MDR jämfört med andra säkerhetstjänster

Begreppen i säkerhetsbranschen kan vara förvirrande. Här är en rak jämförelse:

Notera att EDR och MDR inte är alternativ — de är komplement. EDR är den tekniska plattformen. MDR är det operativa teamet som driver den. Många organisationer köper en EDR-licens, konfigurerar den halvdant och låter larm rinna in i en e-postlåda som ingen bevakar på helger. Det är inte en säkerhetslösning; det är en falsk trygghet.

Hur en MDR-tjänst fungerar i praktiken

Datainsamling och telemetri

Allt börjar med synlighet. MDR-leverantörens agenter och integrationer samlar in telemetri från:

• Endpoints — processer, filoperationer, nätverksanslutningar, registervärden
• Nätverkstrafik — laterala rörelser, DNS-förfrågningar, C2-kommunikation
• Molnplattformar — AWS CloudTrail, Azure Activity Log, Google Cloud Audit Logs
• Identitetssystem — Azure AD / Entra ID, Okta, on-prem Active Directory
• E-post och samarbetsverktyg — Microsoft 365, Google Workspace

Datamängden är enorm. En medelstor organisation genererar miljarder händelser per dygn. Nyckeln ligger i att filtrera bort bruset och lyfta fram de signaler som betyder något.

Detektering och analys

Modern detektering kombinerar regelbaserade larm med maskininlärningsmodeller och threat intelligence. Men tekniken fångar bara det kända eller statistiskt avvikande. Det är här de mänskliga analytikerna gör skillnad.

I Opsios SOC/NOC i Karlstad och Bangalore arbetar vi med en "assume breach"-mentalitet: vi utgår från att angriparen redan befinner sig i miljön och letar aktivt efter bevis. Det innebär att vi inte bara reagerar på larm — vi ställer frågor som:

• Varför skapar den här tjänstekontot processer som den aldrig gjort förut?
• Varifrån kommer den här SSH-anslutningen till produktionsmiljön klockan 03:14?
• Varför exekverar PowerShell base64-kodade kommandon på en ekonomiassistents arbetsstation?

Hotjakt — det proaktiva steget

Hotjakt (threat hunting) är det som skiljer en riktigt bra MDR-tjänst från en glorifierad loggövervakare. Hotjakt innebär att analytiker systematiskt söker efter tecken på kompromittering som inte utlöst något larm.

Det kan baseras på:

• Threat intelligence — kända taktiker, tekniker och procedurer (TTP) från aktörsgrupper som är aktiva mot nordiska mål
• Hypotesdriven analys — "Om en angripare använde en stulen VPN-credential, vilka spår skulle vi förvänta oss?"
• Anomaliundersökning — ovanliga mönster i nätverkstrafik, autentiseringsloggar eller filåtkomst

Respons och åtgärd

När ett bekräftat hot identifieras vidtar MDR-teamet åtgärder — antingen automatiskt enligt fördefinierade playbooks eller manuellt i samråd med er. Typiska responsåtgärder:

• Isolering av komprometterad endpoint (nätverksisolering via EDR-agenten)
• Blockering av skadliga IP-adresser och domäner i brandvägg och DNS
• Avslutande av aktiva processer och sessioner
• Återkallande av komprometterade credentials
• Forensisk säkring av bevis för eventuell polisanmälan

Viktigt: en bra MDR-partner har tydliga överenskomna gränser för vilka åtgärder som får vidtas autonomt och vad som kräver ert godkännande. Det ska dokumenteras i en gemensam responsplan (runbook) innan något händer.

MDR och svensk regulatorik

NIS2-direktivet

NIS2, som trädde i kraft i EU under 2024 och nu implementeras i svensk lag, ställer tydliga krav på organisationer inom väsentliga och viktiga sektorer. Bland kraven finns:

• Incidentrapportering inom 24 timmar efter upptäckt
• Riskhanteringsåtgärder för informationssäkerhet
• Kontinuerlig övervakning och incidenthantering

En MDR-tjänst adresserar dessa krav direkt. Dygnet-runt-övervakningen säkerställer att incidenter upptäcks snabbt, den dokumenterade responsprocessen möjliggör rapportering inom tidsgränserna, och den löpande hotjakten bidrar till den riskhantering som direktivet kräver.

GDPR och datasuveränitet

För svenska verksamheter som hanterar personuppgifter är det avgörande att MDR-leverantören behandlar data i enlighet med GDPR. Det innebär:

• Tydliga personuppgiftsbiträdesavtal (DPA)
• Kontroll över var telemetridata lagras — helst inom EU, idealt i Sverige (AWS eu-north-1 Stockholm, Azure Sweden Central)
• Loggning av vilka analytiker som haft åtkomst till vilken data
• Rutiner för dataradering

Integritetsskyddsmyndigheten (IMY) har varit tydlig med att outsourcing av IT-säkerhet inte fritar organisationen från ansvar. Ni är fortfarande personuppgiftsansvariga. Välj en MDR-partner som förstår detta och kan visa på dokumenterade rutiner.

Molnsäkerhet

Så väljer ni rätt MDR-partner

Kriterier som faktiskt spelar roll

Efter att ha byggt och drivit SOC-tjänster i produktion kan vi konstatera att följande faktorer avgör om en MDR-investering ger verkligt värde:

1. Analytikernas kompetens

Fråga efter teamets certifieringar, men viktigare — fråga efter deras erfarenhet av incidenter i miljöer liknande er. En analytiker som arbetat med nordiska industriföretag förstår era system bättre än ett generiskt offshore-team.

2. Teknikagnostisk approach

Undvik MDR-leverantörer som kräver att ni byter hela er säkerhetsstacken till deras plattform. En bra partner integrerar med era befintliga verktyg — CrowdStrike, SentinelOne, Microsoft Defender, Palo Alto — och tillför analyskapaciteten ovanpå.

3. Tydliga SLA:er med mätbara tider

Kräv specificerade tider för:

• Tid till initial triagering (bör vara ≤ 15 minuter)
• Tid till eskalering av bekräftat hot (bör vara ≤ 1 timme)
• Tid till slutrapport efter incident (bör vara ≤ 24 timmar)

4. Transparens och rapportering

Ni ska kunna se vad MDR-teamet gör — inte bara få en månatlig PDF. Kräv tillgång till en portal med realtidsdata, pågående undersökningar och historiska trender.

5. Svensk eller nordisk närvaro

Regulatorisk förståelse, språkhantering vid incidenter och möjligheten att träffas fysiskt under en krissituation är inte en lyxfaktor — det är operativt kritiskt.

Managerade molntjänster

Vanliga fällor vid MDR-upphandling

• Att förväxla MDR med managerad EDR: Vissa leverantörer säljer en EDR-licens med grundläggande övervakning och kallar det MDR. Fråga specifikt vad som händer när ett hot bekräftas — vidtar de åtgärder eller skickar de ett mejl?
• Att inte definiera responsautonomi: Om MDR-teamet måste ringa er säkerhetschef för godkännande klockan 02:00 på en lördag — och den personen inte svarar — vad händer då? Definiera detta i förväg.
• Att välja enbart på pris: MDR-priser varierar kraftigt, men den billigaste leverantören har ofta färre analytiker per kund, längre responstider och ingen hotjakt värd namnet.

MDR i molnmiljöer — det många missar

Traditionell MDR fokuserade på endpoints och on-prem-nätverk. Men när arbetsbelastningar flyttar till AWS, Azure och Google Cloud behöver MDR-tjänsten också täcka molnspecifika hotvektorer:

• Felkonfigurerade S3-buckets eller Storage Accounts som exponerar data
• Eskalering av IAM-privilegier — en komprometterad utvecklarroll som plötsligt har admin-åtkomst
• Kryptojacking via kapade compute-instanser
• Laterala rörelser mellan on-prem och moln via VPN-tunnlar eller federerade identiteter

Enligt Datadogs State of Cloud har molnmiljöers komplexitet ökat dramatiskt, med fler tjänster, fler API:er och fler potentiella felkonfigurationer per organisation. Det gör att MDR-leverantören behöver djup kunskap om respektive molnplattform — inte bara traditionell nätverkssäkerhet.

Opsio integrerar MDR-övervakning med vår FinOps- och driftsplattform, vilket ger oss korrelation mellan säkerhetshändelser och infrastrukturändringar. När en Terraform-ändring öppnar en säkerhetsgrupp klockan 23:00 ser vi det i samma vy som hotanalytikern.

Managerad DevOps

Cloud FinOps

Så mäter ni värdet av MDR

Säkerhet är notoriskt svårt att mäta — det handlar om att förhindra saker som inte händer. Men det finns konkreta mätvärden:

Flexeras State of the Cloud har konsekvent visat att säkerhet är en av de främsta utmaningarna för organisationer som använder molntjänster. MDR adresserar detta direkt genom att ge er en operativ säkerhetsförmåga som skalar utan att ni behöver rekrytera.

Opsios perspektiv: Vad vi ser i produktion

Från vårt SOC/NOC ser vi mönster som bekräftar varför MDR inte är valfritt för organisationer med digital exponering:

Angripare är snabbare än någonsin. Tiden från initial åtkomst till lateral rörelse har krympt. Det som tidigare tog veckor sker nu på timmar. Utan dygnet-runt-övervakning hinner en angripare etablera sig långt innan ni öppnar laptopen på måndag morgon.

Identitetsbaserade attacker dominerar. Stulna credentials, phishing mot MFA, token-manipulation — den klassiska "hacka sig igenom brandväggen"-bilden stämmer inte längre. Angriparen loggar in med giltiga uppgifter. Det kräver beteendeanalys, inte bara signaturbaserad detektering.

Komplexitet är fiendens bästa vän. Ju fler molntjänster, API:er och integrationer ni har, desto fler ytor kan angriparen använda. MDR ger er ett team som förstår hela attackytan — inte bara enskilda komponenter.

Molnmigrering

Vanliga frågor

Vad är skillnaden mellan MDR och MSSP?

En MSSP (Managed Security Service Provider) fokuserar främst på logghantering, larmövervakning och regelefterlevnad — ofta passivt. MDR går längre genom att inkludera aktiv hotjakt, djupgående analys och faktisk incidenthantering. En MDR-partner agerar på hotet, medan en MSSP typiskt eskalerar larmet till er.

Behöver vi MDR om vi redan har en SIEM-lösning?

Ja, ofta behöver ni det. En SIEM samlar och korrelerar loggar men kräver kvalificerade analytiker dygnet runt för att tolka larmen. MDR kompletterar SIEM genom att tillföra det mänskliga analyssteget, hotjakten och den operativa responsen som gör SIEM-investeringen meningsfull.

Hur förhåller sig MDR till NIS2-direktivet?

NIS2 ställer explicita krav på incidenthantering, rapportering inom 24 timmar och kontinuerlig riskhantering. En MDR-tjänst täcker flera av dessa krav direkt — särskilt detektionsförmåga, dokumenterade responsprocesser och dygnet-runt-bevakning.

Kan MDR hantera hybridmiljöer med både on-prem och molnresurser?

Absolut. Moderna MDR-leverantörer integrerar med AWS, Azure, Google Cloud och lokala miljöer. Telemetri samlas in via agenter, API-integrationer och nätverkssensorer oavsett var arbetsbelastningarna körs.

Hur snabbt kan en MDR-partner svara på ett aktivt intrång?

Branschstandard för kvalificerade MDR-leverantörer är en initial triagering inom 15 minuter och aktiva åtgärder — isolering, blockering, forensisk säkring — inom en timme. Det är en enorm skillnad mot organisationer som hanterar larm internt under kontorstid.