甚麽是託管偵測和回應(MDR)?
託管偵測和回應(MDR)是一種全面管理的網絡安全解決方案,這種服務是將安全專家、威脅情報和先進工具結合起來,為機構提供 24 小時全天候的威脅保護。
大量資料顯示,網絡安全對全球個人和企業帶來的威脅日益嚴重,但較少人會知道,一些機構在維持強大的防禦和回應機制上感到極度吃力。
Kaspersky 的調查顯示,41% 的資訊安全專業人員表示其機構的網絡安全團隊人手「有些」或 「極度不足」。這反映市場對安全專業人員的需求很大,而機構發現要吸引和留住足夠且具備適當技能的員工變得越來越困難。世界經濟論壇(World Economic Forum)發現,對於 52% 的公共機構來說,技能差距是實現網絡韌性的最大挑戰。與此同時,少於一半的小型企業表示他們擁有應對網絡攻擊並能從中恢復的技能。
因此,許多企業開始轉向託管服務,以獲取所需的解決方案和專業知識,確保資料、系統、應用程式和使用者的安全。實現這個目標的最有效方法之一就是透過託管偵測和回應(MDR),但直到現在機構才逐漸意識到 MDR 安全對其業務的重要性。Gartner 的調查發現,在 2023 年只有 30% 的機構積極使用由 MDR 提供商所提供的遙距威脅中斷和遏制功能 - 但預計到 2025 年,這一比例將上升到 50%。Kaspersky MDR(Managed Detection and Response,託管偵測和回應)在 2023 年處理了 430 多宗安全事件,其中大部分的重大事件是在政府機構、工業和金融機構中偵測到的。網絡威脅環境不斷演變,對許多機構來說都難以跟上。
託管偵測和回應是如何運作的?
那麼,MDR 實際上是如何運作的?這是一種網絡安全形式,以託管服務的形式提供,目的是加快對威脅的識別和補救,盡量減少威脅對企業的影響。MDR 將人力安全技能和先進技術結合,這樣就可以產生巨大的成本和資源效益。
良好的 MDR 服務通常包括五大功能:
為事件排列優先次序
技術熟練的員工對安全事件進行檢查,並根據預先設定的自動規則對事件進行評估,從而確定哪些事件比其他事件更具相關性或有更大風險。然後排除假陽性事件和那些不太可能成為問題的事件,而問題最嚴重的事件則會被排在佇列的最前位,由其他 MDR 服務來處理並進行更詳細的評估。
威脅搜尋
自動化功能是識別潛在威脅的一個極強大工具,但不能完全依靠它並視為能「一網打盡」的解決方案。經驗豐富的「威脅獵手」擅長於發現異常活動和網絡犯罪分子在建立潛在資料洩露或攻擊時的各類型行為。透過人手和數碼技術的結合,可以更快地發現威脅,從而更快地進行補救。
威脅調查
在確定威脅之後,下一階段就是深入探討並找出問題的根源。託管調查服務能查明事件的根本原因、時間和地點,並確定已經或可能受到影響的系統、資料、應用程式和使用者。所有這些背景資訊對於找出最有效、最合適的方法來消除威脅皆十分重要。
回應協助
透過與 MDR 安全合作夥伴合作,機構可以獲得相關的建議和解決方案。專家可以利用自身的經驗以及透過威脅搜尋和調查來收集資訊,從而為解決問題提出最佳方法的建議。這可能是消除可能會發生的威脅,也可能是如何應對已經發生的攻擊並從中復原。
管理補救
補救流程(當有需要時)旨在清除威脅的所有痕跡,並將系統、應用程式和資料恢復到攻擊發生前的狀態。這可能涉及一系列流程,例如惡意軟件清除、註冊表清理、拒絕未經授權的存取、系統還原和其他措施。使用哪些措施取決於威脅或攻擊的性質,並且會在與 MDR 安全專業人員協商後才決定採取哪些行動。
MDR 與傳統防毒軟件有何區別?
MDR 服務與傳統防毒安全防護的最大區別在於 MDR 是主動的服務,而防毒是被動的服務。
一般來說,防毒系統依賴於偵測特徵,因為不同變種的惡意軟件都有自己的指紋,系統會查找這些指紋。然而,越來越多的網絡犯罪分子正在開發獨一無二的惡意軟件變種,這些變種與其他惡意軟件不同,因此無法透過這些指紋進行偵測。而在任何情況下,防毒軟件都無法偵測到這些變種,直到它們已經出現,但這時才想加以制止任何影響通常為時已晚。
而託管偵測和回應工具則會 24 小時全天候主動查找系統中的惡意軟件感染,並減輕其影響。
MDR 和 EDR 有何區別?
EDR(Endpoint Detection and Response)是端點偵測和回應的縮寫,它配合在 MDR 的排列優先次序階段中所使用自動規則運作。部署的 EDR 將記錄所有端點上的事件和行為模式,然後根據安全團隊制定的自動規則對進行評估。偵測到的任何可疑模式或活動都會被標記,供安全團隊進一步調查。
因此,對許多機構來說 EDR 是 MDR 的一個組成部分,它配合熟練的資訊科技安全專家和現存的流程和方法一起運作。
託管偵測和回應是否等同於 XDR?
不儘然。最簡單的說法是,XDR(即擴展偵測和回應)將 MDR 的原則提升到一個更高的水平。XDR 整合了從各種不同來源收集到的大量資料,能更明智及主動地捕獵和調查威脅。此外還利用更先進的工具,包括資料遺失防護和身份與存取管理(IAM),能夠全面檢視整個企業的威脅狀況。
MDR 有甚麽主要好處?
託管偵測和回應服務能以多種不同的方式改變機構的安全防護方法,並提高幾乎所有安全防護領域的表現。託管偵測和回應服務的安全優點包括但不限於以下各項:
縮短偵測時間
有些企業需要幾個月的時間才能偵測到安全事件,在此期間,系統、應用程式和資料可能已經遭受難以估量的破壞,有時甚至企業自己都不知道。MDR 不僅可以將這個時間縮短到幾天或幾小時,甚至可以縮短到幾分鐘,從而大幅降低攻擊能造成的潛在影響範圍。
改善安全狀況
MDR 服務可以使企業在遭受攻擊時變得更強大、更有韌性,因為它能大幅降低漏洞造成的影響。此外還有助確保企業的整體安全設定得到優化,並在業務需求和攻擊特徵不斷變化的情況下保持不變。
持續對威脅進行偵測
託管偵測和回應工具能夠全年 365 天、每週 7 天、每天 24 小時搜尋威脅,確保威脅和惡意軟件無法「隱藏」在系統中隨時準備在未來啟動。可以持續分析資料模式和行為,從而在發生任何惡意行為之前就能對異常活動發出警報。
更快的威脅回應和補救
上述三項都有助於快速應對威脅和執行補救措施。更早地瞭解問題,就能更快地根據 MDR 制定威脅應對措施,這意味著可以更及時地對受影響領域執行正確的補救活動。
減輕安全人員的負擔
在安全人員已經短缺的情況下,要求他們同時使用幾種不同的安全技術,會給他們寶貴的時間帶來更大的壓力和負擔。這可能會導致遺漏一些事件,也可能會導致他們因為沒有時間而無法正確使用所掌握的工具。將這一重擔交由託管服務和熟練的第三方專家負責處理,可以減輕這方面的壓力,並大幅提高團隊的日常工作效率。
將警報疲勞風險降至最低
使用安全技術會大幅增加安全團隊知道和必須處理的警報和事件的數量。除了瑣碎、重複和容易出現人為錯誤之外,還會令安全人員難以確定哪些問題是最緊迫的,需要優先解決。MDR 服務中的優先次序排列流程透過分析和標記最緊急的問題,以及代表安全團隊將需要處理的事件分流可解決這個問題。
你對託管偵測和回應服務應該有哪些要求?
MDR 服務的市場前景十分廣闊:Gartner 的調查顯示,MDR 市場正在以 48% 的速度增長,到 2025 年將達到 22 億美元。這意味著將出現許多不同的託管偵測和回應工具提供商,同樣亦代表你會很難選擇適合你特定需求和要求的供應商。作為選擇過程的一部分,我們建議你留意以下四個特點:
額外的 MDR 技能
你的安全團隊很可能已經具備了相當的技能基礎,但正如全球技能差距所顯示,你很可能還有一些領域需要加強。在開始考慮供應商時,你就應該找出這些差距,並尋找擅長這些技能和技術成熟的供應商,以便他們能夠增強和完善你的團隊。
MDR 安全知識和能力
管理完善的偵測和回應服務能夠掌握目前的安全形勢和擁有最新的相關知識。他們瞭解最新出現的威脅,並知道許多驅動網絡犯罪的潛在因素,包括所涉及的任何地緣政治和文化環境。這些知識加上他們的安全技能和能力,可為大多數內部安全團隊增添價值。
MDR 服務提供和協作
你可能對潛在的 MDR 安全服務所能提供的專業知識和技能感到滿意,但他們仍然必須符合你現有的團隊、技術和機構的更泛部門的需求。他們應該能夠展示出會致力於清晰的溝通,從而使資訊和見解能夠在雙方之間暢順地交流。這將有助內部安全團隊更快地掌握新方法。他們還應該展示能提供 24 小時全天候的保護,這將有助安全團隊在正常工作時間以外確保系統能安全運作。
全面的解決方案
最後,你應該尋找能涵蓋所有基礎領域的 MDR 安全服務。像 Kaspersky Managed Detection and Respons 這樣的解決方案可以提供先進的保護技術、主動威脅捕獵、自動和引導式回應,以及全球公認的專業技術,能讓你安心使用。這不僅確保將網絡威脅的風險降至最低,還確保您能從對 MDR 的 IT 安全投資中獲得最大的好處。
Kaspersky Managed Detection and Response 和 Kaspersky Incident Response 被 Quadrant Knowledge Solutions 評為 2023年技術領導者之一,這是對這些解決方案在保護企業免受網絡犯罪分子侵害的高度認可。
