MDR: Serviço Threat Hunting, de monitorização e de resposta às ameaças cibernéticas

A cibersegurança é um tema cada vez mais prioritário devido ao impacto que pode causar. Poucas empresas têm capacidade de lidar com a perda de dados ou o longo tempo de inatividade que um ciberataque pode provocar. A ideia de investir em cibersegurança ainda não é apetecível para a maioria das empresas, mas o retorno no investimento pode ser enorme nas mãos de um bom provedor de serviços de segurança, por ser muito mais fácil obter uma proteção confiável em cibersegurança.

Nos dias de hoje é essencial as empresas terem um SOC (Security Operations Center), as empresas já não podem dar-se ao luxo de não ter uma equipa especializada a tratar das ameaças à sua infraestrutura de TI. Os MDR são providenciados por MSSPs (Managed Security Service Providers), que fazem a sua operação de identificação, investigação e mitigação em todas as camadas da infraestrutura da organização, incluindo redes, endpoints, aplicações e outros recursos de TI, mas também podem usar capacidades de threat hunting de forma proativa e eliminar as ameaças antes que se possam transformar em incidentes prejudiciais. Ter uma equipa externa dedicada exclusivamente à deteção e resposta aumenta as possibilidades de identificar ameaças que, de outra forma, poderiam iludir as equipas internas.

A procura dos serviços de MDR é também muitas vezes motivada pela possibilidade de acontecer um incidente de cibersegurança grave e não haver capacidade de resposta nem know-how para o conter/mitigar. Existem em Portugal fornecedores de serviços de cibersegurança e resposta a incidentes urgentes que já colmatam esta necessidade, uns têm serviços de subscrição de pacotes de horas anuais com esta finalidade, que quando não usadas podem reverter em testes de intrusão, exercícios de red & blue team, outros por subscrição just-in-time na altura do incidente e que disponibilizam equipas multifacetadas e especializadas na resposta a incidentes graves em articulação com os órgãos responsáveis, para uma abordagem 360º célere e eficiente.

Os MDR são conhecidos por colocar a segurança do endpoint (XDR) no centro de seus serviços. 

O SOCaaS (SOC as a Service) é o novo conceito emergente, que executa fluxos de trabalho de deteção e resposta semelhantes ao MDR, mas em vez de se focar nas plataformas de proteção de endpoint, normalmente coloca através da cloud o SIEM (Security Information Event Management) no epicentro.

Os SOCaaS nacionais apresentam já uma boa alternativa, pois também dispõem equipas CSIRT especializadas em serviços de resposta a incidentes, threat hunting, análise forense, engenharia inversa e threat-intelligence assentes em processos com maturidade e reconhecimento além-fronteiras.

Curiosamente, já se verifica a tendência de empresas internacionais virem contratar este tipo de serviços a Portugal por oferecerem as mesmas valências em termos de qualidade de serviços de prevenção e resposta a incidentes graves, a preços mais competitivos, o que beneficia muito o ecossistema português de cibersegurança. 

Conteúdo co-produzido pela MediaNext e Noesis.