XDR(擴(kuò)展威脅檢測和響應(yīng))是近年網(wǎng)絡(luò)安全行業(yè)中的一個熱門技術(shù)，代表了傳統(tǒng)單點式威脅檢測和響應(yīng)能力的融合與擴(kuò)展，以提供一個多檢測功能協(xié)同的平臺，其中包括了端點安全保護(hù)、云訪問安全代理(CASB)、Web安全網(wǎng)關(guān)(SWG)、電子郵件網(wǎng)關(guān)(SEG)、網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)入侵防御系統(tǒng)(NIP)以及統(tǒng)一身份管理(IAM)等。

然而，XDR技術(shù)在應(yīng)用推廣時，卻面臨了一個關(guān)鍵的制約因素：人。XDR是一種先進(jìn)的威脅檢測工具。但如果想最大化獲得該工具的應(yīng)用價值，企業(yè)還需要具備能夠深入分析各種檢測結(jié)果并確定響應(yīng)優(yōu)先級的人才。沒有這些人才，使用XDR就等于簡單地將所有有關(guān)威脅的信息傾倒在一個大鍋里“亂燉”，繼續(xù)給攻擊者留下可乘之機(jī)。在此背景下，很多企業(yè)開始關(guān)注并選擇另一種解決方案——MDR(托管威脅檢測與響應(yīng)服務(wù))。

什么是MDR?

MDR可被理解為托管式的XDR服務(wù)，通過設(shè)置于云端的統(tǒng)一威脅檢測和響應(yīng)平臺，幫助企業(yè)實現(xiàn)威脅事件調(diào)查和處置的自動化，包括情報收集、分析、分類和響應(yīng)等，而不是依賴傳統(tǒng)的人工處置模式，大大降低對自身安全團(tuán)隊的專業(yè)性要求。

通過應(yīng)用MDR服務(wù)，組織能夠較容易地將先進(jìn)的威脅檢測技術(shù)與人類專業(yè)知識有效結(jié)合，以實時、全天候地監(jiān)控、檢測和響應(yīng)針對組織的網(wǎng)絡(luò)威脅。MDR服務(wù)流程通常包括以下五個關(guān)鍵步驟：

1.優(yōu)先級排序

通過優(yōu)先級排序可以幫助組織確定首先要處理哪些警報。通過自動化和人工分析的組合，MDR能夠?qū)M織每天產(chǎn)生的大量安全警報進(jìn)行分類，并將誤報與重大網(wǎng)絡(luò)威脅區(qū)分開來。然后，通過附加的上下文對結(jié)果進(jìn)行豐富，并提煉成高質(zhì)量的安全檢測報告。

2.威脅獵殺

MDR提供了全天候的主動式網(wǎng)絡(luò)威脅獵殺能力，可通過網(wǎng)絡(luò)威脅情報平臺收集有關(guān)潛在風(fēng)險的關(guān)鍵數(shù)據(jù)，然后將這些信息傳遞給威脅分析師。這些人類專家擁有廣泛的技能和知識，可以識別和應(yīng)對被自動化技術(shù)解決方案遺漏的隱形網(wǎng)絡(luò)威脅。

3.事件調(diào)查

MDR能夠幫助分析師全面調(diào)查網(wǎng)絡(luò)威脅，讓組織清楚地了解網(wǎng)絡(luò)威脅的嚴(yán)重程度和重要性。MDR服務(wù)能夠提供詳細(xì)信息，包括網(wǎng)絡(luò)攻擊的類型、發(fā)生的時間、受影響的人員以及網(wǎng)絡(luò)攻擊的嚴(yán)重程度。利用這些有價值的信息，組織可以規(guī)劃出有效的應(yīng)對措施，并確定下一步行動。

4.根除和補(bǔ)救

事件補(bǔ)救是破壞網(wǎng)絡(luò)攻擊以防止其蔓延的重要過程。這可能涉及刪除惡意軟件、隔離受影響的網(wǎng)絡(luò)或系統(tǒng)、驅(qū)逐入侵者、清理注冊表以及消除惡意軟件持久性機(jī)制。有效的補(bǔ)救措施可確保組織網(wǎng)絡(luò)恢復(fù)到網(wǎng)絡(luò)攻擊前的狀態(tài)。

5.溯源分析和報告

安全事件解決后，需要進(jìn)行事件后的溯源分析和報告，記錄事件的詳細(xì)信息，包括其原因、影響、響應(yīng)行動和經(jīng)驗教訓(xùn)。這些信息可用于改進(jìn)組織的事件響應(yīng)流程、更新安全策略和程序以及增強(qiáng)組織的整體安全態(tài)勢。

MDR的應(yīng)用價值

相比XDR方案，MDR被認(rèn)為是一種更加經(jīng)濟(jì)有效的方法，不僅可以更好保護(hù)組織免受網(wǎng)絡(luò)攻擊，還能提供諸多好處。

• 不間斷保護(hù)：MDR服務(wù)商需要提供持續(xù)的網(wǎng)絡(luò)安全監(jiān)控和保護(hù)。這確保了針對組織的網(wǎng)絡(luò)威脅能夠被快速檢測和阻止。
• 風(fēng)險降低：隨著網(wǎng)絡(luò)攻擊的增加，保護(hù)組織和數(shù)據(jù)安全至關(guān)重要。MDR有助于主動尋找、檢測和響應(yīng)潛在的網(wǎng)絡(luò)威脅，并降低重大數(shù)據(jù)泄露的風(fēng)險。
• 提升網(wǎng)絡(luò)安全性：MDR是一種經(jīng)濟(jì)有效的方法，可以保護(hù)組織免受網(wǎng)絡(luò)威脅，而無需雇用額外的全職安全團(tuán)隊員工。這些服務(wù)還可以幫助組織避免代價高昂的數(shù)據(jù)泄露。
• 改善法規(guī)遵從性：許多MDR解決方案旨在幫助組織滿足特定于行業(yè)的需求，而MDR安全專家通常專門研究法規(guī)遵從性問題。MDR提供商可以提供有價值的見解，幫助組織簡化合規(guī)性報告。
• 減輕IT運營負(fù)擔(dān)：網(wǎng)絡(luò)威脅檢測和響應(yīng)是一項非常耗時、不可預(yù)測且緊急的工作。將這些任務(wù)外包給MDR提供商，可以使IT人員能夠?qū)Ｗ⒂诟邞?zhàn)略性和回報性的長期項目。
• 增強(qiáng)安全專業(yè)知識：當(dāng)與MDR提供商合作時，組織可以快速訪問高技能的網(wǎng)絡(luò)安全分析師，而無需在安全運營中心(SOC)團(tuán)隊中增加額外的人員。由于MDR分析師處理大量和廣泛的網(wǎng)絡(luò)威脅，他們提供的專業(yè)知識水平在其他地方很難找到。

MDR的典型應(yīng)用場景

MDR可以快速檢測和響應(yīng)各種網(wǎng)絡(luò)威脅，包括那些可能逃避傳統(tǒng)檢測方法的網(wǎng)絡(luò)威脅。以下是一些具體的用例，說明了MDR如何幫助保護(hù)組織的業(yè)務(wù)并降低風(fēng)險。

1.惡意軟件檢測

傳統(tǒng)的反病毒系統(tǒng)依賴于簽名檢測，即為每個惡意軟件變體創(chuàng)建一個指紋。但是惡意軟件的創(chuàng)造者正在通過制作獨特的變體來規(guī)避這些保護(hù)機(jī)制。為了解決這個問題，MDR提供商可以主動尋找并減輕組織內(nèi)部系統(tǒng)上的惡意軟件感染。

2.網(wǎng)絡(luò)釣魚防護(hù)

雖然許多組織已經(jīng)采用了智能網(wǎng)絡(luò)釣魚預(yù)防解決方案，但員工仍然有可能收到和回應(yīng)網(wǎng)絡(luò)釣魚電子郵件。MDR服務(wù)還可以在檢測更復(fù)雜的AiTM網(wǎng)絡(luò)釣魚和BEC網(wǎng)絡(luò)攻擊方面發(fā)揮作用。通過主動的網(wǎng)絡(luò)威脅獵殺，MDR服務(wù)可以幫助在早期階段發(fā)現(xiàn)潛在的網(wǎng)絡(luò)釣魚或AiTM網(wǎng)絡(luò)攻擊，分析其全部范圍，并持續(xù)監(jiān)控可疑或異?；顒?。

3.法規(guī)遵從

當(dāng)今的組織面臨著復(fù)雜的監(jiān)管環(huán)境，特別是在數(shù)據(jù)保護(hù)方面。當(dāng)與MDR合作伙伴合作時，組織可以訪問網(wǎng)絡(luò)安全和法規(guī)遵從性專家。通過使用專門的檢測功能來識別針對組織敏感數(shù)據(jù)的網(wǎng)絡(luò)攻擊者，將進(jìn)一步改善組織的安全態(tài)勢和法規(guī)遵從性。

4.云威脅防護(hù)

如今的大多數(shù)組織都采用了某種形式的云計算，以實現(xiàn)強(qiáng)大的業(yè)務(wù)優(yōu)勢。然而，從本地環(huán)境到云環(huán)境的轉(zhuǎn)變帶來了獨特且復(fù)雜的安全挑戰(zhàn)。MDR提供商可以幫助組織將源自內(nèi)部部署的云活動關(guān)聯(lián)起來，并檢測云數(shù)據(jù)泄露和云應(yīng)用程序漏洞。

5.阻止橫向移動

一旦網(wǎng)絡(luò)攻擊者進(jìn)入組織的網(wǎng)絡(luò)環(huán)境，他們就會試圖通過系統(tǒng)和賬戶來訪問數(shù)據(jù)，造成更多的破壞。MDR提供商可以通過檢測特權(quán)升級、安裝遠(yuǎn)程訪問工具的嘗試以及訪問控制的更改來幫助識別這種橫向移動。

MDR服務(wù)選型

Emerging Researchi最新研究報告認(rèn)為：從2023年開始，將有更多的企業(yè)組織會通過采購MDR服務(wù)，實現(xiàn)7*24的威脅態(tài)勢監(jiān)控、事件警報、調(diào)查分析和專家團(tuán)隊支持等安全能力建設(shè)。而預(yù)計到2030年，MDR服務(wù)應(yīng)用的年市場增長率將保持在18%以上。

當(dāng)企業(yè)選型MDR服務(wù)時，需要首先了解MDR服務(wù)在其整體安全計劃中的定位，同時還必須考慮如何與MDR服務(wù)商團(tuán)隊保持協(xié)同，避免產(chǎn)生“倦怠”情緒，影響實際的工作效率。為了確保MDR服務(wù)商擁有穩(wěn)定、可靠的威脅檢測和響應(yīng)能力，企業(yè)應(yīng)該重點關(guān)注以下10個因素：

熱門MDR解決方案特點分析

以下收集了6款目前較熱門的MDR服務(wù)，并從功能性、兼容性和可擴(kuò)展性等方面對其應(yīng)用特點進(jìn)行了分析。

1.Cynet 360

Cynet 360能夠在單一的原生化集成環(huán)境中提供終端、用戶及網(wǎng)絡(luò)防護(hù)服務(wù)。在快速安裝后，Cynet 360可向用戶交付所有主要攻擊途徑的高保真告警——終端上的惡意軟件、漏洞利用和無文件攻擊，匿名登錄，用戶賬戶連接，以及ARP欺騙、橫向移動及數(shù)據(jù)滲漏等基于網(wǎng)絡(luò)攻擊等。

Cynet平臺與CyOps MDR服務(wù)團(tuán)隊能夠有效結(jié)合，為其客戶提供全面的MDR服務(wù)。

特點：

• Cynet MDR提供全天候警報監(jiān)控、調(diào)查、事件響應(yīng)、詳細(xì)威脅報告和主動威脅搜索服務(wù)。
• Cynet 360原生集成了NGAV、EDR、NDR、UBA和Deception等技術(shù)，提供全面的預(yù)防、檢測和響應(yīng)。
• Cynet自動調(diào)查威脅的根本原因，并修復(fù)來自所有受感染主機(jī)的威脅。

2.UnderDefense MDR

UnderDefense是一家創(chuàng)新的網(wǎng)絡(luò)安全公司，基于人工智能技術(shù)構(gòu)建了自己的安全即服務(wù)平臺，以預(yù)測、預(yù)防、檢測和響應(yīng)最先進(jìn)和最具侵略性的網(wǎng)絡(luò)攻擊，確保客戶的業(yè)務(wù)連續(xù)性。UnderDefense MAXI MDR服務(wù)可通過提供威脅檢測功能、自動化響應(yīng)和修復(fù)以及確保24*7高級MDR來優(yōu)化工作負(fù)載和成本。

特點：

• 24*7持續(xù)的業(yè)務(wù)保護(hù)。能夠消除冗余警報和繁瑣的日志管理，引入響應(yīng)自動化，并在云、網(wǎng)絡(luò)、端點、應(yīng)用程序、SaaS和關(guān)鍵數(shù)據(jù)中獲得充分的可見性。
• 全面的取證和詳細(xì)的執(zhí)行報告，可充分反饋每個安全事件的根本原因，受影響資產(chǎn)的深入視圖，以及明確的補(bǔ)救指導(dǎo)。
• UnderDefense實驗室為Splunk、GSuite、Azure平臺和組織使用的其他解決方案創(chuàng)建了先進(jìn)算法和尖端創(chuàng)新。

3.Alert Logic MDR

Alert Logic MDR解決方案適合那些尋求對整個IT基礎(chǔ)設(shè)施(云、網(wǎng)絡(luò)、應(yīng)用程序和云、本地和混合環(huán)境中的端點)進(jìn)行全天候資產(chǎn)可見性和安全分析的中型企業(yè)組織。其方案結(jié)合了適用于多種環(huán)境的威脅檢測技術(shù)和專業(yè)知識。該服務(wù)還可以滿足用戶一系列的定制化需求，包括指定的安全專家來幫助提供個性化和定制的事件響應(yīng)計劃。

特點：

• 響應(yīng)自動化(SOAR)：對于希望增強(qiáng)其響應(yīng)能力的組織可以利用嵌入式SOAR，使他們能夠按照自己的節(jié)奏采用自動化，提供靈活性來平衡完全自動化和人工引導(dǎo)的響應(yīng)。
• 威脅情報和分析：安全專家和研究人員會不斷執(zhí)行復(fù)雜的威脅分析，從安全社區(qū)和多個遙測點收集情報，以識別未知威脅。
• 實時報告和儀表板：實時報告和儀表板提供了方便的摘要可視化訪問，并具有深入挖掘功能，可以與詳細(xì)數(shù)據(jù)和特定功能進(jìn)行交互。
• 安全運營中心和專業(yè)知識：可利用全球SOC分析師和專家的專業(yè)能力，就已知和未知威脅提供見解和補(bǔ)救指導(dǎo)。

4.Security Joes MDR

憑借最獨特和多樣化的專家團(tuán)隊，Security Joes MDR成為保護(hù)世界各地企業(yè)的熱門服務(wù)，并通過對很多威脅事件的防護(hù)不斷證明了這一點。Security Joes的服務(wù)團(tuán)隊具有廣泛的能力，包括惡意軟件分析、逆向工程、威脅搜尋、APT研究、現(xiàn)實世界紅隊、攻擊性(負(fù)責(zé)任的披露)安全、DevSecOps、云CI/CD保護(hù)等領(lǐng)域的眾多專家資源，正在幫助其構(gòu)建“最可靠的MDR”服務(wù)目標(biāo)。

特點：

• 較成熟的敏捷方法協(xié)議和程序，以快速解決事件
• 積極主動地解決問題，并具有出色的人際交往能力
• 能夠承擔(dān)定制化的威脅檢測活動

5.CrowdStrike MDR

CrowdStrike公司提供的Falcon Complete平臺，可以提供全面的威脅檢測和保護(hù)服務(wù)。它還提供高達(dá)100萬美元的安全事件損害擔(dān)保(并非所有地區(qū))。CrowdStrike Falcon Complete平臺包含F(xiàn)alcon Prevent、Falcon Insight、Falcon Discover、Falcon OverWatch和Falcon Complete Team模塊。

特點：

• Falcon OverWatch是一個托管威脅獵殺模塊，將識別攻擊并防止破壞。
• 專業(yè)的專家團(tuán)隊將主動尋找和調(diào)查企業(yè)的環(huán)境，并就威脅活動提供防護(hù)建議。
• 它可以防止惡意軟件和非惡意軟件攻擊。

6.Rapid7 MDR

Rapid7 MDR服務(wù)采用了多種高級檢測方法(包括專有威脅情報、人類威脅搜索、行為分析和網(wǎng)絡(luò)流量)來分析檢測高級威脅。它還提供了較詳細(xì)的報告能力，來幫助組織根據(jù)自身的程序采取補(bǔ)救和緩解措施。

特點：

• 提供專業(yè)的安全咨詢顧問服務(wù)。
• 能夠執(zhí)行實時事件檢測和驗證。
• 用戶可完全訪問Rapid7的云SIEM insighttiIDR。
• 提供事件管理和響應(yīng)支持。
• 能夠主動執(zhí)行威脅搜索。

原文鏈接：

https://www.crowdstrike.com/cybersecurity-101/managed-detection-and-response-mdr/。

https://www.softwaretestinghelp.com/mdr-services/。