuất hiện của IoT là sự mở rộng sử dụng di động và các thiết bị kết nối trong môi trường doanh nghiệp. Ngày này, endpoint đã trở thành con đường phổ biến nhất để tội phảm mạng tấn công vào một mạng lưới của tổ chức. Điều này dẫn đến sự gia tăng của EDR.

Theo báo cáo của ESG Research, 87 phần trăm các tổ chức có kế hoạch mua một bộ bảo mật điểm cuối toàn diện bao gồm phòng ngừa tiên tiến cho EDR.

Ngoài EDR, một xu hướng khác đang phát triển lặng lẽ nhưng không kém phần dữ dội là quản lý phát hiện và phản ứng (Managed Detection and Response – MDR). Hai thuật ngữ trông giống nhau nhưng khác nhau rất nhiều về nhiều mặt. Trên thực tế, Gartner ước tính “MDR là một thị trường xấp xỉ 100 triệu đô la trong năm 2017, tăng trưởng với tốc độ hơn 15% mỗi năm.”

Từ EDR tới MDR

EDR có thể ghi lại và lưu trữ các truy vấn, hành vi và sự kiện trên các endponit, cho phép các nhóm bảo mật phát hiện và điều tra các hoạt động đáng ngờ. Khi một cuộc tấn công được phát hiện, khách hàng muốn biết nguyên nhân gốc rễ là gì và nó lây lan như thế nào – EDR là một công cụ hữu ích cho việc này.

EDR cũng cho phép nhóm CNTT trả lời và giải quyết các vấn đề nhanh hơn. Hãy tưởng tượng nếu nhóm muốn biết có bao nhiêu thiết bị trong tổ chức đang sử dụng một phần mềm dễ bị tổn thương cụ thể hoặc đã truy cập một tên miền xấu, EDR có thể giúp nhanh chóng khởi chạy truy vấn vào tệp và mạng được thu thập và xử lý các sự kiện trong môi trường IT hoặc OT.

Tuy nhiên, khi các tổ chức mở rộng, họ cần có một đội ngũ lớn hơn và nhiều kỹ năng kỹ thuật hơn. Thật không may, thị trường không tạo ra các chuyên gia bảo mật nhanh như bối cảnh CNTT đang thay đổi đòi hỏi. Theo nghiên cứu The 2017 Global Information Security Workforce (GISW) của Frost và Sullivan đã phát hiện ra rằng, hai phần ba trong số gần 20.000 người được hỏi cho biết các tổ chức của họ thiếu số lượng chuyên gia an ninh mạng cần thiết cho các mối đe dọa ngày nay. MDR đã nổi lên để lấp đầy khoảng trống kỹ năng an ninh mạng này.

MDR để tăng cường bảo mật hiện có

Thứ nhất, về bản chất, MDR được cung cấp bởi các nhà cung cấp bảo mật để gia tăng cơ sở hạ tầng bảo mật hiện có và giải quyết các mối đe dọa có thể vượt qua các kiểm soát truyền thống của tổ chức. Các mối đe dọa thời hiện đại như tấn công mạng, tấn công nhắm mục tiêu, tiền điện tử, fileless malware và các công cụ truy cập từ xa được thiết kế để khó phát hiện và phá vỡ nhiều loại công nghệ bảo mật.

Điều này là do nhiều tổ chức tập trung vào bảo mật các vành đai, đó là để biết đâu là nơi các mối đe dọa xâm nhập và thoát khỏi mạng lưới của doanh nghiệp. Họ thường ít quan tâm hơn tới việc các mối đe dọa đã làm gì khi xâm nhập vào hệ thống.

Mặc dù EDR bổ sung cho phần mềm diệt virus truyền thống, nhưng nó không thay thế hoàn toàn. Nó hoạt động cùng với chống vi-rút và chặn các chỉ số mối đe dọa đã biết. Kiểm soát an ninh truyền thống không được trang bị để xử lý các loại mối đe dọa bí mật này, đặc biệt là các mối đe dọa cần phát hiện và phản ứng liên tục. Mặc dù EDR cung cấp một cách hiệu quả để thực hiện phân tích nguyên nhân gốc rễ về các sự cố và xác định các thiết bị bị nhiễm, nhưng nó không thể chặn các mối đe dọa ngay từ đầu.

Thứ hai, MDR có thể được tùy chỉnh để phù hợp nhu cầu của tổ chức. Quan trọng hơn, MDR cũng có thể xác định các điểm yếu nằm ở đâu trong một chiến lược bảo mật của tổ chức.

MDR kết hợp các khả năng bảo mật tiên tiến để ngăn chặn các mối đe dọa với sự trợ giúp của Trí tuệ nhân tạo (AI) để sàng lọc một lượng lớn dữ liệu. Khả năng AI giúp giảm rủi ro và tự động hóa các phản hồi, điều này cho phép thông tin dễ dàng lưu chuyển trên tất cả các lớp của IT stack. Những cải tiến này làm giảm thời gian phân tích và giảm gánh nặng cho các tổ chức tận dụng MDR.

Làm thế nào để MDR và EDR làm việc cùng nhau?

Một số dịch vụ EDR có thể có các công nghệ tiên tiến như học máy và phân tích hành vi, đồng thời tích hợp các công nghệ khác. Do sự phức tạp của công nghệ EDR, một số nhóm CNTT nội bộ không có kỹ năng hoặc thời gian để tối đa hóa EDR, khiến nhiều chức năng và khả năng không được sử dụng. MDR sau đó đi vào để thu hẹp khoảng cách kỹ năng và tài nguyên trong việc triển khai các giải pháp EDR phức tạp. Khi được sử dụng cùng nhau, EDR cung cấp các công cụ mạnh mẽ để triển khai bảo mật toàn diện, MDR có thể khai thác để phát hiện, phân tích và phản hồi.

(Dịch theo bài viết của Nilesh Jain, Phó chủ tịch khu vực Đông Nam Á và Ấn Độ của Trend Micro)

Tags: ,