Valet av MDR (Managed Detection and Response)-leverantör är affärskritiskt – och svårt. Conscias SOC manager Matevž Mesojednik har drygt tio års erfarenhet av att utveckla och analysera säkerhetssystem för myndigheter och finans- och energisektorn. Här ger han handfasta råd till dig som ska välja säkerhetsleverantör.
Vilket är det största IT-säkerhetshotet?
– Idag vet vi att det största IT-säkerhetshotet är den mänskliga faktorn. Det handlar både om låg kunskap om digitala risker och oförmåga att hantera dessa. Som företag behöver du specialiserad personal med expertkompetens inom cybersäkerhet.
Finns det tillräckligt många cybersäkerhetsexperter?
– Tyvärr inte. Brist på kvalificerade experter är en av de största utmaningarna i kriget mot cyberbrottslighet. Redan 2021 pekade ISC2,världens ledande organisation inom området, på att det saknas runt tre miljoner cybersäkerhetsexperter. Många företag säkrar sina digitala tillgångar med experter utifrån genom SOC-tjänster (Security Operations Center). Ladda gärna ned vårt SOC White paper, det innehåller även topp tio frågor vid upphandling av en SOC.
Vilka tjänster frågar kunderna oftast efter?
– Efterfrågan på flexibla MDR-tjänster ökar. Flexibiliteten innebär exempelvis att kunden väljer de delar som är relevanta för dem eller kombinerar egna resurser med extern kapacitet, som kanske rycker in utanför kontorstid. Det här sker oftast i form av en månadsvis prenumeration. Det brukar också vara mest ekonomiskt fördelaktigt.
Vad ska jag tänka på när jag väljer säkerhetsleverantör?
– Noggrannhet är a och o när du väljer MDR-leverantör. Höga krav i urvalsprocessen är den enda möjligheten om vill säkerställa högsta möjliga kvalitet och service hos en säkerhetsleverantör.
– Här är några kriterier särskilt avgörande. Ta till exempel reda på att det verkligen finns tillräckligt med personalresurser i MDR-teamet för att garantera 24/7-kontroll. Respons inom en timme vid kritiska händelser kräver ett dedikerat team och säkerhetsspecialister på flera nivåer. Som kund ska bör du fråga hur många personer som ingår i teamet och om det är fysiskt möjligt för dem att hantera månadens alla pass.
Hur viktigt är MDR-teamets kompetens?
– Kompetens är absolut utslagsgivande. Här är kunskapsnivån och erfarenhet hos alla gruppens medlemmar avgörande. Det mest objektiva urvalskriteriet är teammedlemmarnas samlade certifieringar och erfarenhet, som bör uppdateras löpande.
– Teamet bör också byggas på ett integrerat sätt, så att de tillsammans kan hantera komplexiteten hos centrala MDR-tjänster såsom blue/red teaming, incident response, threat hunting, digital forensics och systemutveckling.
Hur avgör jag MDR-leverantörens kunskapsnivå?
– MDR-leverantören måste visa att de kan upptäcka och agera på relevanta händelser. En objektiv metod är löpande mitre attack mapping. Simulerade attacker, så kallade ”red teaming” är ett annat sätt att kontrollera en säkerhetsleverantör. 
Men teknik är inte den enda parametern. Också rutiner och service för att upptäcka och svara på incidenter är centrala.
Hur avgör jag leverantörens skyddsförmåga?
– Din SOC-leverantör bör löpande rapportera såväl skyddsförmåga som säkerhetsnivå och vara transparent om hur man levererar i relation till avtalad servicenivå (SLA). Som kund kan du be om realtidstatus, löpande rapporter på säkerhetsläget och rekommendationer om hur ni ska hantera digitala risker.
Här kan du lyssna på hela intervjun med Matevž Mesojednik.
Vill du veta mer om hur Conscias MDR-team arbetar?
*MDR syftar på Managed Detection and Response – utom i Frankrike. Där syftar det på något annat.
