MDR和4个堆栈
在选择MDR服务时,首先要做出的一个重大决定是,你是希望供应商提供产品堆栈,还是喜欢使用你自己的MDR堆栈。有四种主要方法需要考虑。
- 自带堆栈(BYOS):在BYOS模式中,你知道你想要哪种产品,或者,在监管要求的情况下,需要哪种产品,并且你正在寻找一个能够完全在你自己的堆栈上工作的MDR供应商。这是一种受已经部署了他们喜欢的产品的公司欢迎的方法,也是为监管或其他监督目的必须使用特定工具的实体的方法;
- 供应商提供:MDR供应商使用来自已知和值得信赖的供应商的软件,然后为你实施和管理。对于没有一套工具的公司或希望改变其堆栈的公司,这是一个很好的选择;
- 供应商自建:这是一个常见的模式,即供应商在其自己的工具上分层提供MDR。这种方法通常对所使用的产品之间的整合有最好的回报,因为它们都是来自同一个供应商。但是,如果您的组织想更换产品或服务提供商,这也可能导致严格的锁定;
- 混合式:这种选择混合了两个模式的优点。许多公司选择一个能够支持内置/提供 的MDR 软件之间适当平衡的供应商。
MDR服务选择标准
一旦你确定了最佳堆栈模式,就该考虑你想要的MDR服务了。要做到这一点,首先要重新审视你雇用MDR供应商的目标。下面是一些最常见原因的简短清单。这是一个很好的起点,可以加入你自己的独特要求。
- 现有团队扩大:对于小公司来说,扩容可能意味着成立安全团队。但即使是较大的公司也会采用MDR,理由有很多,包括在雇用人员无法跟上步伐时提供保障,以及在评估警报和寻找入侵指标(IOCs)时充当第二双眼睛;
- 主动威胁搜寻:大多数安全运营中心(SOC)的分析员都会追踪警报和IOC,这两者都是定义上的反应性。如果你想更积极主动,但没有专业知识,可以看看MDR供应商的威胁猎取技能,以及其发现攻击迹象的能力。
- 集成威胁情报:有大量的威胁情报反馈,但没有时间使用它们?MDR供应商可以通过提供与您的组织和网络相关的汇总和策划的威胁情报源来提供帮助。许多供应商在其产品中提供综合威胁情报,以使端点保护代理对未知攻击作出更多反应。
- 警报源的相关性:如果你的部分问题是SOC中的传感器和警报反馈太多,而且没有办法将它们联系在一起,那么能够收集和关联的供应商可能适合你。只要确保供应商熟悉你的组织正在使用的产品,并有连接器将适当的信号带入其仪表盘或控制台上。
- 随时随地工作端点可见性:如果掌握你的端点是你的首要任务,寻找一个专门从事端点的供应商。不要忘记确保他们能够覆盖与你有关的端点,包括笔记本电脑、手机和服务器。大多数供应商在笔记本电脑上覆盖Windows系统,在移动设备上覆盖iOS/Android系统,但如果你是一家Mac或Unix商店,不要忘记确认它们也被覆盖。
- 修复和响应:MDR中的 "R "是采用MDR的主要动力之一。确定你希望补救行动有多大的侵入性,并确保你的供应商能以你需要的水平提供服务。
做出正确判断选择MDR服务
掌握了堆栈、目标和服务问题的答案,你就可以建立你的提案请求(RFP)并联系供应商。即使你不想进行正式的招标,也一定要把你想要的东西写下来,因为这将在两个重要方面有所帮助。首先,它将帮助供应商回应你的具体要求,而不是听从可能与你的情况不相关的模板式回应。第二,一旦供应商的推介开始,征求意见书将帮助你评估响应,并确定最佳的供应商。
无论你的公司是大是小,找到合适的MDR合作伙伴可以帮助提高组织的弹性,减少响应时间,使你的公司更安全。