Cómo determinar el modelo de ciberseguridad mejor gestionado para usted


En el entorno actual, plagado de amenazas que van desde estafas de phishing hasta violaciones de datos y ataques de ransomware graves, las organizaciones tienen la tarea poco envidiable de tratar de protegerse contra una gran cantidad de amenazas en línea y hacerlo de la manera más eficiente y rentable posible.

Dos opciones populares para la ciberseguridad administrada incluyen el modelo de proveedor de servicios de seguridad administrada, o MSSP, y el modelo de detección y respuesta administradas, o MDR. He tenido la ventaja de trabajar en ambos modelos dentro del sector gubernamental y comercial, lo que me ha permitido ver qué funciona y qué no, y lo más importante, por qué.

¿Cuál es la diferencia entre MSSP y MDR?
A menudo me refiero a los MSSP como un servicio personalizado. Normalmente, en el modelo MSSP, el proveedor utiliza las herramientas que tiene un cliente para proporcionar un servicio. La solución tiende a ser independiente de las preferencias del proveedor y está muy adaptada a las herramientas e infraestructura existentes del cliente. (En mi publicación anterior, «Optimización de su proveedor de servicios de seguridad administrados», examino más en profundidad las diversas formas en que se puede adaptar un acuerdo MSSP). Los MSSP tradicionalmente son menos prácticos cuando se trata de lidiar con un incidente. Supervisan las alertas y las reenvían al equipo de seguridad del cliente para resolverlas o se manejan a través de un anticipo.

Con el modelo MDR, el cliente envía sus datos a la pila seleccionada del proveedor. Las alertas que recibe el cliente se basan en lo que entrega la pila del proveedor. Hay menos personalización que con el modelo MSSP porque los clientes aprovecharán la pila del proveedor.

Los proveedores de MDR suelen utilizar una plataforma multiusuario administrada de forma centralizada para la prestación de servicios. Pero tampoco es necesario «extraer y reemplazar» lo que los clientes tienen internamente porque están subcontratando eficazmente la detección de amenazas y la respuesta a un proveedor externo. Los proveedores de MDR también realizan una buena parte del proceso de respuesta a incidentes para incluir investigaciones más profundas y la validación de un ataque, así como tomar acciones para interrumpir o contener la amenaza.

¿Qué opción es la adecuada para mí?
Las empresas u organizaciones con sistemas complejos pueden necesitar un servicio MSSP personalizado. Si una organización está fuertemente regulada y no quiere que los datos salgan del edificio, como una organización que maneja habitualmente información confidencial, incluidos bufetes de abogados o ciertas agencias gubernamentales y contratistas, es posible que necesite los aspectos personalizados de MSSP. Por el motivo que sea, si una empresa tiene una gran necesidad de depender de sus propias herramientas y equipos, pero no tiene el individual disponible, es posible que necesite un MSSP. Solo espere pagar más por ese nivel de servicio.

MDR es una solución más optimizada, al menos desde la perspectiva del proveedor. Desde la perspectiva del cliente, también suele ser la solución más rentable. Las empresas que están experimentando una escasez de talento cibernético, tienen lagunas o problemas con las herramientas existentes, o se centran solo en utilizar un conjunto unique de datos frente a otro, podrían beneficiarse del modelo MDR.

Los problemas con las herramientas pueden incluir la falta de experiencia, lo que se traduce en un equipo de seguridad abrumado por la cantidad de alertas que no puede priorizar, una escasez de analistas capacitados para usar correctamente esas herramientas o una falta de automatización que aproveche la IA / ML. para identificar las verdaderas amenazas a su entorno y permitir que los analistas se concentren en las más importantes. Para ser eficaz, el proveedor debe asegurarse de que los analistas tengan visibilidad de los sistemas que se encuentran en las instalaciones del cliente, así como en la nube.

Las eficiencias de usar la pila de un proveedor no solo están relacionadas con los costos. Con el modelo MDR, el proveedor puede normalizar los datos en los conjuntos de clientes, por lo que tiende a tener una mejor visibilidad para encontrar una amenaza que está afectando a un cliente y luego aplicar inmediatamente una regla a todos los clientes. En última instancia, el proveedor puede detectar y responder de manera más rápida y eficiente a todos esos clientes. Ese beneficio de regla común no es algo que se encuentre en un arreglo de MSSP más personalizado. Además, las empresas tampoco tienen que preocuparse por ajustar las alertas en un arreglo de MDR porque dependen de las herramientas y la experiencia del proveedor.

Si bien el cliente tendrá menos command directo de las herramientas que detectan y administran la respuesta a las amenazas, el uso por parte del proveedor de una pila de tecnología seleccionada junto con inteligencia de amenazas, análisis avanzados y validación de amenazas conduce a mejores resultados de seguridad para una organización.

Pasos para evaluar las opciones de MDR y MSSP
Paso 1: determinar los requisitos y los servicios deseados.

Como se mencionó, si una empresa requiere un soporte más amplio (como la administración de dispositivos), tiene ciertas restricciones de residencia de datos o no tiene un own sólido y herramientas en el lugar, eso conduciría a un tipo de servicio frente a otro.

Paso 2: elige el modelo correcto.

¿Una organización ya tiene ciertas herramientas (por ejemplo, EDR) y desea conservarlas, o necesita una pila de tecnología completa? ¿Tiene un equipo de seguridad y solo necesita algún aumento, o está buscando un proveedor para realizar investigaciones de extremo a extremo y acciones de remediación? Los proveedores pueden ejecutar todo el espectro del nivel de servicio que ofrecen, así que asegúrese de que coincida con lo que necesita la empresa.

Paso 3: Elija el servicio necesario.

El uso de un MDR para llenar las brechas de habilidades y tecnología o un MSSP para proporcionar analistas capacitados que pueden aprovechar una gran pila de tecnología son dos métodos que las organizaciones pueden explorar para obtener el mejor resultado de seguridad.

En Raytheon Intelligence & Area, tenemos un cuestionario de alcance de 30 preguntas para comprender lo que buscan los clientes. Obtenga más información sobre la gama completa de servicios MSSP de Raytheon Intelligence & Area.

Sobre el Autor: Dylan Owen, director asociado de servicios cibernéticos, Raytheon Intelligence & House

Dylan_Owen_headshot_ (150x125_pixeles) .jpg

Dylan Owen tiene casi 20 años de experiencia en ciberseguridad. Como director asociado de servicios cibernéticos, Dylan ofrece detección y respuesta gestionadas a clientes gubernamentales y comerciales. Anteriormente, Dylan apoyó a la Agencia Nacional de Inteligencia Geoespacial, incluida la gestión de su programa de monitoreo de amenazas internas y CERT.



Enlace a la noticia unique