什么是托管检测和响应 (MDR)
托管检测和响应 (MDR) 是一种全面托管的网络安全解决方案,它将安全专家、威胁情报和先进工具结合在一起,为组织提供全天候的威胁防护。
网络安全对全球的个人和企业所构成的威胁日益严重,这一点有目共睹,但鲜为人知的是,一些组织在维护强大的防御和响应机制方面却步履维艰。
卡巴斯基的调查显示,41% 的信息安全专业人员表示,他们所在组织的网络安全团队“有些”或“严重”人手不足。这说明安全专业人员的需求还很大,而各组织却发现,要吸引并留住具备适当技能的足够员工变得更加困难。不同类型的企业都深受影响:世界经济论坛发现,对于 52% 的公共组织而言,提高网络复原能力所面临的最大挑战是技能差距。此外,只有不到一半的小型组织表示,他们拥有应对网络攻击并复原的技能。
因此,许多企业开始求助于托管服务,以获取确保数据、系统、应用程序和用户安全所需的解决方案和专业知识。要实现这一目标,最有效方法之一就是部署托管检测和响应 (MDR),但直到现在,企业才逐渐意识到 MDR 安全解决方案对其业务的重要性。Gartner 调查结果显示,在 2023 年,只有 30% 的组织积极使用 MDR 提供商提供的远程威胁破坏和遏制功能,但预计到 2025 年,这一比例将上升到 50%。解决这一问题刻不容缓:卡巴斯基 MDR(托管检测和响应)在 2023 年处理了 430 多起安全事件,其中的大部分严重事件是在政府机构、工业和金融组织中检测到的。网络威胁形势不断变化,许多组织难以招架。
托管检测和响应解决方案是如何运作的?
那么,MDR 在实践中是如何运作的呢?它是一种网络安全产品,以托管服务的形式提供,用于加快威胁的识别和修复,并最大限度地降低威胁对企业的影响。MDR 将人力安全技能和先进技术相结合,这意味着可以大幅度节约成本并提高资源利用效率。
优质的 MDR 服务通常包括以下五个主要功能:
事件优先级排序
由技术熟练的员工对安全事件进行检查,并根据预先设定的自动规则展开事件评估,从而确定哪些事件更严重或更危险。误报和不可能造成问题的事件会被降低优先级,而最严重的问题会被提高至队列的最前面,由其他 MDR 服务处理并进行更详细的评估。
威胁搜索
自动化对于识别潜在威胁极为有用,但它并不是万能的解决方案。经验丰富的“威胁猎手”擅于发现异常活动以及网络犯罪分子在进行可能的数据泄露或攻击中表现出的各种行为。在手动操作和数字工具结合使用的情况下,可以更加迅速地标记出威胁,从而采取措施进行快速修复。
威胁调查
识别出威胁后,下一步就是深入分析并找出问题的根源。托管调查服务可以深入挖掘事件的根源,包括发生了什么、何时发生以及在哪里发生。同时,它们还会识别出已经受到影响或可能受到影响的系统、数据、应用程序和用户。所有这些背景信息对于找出最有效、最合适的方法来消除威胁至关重要。
响应协助
MDR 安全合作伙伴可以为组织提供建议和解决方案。专家可以利用自身的经验以及通过威胁搜索和调查收集到的信息,就解决问题的最佳方法提出建议。例如,如何消除即将发生的威胁,以及如何应对已经发生的攻击并复原系统。
托管修复
必要时可以启动修复流程来消除所有威胁痕迹,并将系统、应用程序和数据恢复到攻击发生前的状态。这可能涉及一系列流程,如恶意软件清除、注册表清理、拒绝未授权访问、系统恢复以及其他措施。具体使用哪些措施取决于威胁或攻击的性质,在与 MDR 安全专家协商后做出选择。
MDR 与传统反病毒软件有何不同
MDR 服务与传统反病毒安全软件的最大区别在于,MDR 是主动式的,而反病毒软件是被动式的。
一般来说,反病毒系统依赖于签名检测,不同的恶意软件变体会有自己的指纹,而系统会查找这些指纹。然而,越来越多的网络犯罪分子在开发独特的恶意软件变体,它们与任何其他变体都不同,因此无法通过指纹进行检测。在任何情况下,反病毒软件都无法检测出这些变体,直至它们已经入侵到系统中,这时再想阻止它们造成任何影响往往为时已晚。
而托管检测和响应工具则可以全天候不间断地主动查找系统中的恶意软件感染,从而减轻其影响。
MDR 和 EDR 的区别是什么
EDR 表示“端点检测和响应”,与 MDR 在优先级排序阶段使用的自动规则配合使用。EDR 工具将记录所有端点上的事件和行为模式,然后根据安全团队制定的自动规则对其进行评估。检测到的任何可疑模式或活动都会被标记出来,由安全团队进一步调查。
因此,对于许多组织而言,EDR 是 MDR 的一个组成部分,技术娴熟的 IT 安全专家会将其与完善的流程和方法配合使用。
托管检测和响应是否和 XDR 一样?
不完全一样。简单来说,XDR(扩展检测和响应)将 MDR 的原则提升到了一个新的水平。XDR 整合了从不同来源收集的大量数据,使威胁捕获和调查有了更多信息,也更加主动。它还利用更先进的工具,包括数据防丢失以及身份和访问管理 (IAM),来全面了解整个企业的威胁状况。
MDR 的主要优势是什么?
托管检测和响应服务能够通过多种不同的方式转变企业的安全策略,并全面提升安全操作的性能。MDR 安全服务的优势包括但不限于以下几点:
缩短检测时间
有些组织需要几个月的时间才能检测到安全事件,而在此期间,系统、应用程序和数据可能已经遭受了难以估量的巨大破坏,有时企业甚至毫不知情。MDR 可以将检测时间缩短到几天、几小时,甚至几分钟,从而大大缩小攻击的潜在影响范围。
改进安全态势
MDR 服务可以大大降低造成严重影响的漏洞发生的几率,使企业在受到攻击时变得更强大、更有弹性。它还有助于确保企业的整体安全配置得到更好的优化,并适应业务需求和攻击情况的不断变化。
持续威胁检测
托管检测和响应工具能够全年全天候不间断地搜索威胁,从而确保威胁和恶意软件在系统中无处可藏,随时准备采取应对措施。这类工具可以对数据模式和行为进行持续分析,从而在任何恶意行为发生之前将异常活动标记出来。
更迅速的威胁响应和修复
上述三点都有助于加快威胁响应和修复速度。借助 MDR 更早发现问题,就可以更快做出威胁响应,从而更加及时地对受影响区域采取适当的修复措施。
减轻安全人员负担
在安全人员已经短缺的情况下,让他们同时使用几种不同的安全技术会占用他们更多的宝贵时间,给他们带来压力和负担。这可能会导致事件被遗漏,而且因为没有时间而无法正确使用所拥有的工具。将这一重担更多交付给托管服务和技术娴熟的第三方专家,就能够减轻这一压力,并最大限度地提高内部团队的日常工作效率。
尽量降低警报疲劳风险
使用安全技术大大增加了安全团队获知和必须处理的警报和事件的数量。除了琐碎、重复和容易出现人为错误之外,这还使安全人员难以确定哪些问题最为紧迫,需要优先处理。MDR 服务中的优先级排序程序会分析并标记最紧急的问题,代替安全团队对事件进行分类,从而有效解决了这一问题。
在使用托管检测和响应服务时应注意什么?
MDR 服务市场的潜力巨大:Gartner 调查显示,MDR 市场规模正在以 48% 的速度快速增长,到 2025 年将达到 22 亿美元。这意味着市场上将出现许多不同的托管检测和响应工具提供商,这可能会使您很难挑选出符合您特定需求和要求的提供商。在挑选过程中,我们建议您关注以下四个属性:
额外的 MDR 技能
您的安全团队很可能已经具备了相当丰富的技能,但全球技能差距的存在意味着,您很可能在某些方面还需要加强。您应该在开始评估供应商时确定这些差距,并寻找在这些特定领域有深厚专业能力和成熟技术的供应商,以便他们能够增强和完善您的团队。
MDR 安全知识和能力
出色的托管检测和响应服务将具有当前安全领域的最新知识。它们将了解最新出现的威胁以及推动网络犯罪的许多潜在因素,包括相关的任何地缘政治和文化因素。这些知识与它们提供的安全技能和能力相结合,将为大多数内部安全团队带来价值。
MDR 服务提供与合作
您可能对潜在的 MDR 安全服务所提供的专业知识和技能感到满意,但它们仍需要与您现有的团队、技术和整个组织保持良好的契合度。它们应该能够确保清晰沟通,以便双方能够轻松地交流信息和见解。这将有助于内部安全团队更快地掌握新方法。它们还应该能够提供全天候保护,从而在安全团队正常工作时间之外保证系统的安全。
全面的解决方案
归根结底,您应该选择涵盖各个方面的 MDR 安全服务。卡巴斯基托管检测与响应解决方案提供先进的保护技术、主动的威胁捕获、自动和引导式响应,以及全球公认的专业技术,让您安心无忧。这不仅能确保将网络威胁的风险降到最低,还能让您对 MDR 做出的 IT 安全投资获得最大回报。
卡巴斯基托管检测与响应和卡巴斯基事件响应被 Quadrant Knowledge Solutions 评为 2023 年技术领先产品,这是对这些解决方案能够有效保护企业免受网络犯罪分子侵害的高度认可。
相关文章:
