Gdy ransomware stał się biznesem o miliardowych obrotach, coraz więcej organizacji szuka sposobów na ograniczenie ryzyka — nie tylko w ujęciu technologicznym, ale też finansowym. Według najnowszego raportu Sophos, różnice między podejściem tradycyjnym a usługami Managed Detection and Response (MDR) są wyraźniejsze niż kiedykolwiek.
97,5% mniej. Tyle wynosi różnica w odszkodowaniach
Z badania przeprowadzonego przez niezależną firmę Vanson Bourne na zlecenie Sophos wynika, że organizacje korzystające z MDR zgłaszają średnio 97,5% niższe roszczenia odszkodowawcze po cyberataku niż te, które polegają wyłącznie na tradycyjnym bezpieczeństwie punktów końcowych. W liczbach bezwzględnych to 75 tys. USD vs. 3 mln USD.
Powód? Zespoły MDR, działające w trybie 24/7, są w stanie szybciej zidentyfikować i zatrzymać atak, zanim wyrządzi on poważne szkody. Kluczowa okazuje się tu nie tylko technologia, ale i doświadczenie — w wielu przypadkach lokalne zespoły IT po prostu nie mają ani kompetencji, ani zasobów, by reagować z taką samą skutecznością.
EDR i XDR – krok w dobrą stronę, ale to jeszcze nie MDR
Co ciekawe, również organizacje korzystające z bardziej zaawansowanych narzędzi, jak EDR (Endpoint Detection and Response) czy XDR (Extended Detection and Response), osiągają lepsze wyniki niż ci, którzy ograniczają się do podstawowej ochrony. Średnia wysokość roszczenia w tej grupie to 500 tys. USD — znacznie mniej niż 3 mln USD, ale nadal sześciokrotnie więcej niż w przypadku MDR.
Sophos zwraca uwagę, że skuteczność rozwiązań EDR/XDR silnie zależy od kompetencji zespołów wewnętrznych. W odróżnieniu od usług MDR, które zakładają aktywną interwencję ekspertów zewnętrznych, narzędzia EDR/XDR są pasywne — wykrywają, ale niekoniecznie reagują. A czas ma tu znaczenie kluczowe.
Czas to pieniądz — dosłownie
Różnice w szybkości odzyskiwania po ataku ransomware są równie uderzające. Organizacje z MDR wracają do normalnego działania średnio po trzech dniach. Dla porównania, przy samym EDR/XDR to aż 55 dni, a w przypadku zabezpieczeń tradycyjnych — 40 dni.
To nie tylko kwestia operacyjna. Dłuższy czas przestoju przekłada się bezpośrednio na koszty — zarówno w postaci utraconych przychodów, jak i naruszonej reputacji.
Co mówią dane?
Badanie objęło 282 roszczenia odszkodowawcze zgłoszone przez 232 organizacje na całym świecie. Przeanalizowano przypadki firm korzystających z łącznie 19 różnych rozwiązań endpointowych i 14 dostawców usług MDR. Wszystkie organizacje miały aktywne MFA w momencie ataku, co pozwala zminimalizować wpływ tego czynnika na wyniki.
Jednym z ciekawszych wniosków jest też większa przewidywalność szkód wśród użytkowników MDR. Roszczenia w tej grupie były bardziej spójne, co może mieć istotne znaczenie z punktu widzenia ubezpieczycieli. W przypadku EDR/XDR rozrzut był znacznie większy, co sugeruje, że te technologie — choć potencjalnie skuteczne — wciąż pozostawiają pole do ludzkiego błędu.
Co to oznacza dla kanału partnerskiego?
Dla dostawców rozwiązań IT i partnerów MSP, dane Sophos mogą stać się potężnym argumentem sprzedażowym. MDR nie tylko zmniejsza ryzyko, ale również czyni je bardziej przewidywalnym — a to, w oczach klientów i ich ubezpieczycieli, ma ogromną wartość.
Pytanie nie brzmi więc: czy MDR się opłaca? Raczej: jak długo jeszcze można sobie pozwolić na jego brak.
