Les services gérés de MDR comme multiplicateur de force

En raison de l'augmentation des cyberattaques sophistiquées, de la conformité réglementaire et du manque de personnel qualifié en matière de cybersécurité, les services de détection et de réponse gérés devraient connaître une croissance annuelle de 25 %. Les services MDR proactifs apportent des analyses d'experts et des technologies avancées pour aider les organisations à améliorer leur posture de sécurité globale.

Alors que les responsables de la sécurité indiquent une évolution de la sécurité en tant que prévention vers la cyber-résilience, les services gérés de détection et de réponse apportent un mélange des deux pour renforcer les opérations de sécurité. Alors que les organisations développent leur infrastructure et leurs outils de sécurité, il y a un besoin croissant de services MDR gérés qui apportent une technologie avancée mais qui s'intègrent à vos propres systèmes.

Pourquoi votre SIEM est meilleur que "leur" plateforme

L'intégration des services MDR gérés avec votre SIEM accélère le temps de maîtrise et agit comme un multiplicateur de force pour votre posture de sécurité. Du moins en théorie, car...

• Votre personnel connaît votre SIEM. Le personnel du MSSP connaît également la technologie. Ils parlent le même langage, ce qui rend la collaboration possible dès le départ sur des bases communes.
• Parce que le MSSP fournit à son personnel des certifications et une expertise en matière de technologies de sécurité, il peut plus facilement corréler les données issues de la télémétrie, des journaux et des alertes dans l'ensemble de vos systèmes afin d'enrichir le contexte et d'éliminer le bruit. L'établissement de priorités est source de productivité pour eux et, plus important encore, d'efficacité pour votre équipe.
• Cette expertise permet également aux experts en sécurité du MSSP de fournir des escalades d'alertes avec un contexte et des conseils. Votre équipe saura quelles actions entreprendre pour contenir la menace - ou après l'avoir contenue - afin d'y remédier complètement.
• En tant qu'extension de votre équipe, le MSSP travaille à la mise à jour continue des runbooks, du contenu et des règles de détection dans votre SIEM afin de sécuriser de manière proactive vos actifs critiques contre les acteurs de menaces sophistiquées. Vous possédez cette propriété intellectuelle, vous pouvez voir les actions du MSSP dans votre environnement et vous gardez le contrôle de vos données, de vos processus et de votre environnement.

Ceci étant dit, nous avons voulu en savoir plus sur l'expérience vécue par les grandes entreprises et les PME qui externalisent leurs services de MDR. Pour le savoir, nous nous sommes entretenus avec des RSSI et des responsables de la sécurité de différents secteurs d'activité qui ont évalué ou changé de MSSP au cours des 12 à 18 derniers mois.

Les services MDR gérés peuvent présenter des lacunes en matière de sécurité

Tout d'abord, nous avons voulu savoir où les services MDR gérés laissaient les responsables de la sécurité dans l'embarras. Vous trouverez ci-dessous les frustrations exprimées par certains responsables de la sécurité au sujet des MSSP avec lesquels ils ont travaillé récemment.

Manque de transparence.

"Ils étaient inflexibles et opaques en ce qui concerne les règles qu'ils appliquent, la façon dont ils ingèrent et interagissent. Nous leur envoyions des données et c'était presque comme une boîte noire. Notre équipe interne ne pouvait donc pas vraiment collaborer avec eux de manière significative". Responsable principal de l'ingénierie de la sécurité, secteur de l'énergie

Faux positifs excessifs.

"La plupart des alertes qu'ils nous envoient sont des faux positifs. Parfois, je reçois des centaines d'e-mails d'affilée concernant exactement le même comportement. Nous leur disons de ne pas s'en préoccuper, mais la semaine suivante, nous recevons la même centaine de courriels d'affilée à propos du même comportement. C'est comme s'ils n'apprenaient pas à connaître notre environnement". Vice-président de la sécurité et de l'informatique, Technologie

Manque de données significatives.

"Il était impossible d'obtenir des données significatives sur les vrais positifs par rapport aux faux positifs, sur le temps nécessaire à la détection et à la remédiation, en fait sur toutes les données significatives fournies par le service. Ils assuraient également la maintenance de la technologie, mais nous ne pouvions pas obtenir de données sur ce qu'ils faisaient pour maintenir la technologie ou sur le type d'améliorations qu'ils apportaient." Directeur de l'ingénierie de la sécurité, services financiers

Manque de performance.

"J'ai commencé à faire un audit des événements et des journaux et j'ai découvert que notre principal IDP avait cessé d'envoyer des événements à notre SIEM il y a cinq mois. Ils ne l'ont pas remarqué, et notre équipe de sécurité non plus, mais le fait que notre partenaire en matière de journalisation et d'analyse n'ait pas remarqué que leur principale source de sécurité venait d'arrêter de produire des journaux..." Vice-président de la sécurité et de l'informatique, Technologie

Perte de propriété intellectuelle.

"Notre plateforme SIEM appartenait au MSSP, et lorsqu'il est parti, il a emporté avec lui toutes les règles et le contenu. Nous n'allons pas recommencer. Nous devons maintenant recréer tout cela. À partir de maintenant, nous serons propriétaires de la plateforme et du contenu. Le MSSP que nous choisirons fonctionnera dessus". Directeur principal de l'ingénierie de la sécurité, secteur de l'énergie

Ce que les responsables de la sécurité attendent des services MDR gérés

Maintenant que nous savons ce qui frustre les dirigeants au sujet des services MDR gérés, nous avons analysé les conversations afin d'extraire les points clés qui ont fait l'objet du plus grand nombre d'accords au cours de nos conversations avec eux.

Vous trouverez ci-dessous les six éléments que les responsables de la sécurité ont convenu d'attendre des MSSP pour leurs services MDR gérés.

• Composants clés pour le MDR géré.

Les responsables de la sécurité s'accordent à dire que parmi les éléments clés d'un bon service de MDR géré figurent la surveillance 24/7 des événements de sécurité, la réponse aux incidents et l'analyse des causes profondes, le confinement des appareils et des comptes. Parmi les autres services qu'ils apprécient particulièrement figurent la chasse aux menaces et le renseignement, ainsi que la gestion des vulnérabilités.

• Assistance technique en matière de détection.

Les responsables de la sécurité voulaient un MSSP capable de mettre à jour les règles SIEM et d'adapter l'outil. Cela inclut la création de contenu et de runbooks basés sur les menaces pertinentes pour leurs environnements spécifiques. Une aide active aux modèles de menaces au niveau de l'entreprise était également intéressante.

• Honnêteté sur les capacités.

Les responsables de la sécurité apprécient un fournisseur qui est honnête et transparent sur ses capacités avec le SIEM spécifique de l'organisation et la pile technologique. Cela inclut l'admission des cas où le MSSP ne peut pas fournir un service ou son expertise dans la recommandation d'une solution alternative ou d'un partenaire pour une tâche spécifique.

• Contrôle du SIEM et des données.

Un thème récurrent chez les responsables de la sécurité est le désir de garder le contrôle de la plateforme de sécurité, des données et de leur propriété intellectuelle. Ils veulent avoir accès aux règles et aux configurations et les rendre transparentes. Ils souhaitent vivement superviser ou co-concevoir leurs opérations de sécurité. Ils n'aiment pas du tout les processus de type "boîte noire". Ils veulent également s'assurer que les données des journaux surveillés activement soutiennent leurs cas d'utilisation au lieu de résider dans les données envoyées au stockage à froid.

• Transparence des activités du MSSP.

Les responsables de la sécurité veulent une visibilité et une transparence totales lorsque le MSSP accède à leur environnement et sur les actions qu'il entreprend et les processus qu'il utilise. Cela inclut l'audit des accès et des contrôles de sécurité rigoureux pour le personnel qui accède à leur environnement.

• Mesurer le succès et la valeur.

Les responsables de la sécurité ont convenu que les indicateurs clés de performance (ICP), notamment le temps moyen de détection (MTTD) et le temps moyen de réponse (MTTR), sont fondamentaux. Ils ont également inclus une mesure pour la réduction du bruit dans l'environnement et le suivi documenté des alertes nécessitant une action. Bien que le prix soit important, de nombreux dirigeants avec lesquels nous nous sommes entretenus ont déclaré que la valeur perçue grâce à l'étendue et à la profondeur des services, aux capacités avancées et à l'élaboration d'un SIEM adapté à leur environnement l'emportait sur un prix plus bas.

Votre SIEM et l'expertise d'un MSSP : Un duo pour la résilience

Dans un marché caractérisé par une innovation rapide, le choix d'un MSSP disposant de l'expertise nécessaire pour vous aider à tirer davantage de valeur de l'investissement que vous avez fait dans votre SIEM permet une évolution continue vers des opérations de sécurité plus solides. Un partenariat avec une véritable collaboration et une expertise affinée au fil des années d'expérience à travers les industries et les environnements technologiques signifie que vous serez préparé, mais aussi que vous renforcerez de manière proactive la cyber-résilience pour protéger l'entreprise.

Plutôt que de "louer" une plateforme qui vous ramène à la case départ si la relation ne fonctionne pas, construire votre pratique de sécurité sur des outils qui vous appartiennent signifie que vous ne perdrez jamais votre élan si vous avez besoin de faire un changement.

Nous vous invitons à consulter notre offre de MDR en copropriété si vous souhaitez travailler avec un MSSP différent, axé sur ce que vous voulez et ce dont vous avez besoin pour que le MDR soit un multiplicateur de force pour vos opérations de sécurité.