随着数字化转型加速,企业的IT环境日益复杂,面临的网络安全威胁也在不断增加。传统的防御措施已经无法有效应对新型威胁,而且很多企业缺乏专业的网络安全团队和技术手段,导致大量的安全事件未能及时被发现和处理。
在这种背景下,托管威胁检测响应服务(MDR)应运而生。MDR能够利用现代安全运营中心的技术和专业人员,为客户提供全天候的安全监测和快速响应,从而缩短威胁发现和响应之间的窗口期,降低风险并减轻安全运营压力。
那么什么是MDR,MDR都包含了什么?MDR又与XDR是什么关系,与MSS又有什么区别?带着这些问题我们来了解托管威胁检测与响应(MDR)
托管威胁检测与响应(Managed Detection and Response,托管检测与响应)是一种外包服务,旨在提供7x24小时的网络安全事件监测和分析,快速发现威胁并进行有效的响应。它结合了分析和人类专业知识来检测和消除网络中的威胁。大多数MDR服务通过主机层与网络层的威胁监测与分析技术,生成、收集安全事件以及上下文数据,结合安全运营平台的数据分析技术和安全运营专家的技术力量共同完成。
通俗一点讲,就是一些中小企业受制于在人员、时间、技能、资金、流程等方面的缺失,将企业自身的安全威胁检测与响应的活委托给安全服务商(Managed Security Service Provider, MSSP),通过外部托管安全服务提供商(MSSP)提供专业知识并填补安全架构空白,从而解决许多企业网络安全专家短缺技能不足的问题。从趋势上看,越来越多的企业转向选择MDR,由此获得最大化的投入产出效果。
倾向于采用MDR的企业的几种情形:
Gartner将托管威胁检测与响应(MDR)其描述为通过7x24小时全天候不间断的监控和覆盖,建立起快速威胁检测与有效响应的服务。绝大多数MDR服务是通过主机层与网络层的技术生成、收集安全事件以及上下文数据,支持威胁检测与事件分析。
MDR服务一般包含以下内容:
MDR充分利用客户侧已部署的终端、边界、流量等防护设备,通过行为分析、流量分析、威胁情报以及与多级专家的组合,为客户提供更加快速和全面的威胁监视、检测和响应服务。MDR服务具有现代安全运营中心远程交付的能力,专注于精准检测、调查分析、积极遏制事件,旨在通过持续运营以减少威胁发现和威胁响应之间的时间。
MDR服务不仅限于更强的检测和响应能力,它还可以为不堪重负的安全团队提供主动防御情报和高级威胁洞察。企业还可以使用MDR服务来应对合规挑战,因为它提供有关各种法规和标准的完整报告和日志保留。
XDR全名是Extended Detection and Response(扩展检测和响应)Gartner给出的XDR定义为:XDR是一种基于SaaS的、绑定于特定供应商的安全威胁检测和事件响应工具,它将多个安全产品集成到一个统一了所有许可安全组件的内聚安全运营系统中。
通常情况下,可以认为XDR是一个融合了多种安全检测、响应能力的平台框架,只要是为了解决威胁检测与响应的问题能力模块,都可以往里装。特别的强调X的概念,也就是可以 扩展(Extended)的检测与响应。大家都知道在数学里通常用X表示变量,这里X覆盖了云、网、端、威胁情报等,EDR和NDR及其他的检测设备都可以作为XDR的能力模块作为X为XDR提供数据来源和检测手段。实际在威胁检测与响应的过程中人也是重要的环节,除了EDR、NDR,MDR中的M也可以认为是X的一种。
MDR是一种托管检测和响应服务,通过外部托管安全服务提供商(MSSP)提供专业知识并填补安全架构空白,解决许多企业网络安全专家短缺的问题。MDR帮助公司保持监控状态,预测并防止潜在的网络攻击。
XDR是一种更强大的网络安全解决方案,可从多个来源收集和分析数据,以预防、检测和响应网络攻击。XDR是端点检测和响应(EDR)的演进版本,通过以标准格式汇集历史和实时事件数据来提高安全团队的效率和生产力。XDR超越了EDR,具有跨网络的检测和缓解功能,可有效保护企业的整个数字环境,包括网络、云存储、应用程序和端点。XDR提供多种类型的检测,特别适合那些现有解决方案无法覆盖所有攻击面的的企业。XDR支持可扩展的高性能存储、快速索引搜索和自动化驱动的威胁响应,经常以软件即服务(SaaS)的形式提供,使企业更容易使用该技术。
总的来说,MDR和XDR都是用于检测和响应网络安全威胁的解决方案,但XDR概念更大,是一个覆盖了所有能够解决威胁检测与响应的框架,而MDR托管检测和响应服务更加强调的是人和服务。MDR是通过使用各种XDR的工具和模块如EDR、NDR或其他工具和手段来实现威胁的检测和响应服务。
Garter将MDR服务描述为:为客户提供远程交付的现代安全运营中心(MSOC)功能,通过提供24/7连续监测来在建立和改进有效的早期威胁检测和响应。
MSS(Managed Security Service,托管安全服务)由来已久,主要是由托管安全服务商( MSSP)对企业的安全设备及系统进行外包的监控和管理,常见的服务包括托管防火墙、入侵检测、虚拟专用网络、漏洞扫描以及反病毒服务。
MDR(托管威胁检测与响应)和MSS(托管安全服务)是两种不同的安全服务,虽然它们的目标都是帮助组织提高安全性,但在实现方式和关注点上还是存在一些区别。以下是它们的主要区别:
1.关注点不同:
2.响应方式不同:
3.服务深度不同:
4.技术要求不同:
总体而言,MDR更注重在发生安全事件时的实时响应和深度分析,而MSS则更广泛地提供安全服务,包括对整个安全基础设施的管理和监控;MSS主要关注预防,而MDR则更注重检测和响应;MSS的服务宽且浅,MDR的服务窄且深。
Gartner认为MSS和MDR是交集的关系,MSS尚不会完全覆盖MDR服务。两者之间最大的区别在于,MSS服务在发现威胁或告警的时候,会通知企业自行处置,而MDR则会利用自身的技术去完成对威胁的检测,帮助企业完成响应和处置的工作。不过,随着托管安全服务的发展,这两种服务之间的界限越来越模糊,很多MSS厂商也开始提供MDR服务。