Langsung ke konten utama

Perbandingan layanan

MDR vs MSSP: apakah provider merespons, atau hanya mengirim notifikasi?

Ringkasnya

MSSP, managed SOC, dan MDR sama-sama menawarkan keamanan outsourced, tetapi hanya satu yang menjamin provider bertindak saat insiden. Cara mengetahui mana yang Anda beli.

Security monitoring

MDR dan MSSP muncul dalam dokumen RFP yang sama, artikel perbandingan yang sama, dan sering kali dalam pertemuan penjualan yang sama. Tambahkan managed SOC, dan Anda punya tiga label yang sama-sama menggambarkan operasi keamanan yang dialihdayakan, sering kali untuk layanan yang tampak identik di atas proposal. Perbedaan yang penting bukan pada labelnya, melainkan pada apa yang dijanjikan kontrak ketika sesuatu benar-benar terjadi.

Halaman ini membahas pertanyaan MSSP vs MDR secara langsung terlebih dahulu, lalu menempatkan managed SOC di antara keduanya, dan ditutup dengan cara memilih berdasarkan tim, perkakas, dan ekspektasi respons yang sudah Anda miliki.

Tiga label itu, secara ringkas

MSSP

Managed Security Service Provider, payung yang luas. Operasi keamanan yang dialihdayakan, bisa berarti apa saja, dari pengelolaan firewall dan perangkat hingga pemantauan. Cakupannya sangat beragam, jadi labelnya sendiri tidak banyak memberi tahu apakah ada yang berburu ancaman atau merespons.

Managed SOC

Security Operations Center yang dijalankan untuk Anda: orang, proses, dan perkakas yang fokus pada pemantauan dan deteksi sepanjang waktu. Ia dapat diandalkan untuk memberi tahu bahwa ada yang tidak beres. Sejauh mana ia masuk ke ranah respons bergantung pada kontrak.

MDR

Managed Detection and Response, dibangun di sekitar sisi respons. Deteksi ditambah penahanan aktif, dengan tim yang tidak sekadar memunculkan alert tetapi bertindak menghentikan ancaman, biasanya disertai threat hunting.

Satu perbedaan yang menentukan

MDR didefinisikan oleh respons. Provider tidak hanya mendeteksi ancaman dan memberi notifikasi. Ia bertindak untuk menahan ancaman tersebut. Tindakan itu bisa berarti mengisolasi endpoint, memblokir upaya pergerakan lateral, atau mencabut kredensial yang dikompromikan. Respons adalah bagian dari apa yang Anda beli, bukan eskalasi opsional.

MSSP adalah label yang lebih luas. Intinya berarti operasi keamanan yang dialihdayakan, dan ruang lingkupnya adalah apa yang tertulis dalam kontrak. Sebuah MSSP mungkin mencakup respons aktif dan penahanan, atau mungkin hanya memberikan pemantauan, notifikasi, dan antrian yang harus dikerjakan tim Anda. Keduanya bisa menyebut diri mereka MSSP dengan benar.

Konsekuensi praktisnya: ketika ancaman muncul jam 3 pagi, layanan MDR mengirim analis yang bertindak. Layanan alerting saja mengirim notifikasi yang harus ditanggapi oleh seseorang di pihak Anda. Perbedaan ini bukan soal tingkatan harga. Ini adalah perbedaan struktural dalam cakupan perlindungan yang Anda beli.

Mengapa "MSSP" adalah label yang ambigu

MSSP menjadi istilah umum sejak awal pasar keamanan terkelola. Manajemen firewall adalah MSSP. Agregasi log adalah MSSP. Tim deteksi dan respons penuh juga dipasarkan sebagai MSSP oleh beberapa provider. Gartner Market Guide for Managed Security Services telah mencatat variasi label ini selama bertahun-tahun, dan itulah mengapa pertanyaan "MSSP vs MDR" layak ditanyakan sejak awal.

MDR muncul sebagian sebagai cara untuk menandai layanan yang mengutamakan respons dengan lebih jelas. Tetapi labelnya pun belum terstandarisasi. Provider yang hanya menawarkan pemantauan dan jalur eskalasi lambat masih bisa menyebutnya MDR. Kata saja tidak cukup. Kontrak adalah yang menentukan.

Di mana posisi managed SOC di antara MSSP dan MDR

Managed SOC adalah kasus di tengah, dan layak dibahas tersendiri karena label ini paling sering dipakai untuk layanan yang bisa jatuh di kedua sisi garis respons.

Yang dapat diandalkan dari managed SOC adalah fungsi deteksinya: telemetri dikorelasikan di satu tempat, analis bekerja bergiliran sepanjang waktu, dan triase dilakukan sebelum apa pun dieskalasikan ke Anda. Itu sudah lebih dari pembacaan MSSP yang paling sempit, di mana provider mengelola perangkat dan meneruskan alert apa pun yang dihasilkan perangkat tersebut. Dari managed SOC, Anda menerima insiden yang sudah diperiksa manusia, bukan keluaran mentah dari alat.

Perbedaan antar layanan managed SOC muncul pada apa yang terjadi setelah triase. Sebagian berhenti pada investigasi dan eskalasi: analis memastikan ancamannya nyata, melampirkan konteks, lalu menyerahkannya ke tim Anda untuk ditahan. Bagi organisasi yang memegang proses responsnya sendiri, itu bisa jadi cakupan yang tepat. Sebagian lain menyertakan penahanan, dan pada titik itu layanannya secara fungsional adalah MDR, apa pun sebutan di brosurnya.

Jadi model yang bertahan dalam praktik adalah spektrum, bukan tiga kotak terpisah. Di satu ujung ada pengelolaan perangkat dan penerusan alert. Di tengah ada managed SOC: korelasi, triase, dan investigasi, dengan respons sebagai opsi kontrak. Di ujung lainnya ada MDR, di mana penahanan adalah bagian dari definisi layanan. Pertanyaan kontrak di bawah ini berlaku untuk ketiganya, karena yang diuji adalah posisi layanan pada spektrum itu, bukan namanya.

Cara membaca kontrak untuk mengetahui mana yang Anda beli

Tiga klausul kontrak yang membedakan layanan alerting dari layanan respons, terlepas dari akronim apa yang tertulis di halaman depan.

Yang pertama adalah SLA respons. Periksa apakah ia menjanjikan time-to-contain atau hanya time-to-notify. Time-to-notify berarti provider akan memberi tahu Anda bahwa sesuatu terjadi dalam jangka waktu tertentu. Time-to-contain berarti provider berkomitmen untuk menghentikan penyebaran dalam jangka waktu tertentu. Ini adalah kewajiban yang berbeda. Jika SLA hanya menyebutkan notifikasi, tim Anda masih bertanggung jawab atas semua yang terjadi setelah notifikasi tersebut tiba.

Yang kedua adalah kewenangan penahanan. Layanan respons membutuhkan kewenangan eksplisit untuk bertindak pada sistem Anda, mengisolasi host, mengkarantina file, atau memblokir koneksi, tanpa menunggu persetujuan Anda untuk setiap tindakan. Jika kontrak memerlukan tanda tangan Anda sebelum langkah penahanan apa pun, waktu respons efektif adalah waktu respons Anda, bukan waktu respons provider.

Yang ketiga adalah cakupan di luar jam kerja. Periksa apakah komitmen respons berlaku 24 jam sehari atau hanya selama jam kerja. Serangan tidak menghormati jadwal kantor, dan SLA respons yang turun ke pemantauan saja pada akhir pekan atau hari libur bukan SLA respons dalam pengertian yang bermakna.

Apakah SLA menyebutkan time-to-contain atau hanya time-to-notify?Apakah provider berwenang bertindak tanpa persetujuan Anda setiap kali?Apakah komitmen respons berlaku 24/7 atau hanya jam kerja?Siapa yang menangani insiden di luar jam kerja?Apa tanggung jawab provider jika penahanan gagal?

Perbandingan langsung

 MSSP (cakupan alerting)MDR (cakupan respons)
Ruang lingkup layananPemantauan, deteksi, dan notifikasi. Ruang lingkup respons bervariasi per kontrak dan mungkin tidak termasuk.Pemantauan, deteksi, dan respons aktif. Penahanan adalah bagian dari definisi layanan.
Siapa yang bertindak saat insidenTim Anda, bekerja berdasarkan notifikasi yang dikirim MSSPAnalis provider, dengan kewenangan untuk menahan ancaman
SLA responsUmumnya time-to-notify: komitmen tentang kapan Anda diberitahuTime-to-contain: komitmen tentang kapan ancaman dihentikan
Kewenangan penahananBiasanya memerlukan persetujuan Anda sebelum tindakan diambilProvider memiliki hak penahanan yang telah diotorisasi sebelumnya pada kelas aset tertentu
Cakupan di luar jam kerjaBervariasi: pemantauan mungkin berlanjut tetapi respons aktif mungkin tidakKomitmen respons berlaku sepanjang waktu
Kepemilikan alatProvider dapat mengoperasikan alat Anda atau menyediakan alat sendiri; ruang lingkup spesifik per kontrakProvider umumnya menyediakan EDR, SIEM, dan intelijen ancaman sebagai bagian dari layanan
Model hargaSering berbasis jumlah perangkat atau aset; respons adalah item ruang lingkup terpisah jika disertakanBerbasis hasil: Anda membayar untuk respons, bukan hanya jam pemantauan

Managed SOC bisa jatuh di kolom mana pun tergantung kontraknya. Bacalah kontraknya dengan baris yang sama: jika klausul SLA respons, kewenangan penahanan, dan cakupan di luar jam kerja cocok dengan kolom kanan, Anda membeli cakupan setara MDR dengan nama yang berbeda.

Memilih di antara ketiganya

Kalau labelnya setumpang tindih ini, cara praktis untuk memutuskan adalah berangkat dari situasi Anda sendiri, bukan dari penamaan provider. Tiga faktor yang paling menentukan: ukuran tim keamanan Anda, perkakas yang sudah Anda miliki, dan apa yang Anda harapkan terjadi pada jam-jam pertama sebuah insiden.

Ukuran tim menentukan batas bawah. Menjaga satu kursi analis tetap terisi sepanjang waktu membutuhkan sekitar 4,5 sampai 5 orang purnawaktu setelah memperhitungkan shift, cuti, dan hari libur. Itulah mengapa perbandingan bangun-sendiri versus beli memperlakukan respons 24/7 sebagai kemampuan yang paling sulit dipertahankan secara internal. Jika fungsi keamanan Anda hanya satu atau dua orang, layanan alerting saja berarti setiap insiden di luar jam kerja berakhir di ponsel mereka, dan MDR atau managed SOC yang menyertakan respons adalah cakupan yang realistis. Tim berisi lima orang atau lebih yang sudah menjalankan rotasi on-call memang bisa menyerap aliran alert dari MSSP dan menindaklanjutinya.

Perkakas yang sudah ada menggeser pilihan di tengah. Jika Anda sudah memiliki dan menala SIEM serta platform EDR sendiri, yang Anda butuhkan adalah cakupan dan keahlian, dan pengaturan MSSP yang mengoperasikan perangkat Anda bisa menjadi pilihan yang efisien. Jika Anda belum memiliki keduanya, provider MDR dan SOCaaS menyediakan perangkat deteksi sebagai bagian dari layanan, sehingga Anda tidak perlu membeli lisensi yang kemudian harus Anda pelajari sendiri cara mengoperasikannya. Perbandingan SOCaaS vs MSSP membahas soal perkakas ini lebih dalam.

Ekspektasi respons menentukan batas atas. Cost of a Data Breach Report 2024 dari IBM mencatat siklus hidup pembobolan data rata-rata 258 hari, dari akses awal hingga penahanan penuh. Seberapa lama jendela itu bisa ditoleransi organisasi Anda adalah keputusan bisnis, tetapi siapa pun yang dikontrak untuk menutupnya harus memiliki kewenangan dan SLA untuk melakukannya. Jika jawaban jujur Anda atas pertanyaan "siapa yang menahan ancaman terkonfirmasi jam 3 pagi" adalah siapa pun selain shift Anda sendiri yang terisi penuh, Anda membutuhkan komitmen respons tertulis, dan itu mengarah ke MDR atau kontrak MSSP dengan klausul time-to-contain yang eksplisit.

Kapan setiap pengaturan cocok

Anda memiliki tim keamanan internal yang membutuhkan cakupan tambahan dan kapasitas deteksi tambahan tetapi tetap mengelola respons insiden secara internal Pengaturan MSSP yang menyediakan pemantauan dan notifikasi. Pastikan kontrak jelas tentang apa yang disertakan dan tidak disertakan agar tidak ada ketidaksesuaian ekspektasi.

Anda ingin menerima insiden yang sudah diinvestigasi dan ditriase, bukan alert mentah, tetapi tim Anda sendiri yang mengambil dan menjalankan keputusan penahanan Cakupan managed SOC: korelasi, triase, dan investigasi dengan eskalasi ke tim Anda. Pastikan secara tertulis di mana pekerjaan provider berakhir, agar titik serah terima tidak baru ditemukan saat insiden berlangsung.

Tim Anda dapat menangani notifikasi dengan tingkat keparahan rendah tetapi Anda membutuhkan provider untuk bertindak pada insiden dengan tingkat keparahan tinggi tanpa menunggu eskalasi internal MDR, atau kontrak MSSP yang secara eksplisit mencakup respons aktif dengan SLA time-to-contain dan kewenangan penahanan yang terdefinisi.

Anda tidak memiliki kemampuan internal untuk merespons insiden di luar jam kerja, atau ukuran tim Anda membuat respons 24/7 tidak mungkin dipertahankan secara internal MDR, di mana kewajiban respons berada pada provider sepanjang waktu. Verifikasi ini secara eksplisit dalam kontrak, terutama klausul di luar jam kerja.

Anda beroperasi di sektor regulasi (OJK, UU PDP, BSSN) dan perlu menunjukkan bahwa insiden ditangani dalam jangka waktu tertentu MDR dengan SLA respons yang terdokumentasi. SLA menjadi bagian dari bukti kepatuhan Anda, dan komitmen time-to-contain lebih dapat dipertahankan dalam audit daripada komitmen time-to-notify.

Catatan tentang pendekatan ACT

SOC-as-a-Service Alpha Code dibangun di atas pengiriman bergaya MDR: deteksi 24/7, threat hunting, dan respons aktif dari Security Operations Center kami di Jakarta. Ketika ancaman yang dikonfirmasi muncul, analis kami bertindak. Mereka tidak hanya mengirim notifikasi. SLA respons, kewenangan penahanan, dan kewajiban di luar jam kerja tertulis dalam perjanjian layanan, tidak dibiarkan ambigu.

Jika perbandingan Anda sebenarnya tentang siapa yang mengoperasikan SIEM dan menganalisis alert, halaman SOCaaS vs MSSP membahas sudut itu. Jika pertanyaannya adalah apakah kemampuan ini perlu dibangun secara internal sama sekali, mulailah dari MSSP vs in-house SOC.

Referensi

  1. 1.Gartner Market Guide for Managed Security Services (MSS), 2023: catatan tentang variasi label dan ambiguitas ruang lingkup di antara provider MSSP
  2. 2.IBM. "Cost of a Data Breach Report 2024." IBM Newsroom, Juli 2024.

Ditinjau oleh Mohit Bhansali, Head of Technology

Pertanyaan umum

Tidak tepat seperti itu. MDR didefinisikan oleh apa yang terjadi saat insiden: provider menghentikan ancaman, bukan hanya mengirim notifikasi. Beberapa MSSP mencakup kemampuan respons yang sama, tetapi harus tertulis secara eksplisit dalam kontrak. Jika kontrak hanya menjanjikan pemantauan dan notifikasi, Anda membeli layanan alerting, terlepas dari apa yang tertulis di brosur penjualan.

Terkait

Siap memperkuat keamanan siber Anda?

Bicarakan kebutuhan Anda dengan tim kami di Jakarta.

Tim kami di Jakarta. Kami membalas dalam satu hari kerja.