Qual é a diferença entre serviços gerenciados de segurança (MSS) e serviços gerenciados de detecção e resposta (MDR)? Muito provavelmente as distinções entre as duas abordagens irão desaparecer em um futuro breve, mas, por hora há algumas diferenças claras e entre os serviços MSS e MDR, de acordo com Gartner.
Serviços de MSS fornecem um atalho para empresas que necessitam de equipes básicas de segurança e infraestrutura. Os serviços de MDR, por sua vez, têm uma maior capacidade de resposta. Assim, MDR torna-se atraente pois uma resposta a incidentes bem sucedida requer habilidade e tempo. Podemos destacar também que os serviços MDR contam com uma maior eficiência dos analistas tanto na detecção quanto na mitigação e resposta a incidentes.
Os serviços MSS essencialmente têm como foco alertar sobre ameaças para que a empresa tome a decisão de como se defender e fornecem defesa e mão-de-obra para gerenciá-las remotamente, sem que você tenha de contratá-las anteriormente. Os serviços MDR tem como foco a detecção e a resposta a incidentes.
A sobreposição que acontece entre MSS e MDR está se acentuando, o que aumenta a confusão no mercado e dificulta para os compradores. É preciso entender as características distintas ainda existentes entre MSS e MDR.
Quais são elas?
- Log de eventos uso de contexto interno/externo
MSS: Os dados enviados ao provedor são determinados pelo cliente.
MDR: Stack de tecnologia proprietária fornecido pelo provedor e implantada nas instalações do cliente, que está incluída no preço do serviço. - Gestão remota de dispositivos
MSS: Para os controles mais comuns é independente do fornecedor, por exemplo, firewalls, sistemas de detecção de intrusões, ou ferramentas já implantadas com o serviço MDR.
MDR: Apenas para seus próprios stacks de tecnologia, - Relatórios de conformidade
MSS: Sempre disponíveis.
MDR: Raramente disponíveis. - Comunicação para serviços
MSS: Portal e/ou e-mail são os principais meios de comunicação, com acesso secundário aos analistas fornecidos (via chat ou telefone).
MDR: Comunicação mais direta com analistas. - Suporte e resposta a incidentes
MSS: Suporte tanto remoto quanto in loco fornecidos por terceiros.
MDR: Suporte remoto geralmente incluso nos serviços ou módulos básicos, sendo o suporte in loco disponível como opção. - Contenção de incidentes
MSS: Quando remota, existe a gestão dos controles de segurança, e serviços MDR são oferecidos, como por exemplo EDR (managed endpoint detection and response).
MDR: Contenção oferecida utilizando stack de tecnologia do cliente, aproveitando scripts e APIs para realizar mudanças na programação.
Apesar dessas diferenças, a linha entre os serviços MSS e MDR está cada vez mais tênue, mas ainda assim, as distinções são mais evidentes em termos de resultados. Os dois tipos de serviços se complementam, o MSS monitora o perímetro procurando ameaças conhecidas e gerenciando ativos, mas os ataques direcionados podem facilmente passar por essa detecção, assim o MDR protege numa camada mais avançada.
