Quer contratar um serviço terceirizado de segurança cibernética? Entenda as principais diferenças entre ofertas de MSS e MDR para não errar no investimento.
Serviços terceirizados de cibersegurança são uma alternativa viável para empresas que querem tornar suas defesas digitais mais eficientes mesmo diante de desafios como a escassez de profissionais ou falta de recursos financeiros e tecnológicos. E entre os diversos tipos de ofertas de security as a service do mercado, dois têm se destacado:
- Serviços Gerenciados de Segurança (Managed Security Services – MSS)
- Serviços Gerenciados de Detecção e Resposta (Managed Detection and Response Services – MDR)
Com as diferentes estratégias e mensagens comerciais adotadas pelos fornecedores desses serviços, é comum haver dúvida na hora de escolher entre eles. Frequentemente, a oferta de um diz abranger as competências do outro, e acaba havendo uma sobreposição que confunde o público.
Mas a própria Gartner alerta sobre essa questão. A consultoria lembra que “clientes devem ter cuidado com as reivindicações dos MSSPs tradicionais sobre sua capacidade de fornecer serviços semelhantes ao MDR. A entrega desses serviços requer tecnologias que não estão tradicionalmente no escopo do MSS, como detecção/resposta a ameaças em endpoints, análise de comportamento da rede ou ferramentas forenses”.
Além disso, é de se imaginar que o provedor de firewall, antivírus e outras medidas de prevenção não seja o melhor player para serviços de resposta a incidentes, visto que esse estaria auditando o próprio trabalho. Portanto, compreender as diferenças entre ambos é fundamental para o CISO (Chief Information Security Officer) que quer investir corretamente em uma contratação.
As definições de MSS e MDR
Conforme a demanda do mercado evolui, a linha que divide ambos os serviços está cada vez mais tênue. Mas, embora compartilhem algumas características semelhantes, serviços de Managed Security Services (MSS) e Managed Detection and Response Services (MDR) são abordagens distintas.
O próprio Gartner os classifica separadamente:
O que é MSS: “[…] monitoramento e gerenciamento terceirizados de dispositivos e sistemas de segurança. Serviços comuns incluem Firewall gerenciado, detecção de intrusões, rede virtual privada, verificação de vulnerabilidades e serviços de antivírus. MSSPs utilizam centros de operações de segurança altamente disponíveis […] para fornecer serviços 24/7 projetados para reduzir o número de funcionários de segurança que uma empresa precisa contratar, treinar e reter a fim de manter uma postura de segurança aceitável.”
O que é MDR: “Fornecedores de MDR entregam serviços de monitoramento, detecção e resposta leve aos clientes valendo-se de uma combinação de tecnologias implementadas nas camadas de host e rede, analytics avançado, threat intelligence e expertise humana na investigação e resposta. Fornecedores de MDR realizam a validação de incidentes e podem oferecer serviços de resposta remota, como contenção de ameaças e suporte para trazer o ambiente do cliente de volta a estabilidade”
Resumindo: com o MSS você tem defesas de perímetro sem necessariamente precisar adquiri-las, e a mão de obra para gerenciá-las remotamente. O foco do serviço é alertar sobre possíveis ameaças para que você decida como responder. Já com o MDR, você tem a tecnologia e mão de obra especializadas em identificar e investigar incidentes e ajudar na sua contenção (seja diretamente ou através de orientações). O foco é, como o próprio nome diz, detectar e responder às ameaças.
As principais diferenças entre MSS e MDR
Agora que o escopo de cada serviço está mais claro, vamos entender melhor o que os diferencia em termos de resultados.
Serviços de MSS tradicionais oferecem um atalho para quem precisa de infraestrutura e equipe básicas de segurança, e são uma opção valiosa nesse sentido.
Já o principal diferencial dos serviços de MDR, ainda segundo o Gartner, é sua capacidade superior de resposta. De acordo com a consultoria, “muitos compradores gravitam em direção aos fornecedores de MDR porque sua capacidade de resposta os diferenciam de muitos MSSPs. Uma resposta a incidente bem-executada requer tempo e habilidade, algo que muitas organizações simplesmente não têm, especialmente quando há múltiplas ameaças sendo detectadas em um curto período de tempo”.
Outro diferencial importante do MDR é a expertise dos analistas atuando tanto na detecção quanto nas orientações para resposta, que vão além de gerar alertas: “Investigação, análise e validação mais profundas de ameaças, juntamente com orientação aprimorada sobre como conter e mitigar a ameaça, fornecem um valor significativo para os clientes de MDR”, completa a empresa.
Por fim, um terceiro diferencial que vale a pena mencionar é que alguns fornecedores de MDR incluem Threat Hunting (“caça à ameaças”) no serviço.
Isso significa que especialistas terceirizados atuam proativamente na busca por ameaças, ao invés de aguardar alertas, utilizando ferramentas e técnicas mais avançadas (como Network Traffic Analysis – NTA, Security Analytics e recursos de Inteligência Artificial, por exemplo). Dessa forma, é possível identificar e conter ameaças mais avançadas, como Insider Threats (usuários internos maliciosos) ou ataques zero-day (até então desconhecidos e, portanto, “invisíveis” para ferramentas baseadas em assinaturas).
O mercado de Serviços Gerenciados de Detecção e Resposta
Conforme o mercado de Security as a Service evolui, muitas empresas vêm criando ofertas de serviços gerenciados de detecção e resposta. Há casos de fabricantes já bem-estabelecidos adicionando MDR ao seu portfólio, bem como novos players que entram no cenário focados desde o começo nesse tipo de serviço. Veja alguns exemplos:
Na hora de contratar, mantenha os diferenciais que citamos em vista: o que sua empresa precisa? Mais awareness e infraestrutura básica de segurança? Mais agilidade e precisão na resposta a incidentes? E como sempre, questione os proponentes sobre as expectativas e solicite uma demonstração de valor.