什么是托管式侦测与响应 (MDR)?

Sophos MDR Sophos 勒索软件报告

侦测和响应 (MDR)托管式</3 是一种完全托管的、24/7全天候由专家提供的服务,专家团队擅长侦测和响应仅靠技术解决方案无法阻止的网络攻击。通过将人类专业知识与保护技术和先进的机器学习模型相结合,MDR分析师可以侦测、调查并消除先进的人类发起的攻击,从而防止数据泄露和勒索软件。

对 MDR 服务的需求正在急剧增加,Gartner 预测,到 2025 年,半数组织将采用 MDR 服务。

为什么 MDR 很重要?

现实是,技术无法阻止每一次攻击。今天,资金雄厚的敌手滥用窃取的凭证、错误的安全配置和合法的IT工具来绕过防御技术,并且不断地创新和工业化他们的方法。

唯一可靠地侦测和消除坚定攻击者的方法是由安全运营专业人员提供的24×7全天候监控。对于大多数组织来说,自己提供这种全天候的专家监控是不实际的。因此,越来越多的公司开始求助于专业的托管式侦测与响应服务 (MDR) 供应商以获得支持。

MDR 服务提供哪些内容?

虽然每项 MDR 服务的具体内容可能有所不同,但通常包括以下几种服务:

  • 专家领导的 24/7 全天候威胁监测和响应
  • 专家领导的威胁追捕
  • 威胁隔离:中断攻击,阻止传播
  • 全规模事件响应:完全消除威胁
  • 根本原因分析:防止将来再次发生
  • 运行状况检查以确保系统的安全态势良好
  • 每周和每月报告

MDR 服务如何工作?


侦测与响应过程的六个主要步骤:

  1. 收集:从整个 IT 生态系统中收集安全遥测数据,包括端点、防火墙、网络、云、电子邮件和身份辨识解决方案。分析师看到的越多,他们的响应就越快。
  2. 威胁侦测:结合威胁情报和业务环境信息,对数据进行深入分析,提供全面的威胁视图。对相关的安全事件进行聚类,以完成高效的调查。
  3. 威胁捕猎:经验丰富的分析师主动查找可能绕过安全产品的威胁。他们寻找网络罪犯常用的战术、技术和程序 (TTPs) ,以及可能绕过各种安全工具的威胁。
  4. 调查:分析师评估威胁的范围和严重性,并找出下一步应对措施。
  5. 补救:分析师中断攻击,防止其扩散,清除恶意软件,并隔离 受影响的系统。

  6. 抵消:分析师进行根本原因分析,彻底排除攻击者,并防止类似事件的再次发生。

     

谁在使用托管式侦测与响应?

无论是 IT 资源有限的小公司,还是有内部 SOC 团队的大型企业,所有行业所有类型的企业都使用 MDR 服务。真正的问题是:企业如何使用 MDR 服务?MDR 响应模型有三种:

  • MDR 团队代表客户完全管理威胁响应
  • MDR 团队与内部团队合作,共同管理威胁响应
  • MDR 团队提醒内部团队,提供修复指南

每个组织都是独特的,应选择最符合其需求的 MDR 响应模型。

MDR 提供商的主要类型有哪些?

MDR 提供商主要有三种类型:

  1. 自带技术:这些提供商从多个来源收集安全信息,但通常只提供警报,而不提供具体行动。他们在洞察的深度和速度上可能有所限制。
  2. 单一供应商:第二类的厂商提供其本身安全产品的 MDR 服务,这些技术工具与 MDR 服务集成。然而,这通常要求客户移除并更换其现有的网络安全工具,且行动范围仅限于其产品所能执行的操作。
  3. 完全灵活:完全灵活的提供商结合前两种类型的优点。他们能够利用您的现有安全产品(无需更换) 和他们自有的安全产品的任意组合,从而提供深入的响应能力。

MDR 的优势是什么?

  1. 卓越的网络防御 :使用 MDR 供应商相比纯内部安全运营计划的主要优点之一,是针对勒索软件和其他高级网络威胁的防护有所提升。使用 MDR,可以收益于供应商分析师的广泛而深入的经验。MDR 供应商遇到的攻击数量和种类超过任何一个组织,其掌握的专业知识是内部几乎无法做到的。
  2. 释放 IT 资源: 威胁侦测和响应既耗时又不可预测。工作的紧迫性可能阻止团队将精力集中在更加有战略性 — 往往也更有趣的 — 挑战。使用 MDR 服务,您可以释放 IT 能力,支持业务尤关的活动。
  3. 24/7 安心保障 : 攻击随时可能发生。您的 IT 团队最不可能在线的时候,例如晚上、周末和假日,攻击的敌手最活跃。因此,威胁侦测与响应是全天候任务;如果您仅在办公时间工作,您的企业将暴露在风险下。MDR 服务提供 24/7 全天候覆盖,让人放心和安心。对于 IT 团队,这意味着 — 名副其实 — 晚上能够安枕无忧。他们可以放松,知道 MDR 提供商 — 而不是他们 — 将在晚上负责,这样可以重新获得自己的个人时间。对于高管和客户,24/7 全天候专家覆盖和保持随时高网络就绪,能提供强大的保证,他们的数据和企业本身得到充分保护。
  4. 增加专业知识,而非增加人员: 威胁侦测与响应是一项高度复杂的工作。这个领域的专业人员需要具备特定的、专业的技能组合。 这种稀缺的能力组合,加上明显的技能短缺,使得许多组织在招募威胁分析师时面临巨大的挑战,甚至是不可能完成的任务。MDR 服务为您提供专业知识,使组织能够在不增加人员的情况下扩展其安全操作能力。
  5. 提高您的网络安全 ROI:  维持一个24/7全天候的威胁捕猎团队成本高昂。要提供全天候的覆盖,您至少需要五到六名网络安全人员轮班工作。凭借规模经济,MDR 服务提供了一种具有成本效益的方式来保护您的组织并进一步发挥您的网络安全预算。

此外,通过提升您的防护,MDR 服务还极大减少遇到高昂的数据外泄的风险,避免处理大型事件的经济负担。根据 2021 年⁶ 的数据,中型组织应对勒索软件攻击的平均成本高达 140 万美元,因此投资于防护措施是一个明智的财务决策。

选择与您现有的安全技术集成的厂商可以提升投资回报率。此外,MDR 服务帮助组织满足许多关键的网络安全控制要求,这对于获得保险资格及优越的保费和保险覆盖至关重要。

MDR 与端点侦测与响应 (EDR) 以及扩展式侦测与响应 (XDR)的比较如何?

不要将 MDR 与 EDR (端点侦测与响应)和 XDR (扩展式侦测与响应)混淆。

虽然 MDR、EDR 和 XDR 都支持和实现威胁侦测和响应,但 EDR 和 XDR 是帮助分析师对潜在威胁进行捕猎和调查的工具;而 MDR 则是一项服务,由安全厂商的分析师代表您进行威胁捕猎、调查和抵消。

顾名思义,EDR 工具利用端点保护技术的遥测数据工作,而 XDR 工具则将数据源扩展到更广泛的 IT 堆栈(包括防火墙、电子邮件、云、网络、身份辨识和移动安全解决方案)来扩展其数据来源,提供更全面的可见性和深入的洞察力。在 Sophos,我们在提供 MDR 服务时使用行业领先的 EDR 和 XDR 解决方案。

MDR 与安全信息和事件管理 (SIEM) 有何区别?

  • SIEM 是一种技术,会从您已经使用的安全工具中收集数据。SIEM 汇总和分析这些数据,以识别威胁异常。
  • MDR 是以人为主导的服务,结合遥测分析、深度的威胁专业知识及调查和响应能力。

MDR 与托管安全服务提供商 (MSSP) 有何区别?

MDR 提供商专注于威胁侦测与响应。MDR 不负责日常网络安全管理,例如部署安全技术,更新政策,打补丁或安装更新。托管式服务提供商 (MSPs) 为寻找此方面支持的企业提供 IT 安全管理服务。

如何选择合适的 MDR 服务提供商

在选择 MDR 服务时,组织应考虑以下因素:

  • 提供商的服务广度和深度如何?他们的威胁情报和专业知识水平如何?
  • 他们提供的服务模式是否符合您的需求?
  • 他们有多少人员负责提供服务?
  • 他们在您的行业领域有何经验?
  • 他们如何提供 24/7 全天候的服务?他们是否在全球都设有安全运营中心 (SOC)?
  • 他们侦测与响应威胁的平均时间是多少?
  • 他们为您现有的安全投资提供了哪些集成?
  • 客户对服务的评价如何?
  • 在独立评估中,他们的表现如何?
  • 他们是否提供网络入侵保固?如果提供,您的组织可以获得多少保险覆盖?

Sophos MDR 提供最佳的安全成效

Sophos 的托管式侦测与响应 是全球领先的 MDR 服务。您可以使用 Sophos MDR 来保护您的计算机、服务器、网络、云工作负载和电子邮件账户等。想要开始使用 Sophos MDR,请立即联系我们。

与专家讨论

相关安全主题:什么是端点安全?

了解更多网络安全新闻