Zkuste se zeptat v libovolné firmě, co je SIEM a jak se liší od MDR. Nejčastější odpovědí bude ticho nebo neurčité mávnutí rukou. Přitom nejde o akademické distinkce - firma, která si koupí SIEM bez analytiků, má drahý software, který sbírá logy a nikomu je nepřečte. Firma, která si objedná MDR, aniž by rozuměla, co dostává, neví, co od poskytovatele požadovat. A firma, která čeká, až si může dovolit plnohodnotný SOC, mezitím zbytečně roky riskuje.
Tento článek rozebírá čtyři nejčastěji zaměňované pojmy kybernetické bezpečnosti - SIEM, SOC, MDR a XDR - a radí, co reálně potřebuje malá, střední nebo větší firma. Pro hlubší pohled na to, co Security Operations Center dělá interně, doporučujeme také článek SOC: Co je Security Operations Center a kdy ho vaše firma potřebuje.
SIEM: technologie, ne řešení
SIEM (Security Information and Event Management) je softwarová platforma. Agreguje logy a bezpečnostní události ze všech zdrojů v infrastruktuře - firewallů, serverů, koncových stanic, cloudových služeb, aplikací - a koreluje je do smysluplných vzorů. Když se uživatel přihlásí z Prahy v 8:00 a z Frankfurtu v 8:15, žádný jednotlivý log to nevykřičí jako problém. SIEM to ale spojí dohromady a vyhodnotí jako podezřelý "impossible travel" přístup.
Klíčová věc, kterou si zapamatujte: SIEM je nástroj, ne tým. Sám o sobě nic nezastaví. Generuje upozornění - a někdo musí ta upozornění číst, třídit a reagovat na ně. Bez analytiků, kteří sedí za SIEM systémem, jde o investici do infrastruktury, která sbírá prach. Typické SIEM platformy jsou Splunk, Microsoft Sentinel, IBM QRadar nebo open-source Elastic SIEM.
SIEM dává smysl tam, kde existuje interní bezpečnostní tým s kapacitou a odborností ho provozovat. Pro firmy bez dedikovaných security analytiků je SIEM příliš nákladný jak na pořízení a licencování, tak na každodenní provoz.
SOC: tým a procesy kolem bezpečnosti
SOC (Security Operations Center) není software - je to funkce a tým. Analytici pracují ve směnách, sledují bezpečnostní stav organizace, třídí upozornění ze SIEM a dalších nástrojů a koordinují reakci na incidenty. SOC je tím, kdo SIEM čte a jedná na základě toho, co vidí.
Provozovat vlastní interní SOC schopný pokrytí 24/7 znamená mít minimálně šest až deset specializovaných analytiků (pro pokrytí tří směn plus zastupitelnost), SIEM, SOAR, threat intelligence nástroje a procesy incident response. Náklady se pohybují v desítkách milionů korun ročně. To je realisticky dostupné pro velké korporace, banky nebo provozovatele kritické infrastruktury.
Outsourcovaný SOC přenáší tuto funkci na externího poskytovatele. Zákazník platí měsíční poplatek, poskytovatel zajistí analytiky, technologie i procesy. Výhodou je dramaticky nižší cena a okamžitá dostupnost zkušeného týmu. Nevýhodou je sdílení dat s třetí stranou - to vyžaduje důkladné smluvní ošetření, zejména v regulovaných odvětvích.
MDR: outsourcovaná detekce s aktivní reakcí
MDR (Managed Detection and Response) je modernější varianta outsourcovaného SOC s jedním zásadním rozdílem: nezůstává jen u upozornění. Tradiční outsourcovaný SOC vás upozorní, že problém existuje - co dál, je na vás. MDR poskytovatel ale přímo zasahuje: izoluje kompromitovaný endpoint, blokuje útočníkovu IP adresu, zastavuje podezřelý proces, a to v reálném čase, bez čekání na váš souhlas u každého jednotlivého kroku.
Tato schopnost aktivní reakce je pro firmy bez vlastního IR (incident response) týmu klíčová. Útočník pohybující se v síti nemá zájem čekat na to, až se ve firmě dohodnou, kdo zavolá poskytovateli a kdo schválí izolaci serveru. MDR tento problém řeší tím, že oprávnění k okamžité akci jsou dojednána předem ve smlouvě.
MDR se typicky dodává jako balíček zahrnující: vlastní technologii poskytovatele (agenti na endpointech, síťové sondy), analytický tým na straně poskytovatele, procesy reakce na incidenty a reporting. Zákazník nemusí kupovat ani spravovat žádný bezpečnostní software - kupuje výsledek.
Detailní popis toho, jak probíhá reakce na bezpečnostní incident a co by měl váš plán zahrnovat, najdete v článku Incident Response plán: jak se připravit na kybernetický útok.
XDR: kde zapadá do obrazu
XDR (Extended Detection and Response) je technologická platforma, která rozšiřuje tradiční EDR (ochranu koncových stanic) o korelaci dat z dalších vrstev - sítě, cloudu, e-mailů, identity. Kde SIEM agreguje logy ze všeho, XDR jde hlouběji do specifických vrstev a nabízí automatizovanou korelaci a reakci přímo v platformě.
Z pohledu zákazníka jde XDR často o transparentní detail - MDR poskytovatel může jako svou interní platformu používat XDR, zatímco vy vidíte výsledek jako "MDR službu". Rozdíl mezi SIEM a XDR je spíš architektonický: SIEM je horizontálně široký (logy ze všeho), XDR je vertikálně hluboký (nativní integrace s konkrétními bezpečnostními vrstvami a schopnost přímé akce).
Pro rozhodování o tom, co koupit, je důležitější pochopit SIEM vs MDR vs SOC. XDR je technologická implementace, která stojí za modely MDR v pozadí.
Přehled rozdílů na jednom místě
| Pojm | Co je to | Kdo to provozuje | Aktivní reakce | Typicky vhodné pro |
|---|---|---|---|---|
| SIEM | Technologie (software) | Váš tým | Ne (jen detekce a alerty) | Velké firmy s vlastním security týmem |
| SOC | Tým a funkce | Váš tým nebo outsourced | Ano (pokud je tým dostatečný) | Korporace, regulované odvětví, velké střední firmy |
| MDR | Outsourcovaná služba | Externí poskytovatel | Ano (přímo zahrnuto) | Malé a střední firmy bez vlastního security týmu |
| XDR | Technologická platforma | Poskytovatel nebo váš tým | Ano (nativně) | Základ pro MDR nebo pro zkušený interní tým |
Co potřebuje malá a střední firma
Nejčastější chyba, kterou vidíme, je přeskočení základů a rovnou řešení "chceme SOC". Jenže firma, která neví, jaké zranitelnosti má ve své infrastruktuře, neví ani co má monitorovat. Monitoring je nástroj na odhalení útočníka v síti - ale pokud útočník využije známou zranitelnost, která byla šest měsíců neopravená, nejde o selhání monitoringu. Jde o selhání základní hygieny.
Malá firma do 50 zaměstnanců
Priorita je základní hygiena: záplatování systémů, bezpečné konfigurace, MFA na všechny účty, zálohy a dobrý endpoint protection. Na monitoring a MDR přijde řada, ale prvním krokem je vědět, co ve vaší infrastruktuře sedí a co je zranitelné. K tomu slouží průběžné skenování zranitelností - ne jednorázový pentest jednou za rok, ale kontinuální přehled o stavu.
Pokud hledáte vstupní bod, který dává smysl před objednáváním MDR nebo SOC, začněte u vulnerability managementu. Pravidelný sken odhalí, kde jsou díry, a umožní je systematicky opravovat - to je základ, bez kterého nemá smysl stavět monitoring.
Střední firma 50-500 zaměstnanců
Na této úrovni je vulnerability management povinností, ne volbou. K tomu přibývá potřeba aspoň základního bezpečnostního monitoringu - a tady má smysl se ptát po MDR. Vlastní SIEM a vlastní SOC analytici jsou pro naprostou většinu středních firem ekonomicky nedostupné a personálně nerealizovatelné. MDR od důvěryhodného poskytovatele, s jasně definovanými oprávněními k akci a dohodnutým SLA, je pro tento segment nejpraktičtější cesta k 24/7 pokrytí.
Hybridní model také stojí za zvážení: pokud máte jednoho nebo dva interní bezpečnostní lidi, nemusíte na MDR poskytovateli záviset úplně - interní tým může pokrývat denní směnu a monitoring pracovní doby, zatímco poskytovatel zajistí pokrytí noci, víkendů a svátků, kdy je obrana historicky nejslabší.
Velká firma nad 500 zaměstnanců
Na této úrovni se vyplatí budovat vlastní bezpečnostní tým nebo hybridní SOC. SIEM jako centrální technologie dává smysl, pokud máte analytiky, kteří ho dokážou provozovat a reagovat na jeho výstupy. I velké firmy ale dnes volí hybridní přístup - vlastní SIEM a bezpečnostní tým kombinují s MDR poskytovatelem pro specializované schopnosti (threat hunting, forenzní analýza, pokrytí mimo pracovní dobu).
Na co se ptát při výběru MDR poskytovatele
Pokud jste se rozhodli pro MDR, výběr poskytovatele vyžaduje konkrétní otázky - ne jen srovnání prospektů:
- Co přesně znamená "aktivní reakce" ve vaší smlouvě? Může poskytovatel izolovat endpoint bez vašeho souhlasu? Za jakých podmínek? Jak rychle?
- Jaké prostředí pokrýváte? On-premise servery, cloud (AWS, Azure), SaaS aplikace, OT prostředí?
- Kde fyzicky sídlí analytici a kde jsou uložena vaše data? Pro GDPR a datovou suverenitu je to zásadní - zejména pro regulovaná odvětví.
- Jak probíhá onboarding a integrace? Kolik agentů, sond nebo konektorů je třeba nasadit a kdo to dělá?
- Co se stane při incidentu? Jak vypadá komunikace, kdo co dělá a jak se to dokumentuje?
- Jaké reporty a přehlednost dostanu? Průběžný přístup k dashboardu, měsíční zprávy, výsledky threat huntingu?
Kde začít - praktické doporučení
Shrňme to konkrétně. Pokud nevíte, kde začít, nezačínejte výběrem MDR nebo SOC poskytovatele. Začněte tím, že si zmapujete vlastní infrastrukturu a zjistíte, co je v ní zranitelné. Bez tohoto základu nakupujete monitoring naslepo.
Průběžný vulnerability management je ten základ. Dává vám přehled o tom, co máte, co je zastaralé, co je špatně nakonfigurované a co je potřeba opravit jako první. Teprve na takto vyčištěnou a průběžně udržovanou infrastrukturu pak napojujete bezpečnostní monitoring - ať už formou MDR od externího poskytovatele, nebo budováním vlastních kapacit.
SecureOn.cz staví svá řešení na vlastní infrastruktuře - jako poskytovatel internetu s vlastním datacentrem a techniky dostupnými 24/7 máme základní kameny pro bezpečnostní monitoring přímo pod kontrolou. Rozsah a tvar řešení navrhujeme na míru - neexistuje jediná šablona, která by seděla malé výrobní firmě i střední logistické společnosti. Pokud si nejste jisti, kde váš bezpečnostní program stojí a jaký krok by měl přijít jako první, domluvte si bezplatnou konzultaci.