Để nhận được lợi ích từ Trung tâm vận hành an ninh (SOC), hầu hết các doanh nghiệp vừa và nhỏ (SMB) sẽ phải chuyển sang các dịch vụ Managed Detection and Response (MDR).

Lý do rất đơn giản: Một SOC có nhân sự đầy đủ, hoạt động 24/7 có thể dễ dàng tiêu tốn hơn 1 triệu USD và đó còn chưa bao gồm chi phí cho các công cụ mà các nhà phân tích SOC sử dụng để tìm kiếm mối đe dọa, bao gồm SIEM, SOAR và EDR.

Tuy nhiên, với MDR, các SMB có quyền truy cập vào một nhóm chuyên gia túc trực suốt ngày đêm để giám sát và ưu tiên cảnh báo, theo sát các công cụ, kỹ thuật và quy trình (tools, techniques and procedures – TTP) mới nhất của đối thủ, và nhanh chóng khắc phục mối đe dọa khi cần thiết, cùng với các chức năng khác.

Nhưng có rất nhiều nhà cung cấp MDR để lựa chọn. Để thu hẹp phạm vi các nhà cung cấp, các SMB quan tâm đến dịch vụ MDR nên đặt ra một số câu hỏi quan trọng để tìm ra nhà cung cấp phù hợp.

1. Phạm vi khả năng phát hiện và phản hồi mối đe dọa ra sao?

Dịch vụ MDR được vận hành bởi hai yếu tố chính: công nghệ và các chuyên gia vận hành công nghệ đó. Cả hai phải bổ trợ lẫn nhau. Hãy nghĩ theo cách này: Bạn sẽ không bao giờ đưa một kiếm sĩ bậc thầy ra trận với một que cây khô.

Hãy tìm một dịch vụ MDR trang bị cho các nhà phân tích hàng đầu của họ bằng EDR hàng đầu và tham khảo các bài kiểm tra độc lập (chẳng hạn như MITRE, G2 và MRG-Effitas) để xem EDR mà dịch vụ MDR của bạn sử dụng có ngang tầm với các dịch vụ khác không.

2. Họ có thực hiện bổ sung thông tin mối đe dọa qua SIEM không?

Giải pháp SIEM giúp bổ sung thêm thông tin phân tích mối đe dọa với cảnh báo từ endpoint, được liên kết với các sự kiện log và luồng mạng, cung cấp bối cảnh lớn hơn giúp nhóm MDR xác định một cách hiệu quả các mối đe dọa quan trọng và các chỉ số xâm phạm (IOC).

3. Việc triển khai và sử dụng EDR có dễ dàng không?

Để các nhà phân tích MDR thu thập thông tin bảo mật quan trọng từ các endpoint của bạn, bạn sẽ cần cài đặt các agent EDR trên máy trạm, máy chủ, v.v. Các agent EDR giám sát hoạt động trên máy chủ và gửi thông tin này về nhóm MDR.

Vì nền tảng triển khai MDR là một nền tảng đám mây đa tenant được quản lý tập trung, bạn cũng phải tạo một tài khoản dịch vụ để có quyền truy cập vào quản lý log, điều phối, phân tích thời gian thực và bảng điều khiển giao diện người dùng (UI).

Bạn sẽ muốn đảm bảo rằng nhà cung cấp của bạn cung cấp thiết lập agent EDR nhanh chóng và dễ dàng, và quy trình bắt đầu sử dụng tài khoản dịch vụ phải gọn gàng và hợp lý.

4. Họ có chuyên môn về săn tìm mối đe dọa không?

Săn tìm mối đe dọa (threat hunting) là một kỹ thuật an ninh mạng, trong đó các chuyên gia săn tìm mối đe dọa rà soát mạng, hệ thống và thiết bị để tìm ra các điểm bất thường nhằm chủ động tìm kiếm các mối đe dọa trên mạng—và đó là một phần quan trọng của giải pháp MDR hiệu quả.

Săn tìm mối đe dọa thường bao gồm hai chức năng thiết yếu trong việc cung cấp dịch vụ MDR. Đầu tiên là săn tìm mối đe dọa dựa trên nghiên cứu (research-based threat hunting), trong đó các nhà phân tích bảo mật tìm kiếm hoặc “săn” các kẻ tấn công đã biết hoặc hành vi đối kháng được liệt kê trong dịch vụ threat intelligence. Cách tiếp cận thứ hai là săn tìm mối đe dọa chủ động (active threat hunting), trong đó các nhà phân tích bảo mật có hệ thống xem xét môi trường của tổ chức để phát hiện bất kỳ hoạt động đáng ngờ hiện tại hoặc chỉ số xâm phạm (IOC) mới nào đang diễn ra.

Tùy theo cấp độ dịch vụ của MDR, họ có thể chỉ cung cấp săn tìm mối đe dọa dựa trên mối đe dọa đã được xác định, vì vậy bạn nên xem xét kỹ để chọn dịch vụ MDR cung cấp cả săn tìm mối đe dọa chủ động và dựa trên nghiên cứu.

5. Họ dự định giao tiếp với bạn như thế nào? Họ có báo cáo không?

Giao tiếp minh bạch và nhất quán, trong đó các nhà phân tích MDR chia sẻ chi tiết về các hoạt động phát hiện và phản hồi mối đe dọa của họ, là điều quan trọng cần có ở một nhà cung cấp MDR.

Là một phần của quá trình này, bạn nên nhận được các báo cáo tóm tắt mà nhà cung cấp MDR cung cấp thông qua bảng điều khiển trung tâm hoặc email. Điều này giúp bạn hiểu rõ về những gì đang diễn ra trong môi trường của mình và có cơ hội cải thiện trạng thái bảo mật của tổ chức.

6. Giá cả có hợp lý không?

Chắc chắn không có nghi ngờ gì về việc ROI (Return On Investment) của dịch vụ MDR rất lớn: nếu chúng ta giả định mỗi lỗi hoặc mối đe dọa trung bình tốn 5.000 USD để khắc phục, bạn sẽ nhận được giá trị xứng đáng nếu dịch vụ MDR của bạn có giá thấp hơn mức đó hàng tháng.

Tuy nhiên, nhiều nhà cung cấp MDR có nhiều mức giá đa dạng khác nhau. Một số có bảo mật và tính năng tốt hơn nên tính phí cao hơn, trong khi một số khác có ít tính năng hơn với giá rẻ hơn.

Tùy chọn rẻ hơn vẫn có thể đáp ứng đầy đủ nhu cầu kinh doanh của bạn—hãy cẩn trọng với những nhà cung cấp cố tình ép giá bằng cách nói rằng bạn “cần” một số tính năng nhất định. Chọn lựa chọn kinh tế hơn sẽ giúp bạn tiết kiệm rất nhiều tiền về lâu dài mà vẫn đảm bảo đủ bảo vệ cho doanh nghiệp của bạn.

Dịch vụ MDR của ThreatDown giúp đảm bảo các câu hỏi trên

ThreatDown cung cấp dịch vụ MDR được quản lý 24x7x365, giúp giám sát, điều tra và phản hồi mối đe dọa một cách nhanh chóng và hiệu quả. Với công nghệ EDR tiên tiến cùng đội ngũ chuyên gia bảo mật hàng đầu, chúng tôi đảm bảo rằng mọi mối đe dọa đều được phát hiện và xử lý kịp thời.

Từ phạm vi phát hiện và phản hồi mối đe dọa, tích hợp SIEM, triển khai EDR dễ dàng, đến khả năng săn tìm mối đe dọa chủ động và báo cáo minh bạch—ThreatDown giúp bạn có câu trả lời rõ ràng cho mọi câu hỏi quan trọng khi lựa chọn dịch vụ MDR. Thêm vào đó, chúng tôi mang đến các gói dịch vụ linh hoạt với chi phí hợp lý, giúp doanh nghiệp tối ưu hóa ngân sách mà vẫn đảm bảo mức độ bảo vệ cao nhất.

Thông tin về hãng cung cấp giải pháp

Unitas là nhà phân phối ủy quyền tại Việt Nam của các hãng công nghệ lớn của thế giới: Commvault, ExaGrid, VergeIO, Nexsan, DDN, Tintri, MinIO, LogicMonitor, Netgain, Kela, UltraRed, Quokka, Safous, Hackuity, Cyabra, Cymetrics, ThreatDown, F-Secure, OutSystems, Micas Networks …