Što je MDR (Managed Detection and Response) i kome treba?

Managed Detection and Response (MDR) je usluga koju pruža vanjski tim sigurnosnih stručnjaka. Oni 24 sata dnevno nadziru vašu IT okolinu, prepoznaju stvarne napade i aktivno reagiraju na njih, najčešće tako da zaustave prijetnju prije nego napravi štetu. Za razliku od običnog antivirusa, MDR kombinira tehnologiju (najčešće EDR/XDR senzore) s ljudskim analitičarima koji prijetnju istražuju i odgovaraju na nju. MDR prije svega trebaju firme koje nemaju vlastiti sigurnosni tim s dežurstvom 24/7, a ipak žele brzu detekciju i odgovor na napad.

U nastavku objašnjavamo što managed detection and response točno radi, kako se razlikuje od srodnih pojmova poput EDR-a, SIEM-a i SOC-a, te po kojim kriterijima procijeniti treba li ga vaše preduzeće u BiH ili regiji. Cilj je da nakon čitanja znate postaviti prava pitanja dobavljaču, a ne da kupujete na temelju marketinških obećanja.

Što je MDR (Managed Detection and Response)?

MDR je outsourcana usluga sigurnosnih operacija. Umjesto da sami gradite i održavate tim, alate i procese za otkrivanje napada, taj posao preuzima specijalizirani pružatelj usluge. On postavlja senzore na vaša računala, servere i, sve češće, na cloud okruženja, a zatim kontinuirano prati signale koje ti senzori šalju.

Ključna riječ je kombinacija. MDR nije samo softver i nije samo ljudi, nego oboje. Tehnologija filtrira ogromnu količinu događaja i izdvaja sumnjive. Ljudi (sigurnosni analitičari u SOC-u) zatim te sumnjive događaje istražuju, odbacuju lažne uzbune i odgovaraju na stvarne incidente. Upravo ta ljudska komponenta razlikuje MDR od čistog alata koji samo "zazvoni" i prepušta vama da se snalazite.

Tri riječi u nazivu

• Managed (upravljano) - uslugu vodi vanjski tim koji preuzima svakodnevni rad: održavanje senzora, podešavanje pravila i dežurstvo. Vi ne morate zapošljavati i obučavati vlastite analitičare.
• Detection (detekcija) - cilj je otkriti napad što ranije, idealno dok je još u početnoj fazi (npr. sumnjiva prijava, neuobičajeno izvršavanje skripte, pokušaj širenja kroz mrežu).
• Response (odgovor) - ovo je dio koji mnogi potcijene. Dobar MDR ne staje na obavijesti, nego poduzima ili predlaže konkretne korake: izolaciju zaraženog uređaja, blokiranje računa, zaustavljanje zlonamjernog procesa.

Kako MDR funkcionira u praksi

Iako se detalji razlikuju od dobavljača do dobavljača, većina MDR usluga prolazi kroz sličan ciklus.

1. Postavljanje senzora i izvora podataka

Na krajnje uređaje (radne stanice, servere) instaliraju se EDR ili XDR agenti. Po potrebi se prikupljaju i logovi iz mrežne opreme, vatrozida, identitetskih servisa (npr. Microsoft 365 / Entra ID) i cloud platformi. Što je pokrivenost šira, to je teže napadaču ostati nevidljiv.

2. Kontinuirani nadzor 24/7

Senzori šalju telemetriju na platformu gdje se ona analizira u stvarnom vremenu. Napadi se ne događaju samo radnim danom od 9 do 17. Naprotiv, napadači namjerno biraju noći, vikende i praznike kad je manje ljudi za tipkovnicom. Zato je dežurstvo 24 sata dnevno, 7 dana u tjednu temelj ozbiljnog MDR-a.

3. Triage i istraga

Kad sustav označi sumnjiv događaj, analitičar provjerava je li riječ o stvarnoj prijetnji ili lažnoj uzbuni. Ovaj korak je presudan: bez ljudske procjene firma se utopi u stotinama upozorenja dnevno i razvije "umor od uzbuna" (alert fatigue), zbog kojeg se i stvarni napad lako previdi.

4. Odgovor i obuzdavanje

Ako je prijetnja potvrđena, MDR tim reagira. Ovisno o dogovorenom modelu, to znači da tim sam izolira uređaj i blokira napad, ili da vama daje precizne upute korak po korak. Brz odgovor je ono što razliku između sitnog incidenta i potpune enkripcije podataka ransomwareom čini tako velikom.

5. Izvještavanje i učenje

Nakon incidenta dobivate izvještaj: što se dogodilo, kako je zaustavljeno i što treba popraviti da se ne ponovi. Kvalitetan dobavljač te nalaze pretvara u konkretne preporuke za jačanje obrane.

MDR vs. antivirus, EDR, SIEM i SOC

Tržište je puno kratica koje se preklapaju, pa firme često ne znaju što zapravo kupuju. Sljedeća tablica pojašnjava razlike.

Pojam	Što je to	Ima li ljudski nadzor 24/7?
Antivirus	Softver koji prepoznaje i blokira poznate prijetnje na uређaju.	Ne, radi automatski, bez analitičara.
EDR / XDR	Napredni alat koji bilježi ponašanje na uređajima (i šire) i omogućuje istragu.	Sam po sebi ne, to je alat koji netko mora koristiti.
SIEM	Platforma koja prikuplja i korelira logove iz cijele okoline.	Ne, daje podatke i uzbune, ali zahtijeva tim koji ih obrađuje.
SOC	Sigurnosni operativni centar, tim ljudi i procesa koji nadzire sigurnost.	Da, ako je tako organiziran (vlastiti ili kao usluga).
MDR	Usluga koja spaja alate (EDR/XDR/SIEM) s ljudskim timom i odgovorom na prijetnje.	Da, to je njegova ključna vrijednost.

Najjednostavnije rečeno: EDR i SIEM su alati, SOC je tim, a MDR je usluga koja vam isporučuje i jedno i drugo, plus odgovor na incident. Antivirus je tek najosnovniji sloj zaštite i danas više nije dovoljan sam za sebe.

Kome treba MDR?

MDR nije nužan svima na isti način, ali postoji nekoliko jasnih situacija u kojima ima najviše smisla, posebno za firme i preduzeća u BiH i široj regiji.

• Firme bez vlastitog sigurnosnog tima - ako vaš IT vodi jedan administrator ili manji tim koji već ima pune ruke posla, realno je da nitko ne prati sigurnosne uzbune noću i vikendom. MDR pokriva upravo tu rupu.
• Organizacije s osjetljivim podacima - preduzeća koja drže podatke klijenata, financijske ili zdravstvene podatke privlačnija su meta i imaju veće posljedice ako dođe do proboja.
• Firme s obvezama usklađenosti - ako se pripremate za ISO 27001 ili druge regulatorne zahtjeve, kontinuirani nadzor i sposobnost odgovora na incidente često su očekivani element kontrola.
• Tvrtke koje su već imale incident - nakon prvog ransomware napada ili phishinga koji je uspio, percepcija rizika se mijenja. MDR smanjuje šansu da se to ponovi neopaženo.
• Brzo rastuće firme - kako broj uređaja, korisnika i cloud servisa raste, ručno praćenje postaje neodrživo. MDR skalira bez potrebe da odmah gradite cijeli SOC iznutra.

S druge strane, vrlo velika organizacija s već izgrađenim, zrelim internim SOC-om koji radi 24/7 možda ne treba klasični MDR, iako i takve firme često koriste hibridni model. Za većinu malih i srednjih preduzeća u regiji, izgradnja vlastitog dežurnog tima jednostavno je preskupa i prespora u odnosu na uslugu.

Kako prepoznati dobrog MDR pružatelja

Prije potpisa ugovora vrijedi postaviti nekoliko konkretnih pitanja:

• Je li nadzor stvarno 24/7 i tko su ljudi koji dežuraju?
• Koji dio odgovora pružatelj radi sam, a što ostaje na vama?
• Kolika su zajamčena vremena reakcije na potvrđeni incident?
• Koje izvore podataka pokriva, samo krajnje uređaje ili i cloud, identitet i mrežu?
• Kako izgleda izvještavanje i koliko ste transparentno informirani?

NeoBit kroz Guardian 360 SOC i ostale sigurnosne usluge pokriva upravo ovaj raspon, od kontinuiranog nadzora i detekcije do odgovora na incidente i podrške pri pripremi za ISO 27001. Ako niste sigurni gdje su vaše najveće slabosti, dobra polazna točka je nezavisna procjena.

Gdje MDR završava, a počinje ostatak obrane

Važno je razumjeti da MDR nije čarobni štapić. On izvrsno otkriva i zaustavlja napade u tijeku, ali ne zamjenjuje osnovnu higijenu: redovito krpanje sustava, jake lozinke i višefaktorsku autentikaciju, sigurnosne kopije te edukaciju zaposlenika. MDR i preventivne mjere rade zajedno: jedno smanjuje vjerojatnost napada, drugo ograničava štetu kad do napada ipak dođe.

Isto tako, MDR najbolje funkcionira kad znate gdje su vam ranjivosti. Tu pomaže penetracijsko testiranje: kontrolirani napad koji otkriva slabosti prije nego ih iskoristi pravi napadač. Ako želite procijeniti vlastitu izloženost, možete započeti s našim upitnikom za penetracijsko testiranje i na temelju njega dobiti realnu sliku rizika.

Za firme u Mostaru i ostatku BiH koje žele konkretan razgovor o tome je li MDR pravi izbor za njihovu situaciju, najbrži put je izravan kontakt s našim timom. Slobodno nam se javite putem kontakt stranice i opišite svoju okolinu. Predložit ćemo realan, a ne predimenzioniran pristup.

Često postavljana pitanja

Koja je razlika između MDR-a i klasičnog antivirusa?

Antivirus je softver koji automatski blokira poznate prijetnje na pojedinom uređaju i radi bez ljudskog nadzora. MDR (managed detection and response) ide znatno dalje: kombinira napredne senzore s timom analitičara koji 24/7 prate okolinu, istražuju sumnjive događaje i aktivno reagiraju na stvarne napade. Antivirus je jedan sloj zaštite, a MDR je cjelovita usluga detekcije i odgovora.

Treba li maloj firmi u BiH MDR ili je to samo za velike kompanije?

MDR često ima najviše smisla upravo za male i srednje firme, jer one obično nemaju vlastiti sigurnosni tim s dežurstvom 24/7. Umjesto skupe izgradnje internog SOC-a, takve firme putem usluge dobivaju nadzor i odgovor na razini koju same ne bi mogle priuštiti. Ključ je odabrati pružatelja čiji je opseg primjeren veličini i rizicima vašeg preduzeća.

Zamjenjuje li MDR potrebu za sigurnosnim kopijama i edukacijom zaposlenika?

Ne. MDR otkriva i zaustavlja napade, ali ne ukida potrebu za osnovnim mjerama poput redovitih sigurnosnih kopija, višefaktorske autentikacije, krpanja sustava i edukacije zaposlenika protiv phishinga. Najbolji rezultat daje kombinacija: preventiva smanjuje vjerojatnost napada, a MDR ograničava štetu kad do napada ipak dođe.

Koliko brzo MDR reagira na napad?

Vrijeme reakcije ovisi o dobavljaču i dogovorenim uvjetima usluge. Ozbiljan MDR nadzire okolinu neprekidno, pa potvrđeni incident može krenuti obrađivati u roku od nekoliko minuta do sat-dva, ovisno o složenosti. Pri odabiru pružatelja zato izričito pitajte za zajamčena vremena reakcije i za to koji dio odgovora tim izvodi sam, a što ostaje na vama.

Povezani vodiči: Cyber sigurnost u BiH - kompletan vodič · Što je SOC (Security Operations Center) i treba li vam? · EDR, XDR i SIEM - razlike objasnjene jednostavno