XDR(擴展威脅檢測和響應)是近年網絡安全行業(yè)中的一個熱門技術，代表了傳統(tǒng)單點式威脅檢測和響應能力的融合與擴展，以提供一個多檢測功能協同的平臺，其中包括了端點安全保護、云訪問安全代理(CASB)、Web安全網關(SWG)、電子郵件網關(SEG)、網絡防火墻、網絡入侵防御系統(tǒng)(NIP)以及統(tǒng)一身份管理(IAM)等。

然而，XDR技術在應用推廣時，卻面臨了一個關鍵的制約因素：人。XDR是一種先進的威脅檢測工具。但如果想最大化獲得該工具的應用價值，企業(yè)還需要具備能夠深入分析各種檢測結果并確定響應優(yōu)先級的人才。沒有這些人才，使用XDR就等于簡單地將所有有關威脅的信息傾倒在一個大鍋里“亂燉”，繼續(xù)給攻擊者留下可乘之機。在此背景下，很多企業(yè)開始關注并選擇另一種解決方案——MDR(托管威脅檢測與響應服務)。

什么是MDR?

MDR可被理解為托管式的XDR服務，通過設置于云端的統(tǒng)一威脅檢測和響應平臺，幫助企業(yè)實現威脅事件調查和處置的自動化，包括情報收集、分析、分類和響應等，而不是依賴傳統(tǒng)的人工處置模式，大大降低對自身安全團隊的專業(yè)性要求。

通過應用MDR服務，組織能夠較容易地將先進的威脅檢測技術與人類專業(yè)知識有效結合，以實時、全天候地監(jiān)控、檢測和響應針對組織的網絡威脅。MDR服務流程通常包括以下五個關鍵步驟：

1.優(yōu)先級排序

通過優(yōu)先級排序可以幫助組織確定首先要處理哪些警報。通過自動化和人工分析的組合，MDR能夠對組織每天產生的大量安全警報進行分類，并將誤報與重大網絡威脅區(qū)分開來。然后，通過附加的上下文對結果進行豐富，并提煉成高質量的安全檢測報告。

2.威脅獵殺

MDR提供了全天候的主動式網絡威脅獵殺能力，可通過網絡威脅情報平臺收集有關潛在風險的關鍵數據，然后將這些信息傳遞給威脅分析師。這些人類專家擁有廣泛的技能和知識，可以識別和應對被自動化技術解決方案遺漏的隱形網絡威脅。

3.事件調查

MDR能夠幫助分析師全面調查網絡威脅，讓組織清楚地了解網絡威脅的嚴重程度和重要性。MDR服務能夠提供詳細信息，包括網絡攻擊的類型、發(fā)生的時間、受影響的人員以及網絡攻擊的嚴重程度。利用這些有價值的信息，組織可以規(guī)劃出有效的應對措施，并確定下一步行動。

4.根除和補救

事件補救是破壞網絡攻擊以防止其蔓延的重要過程。這可能涉及刪除惡意軟件、隔離受影響的網絡或系統(tǒng)、驅逐入侵者、清理注冊表以及消除惡意軟件持久性機制。有效的補救措施可確保組織網絡恢復到網絡攻擊前的狀態(tài)。

5.溯源分析和報告

安全事件解決后，需要進行事件后的溯源分析和報告，記錄事件的詳細信息，包括其原因、影響、響應行動和經驗教訓。這些信息可用于改進組織的事件響應流程、更新安全策略和程序以及增強組織的整體安全態(tài)勢。

MDR的應用價值

相比XDR方案，MDR被認為是一種更加經濟有效的方法，不僅可以更好保護組織免受網絡攻擊，還能提供諸多好處。

• 不間斷保護：MDR服務商需要提供持續(xù)的網絡安全監(jiān)控和保護。這確保了針對組織的網絡威脅能夠被快速檢測和阻止。
• 風險降低：隨著網絡攻擊的增加，保護組織和數據安全至關重要。MDR有助于主動尋找、檢測和響應潛在的網絡威脅，并降低重大數據泄露的風險。
• 提升網絡安全性：MDR是一種經濟有效的方法，可以保護組織免受網絡威脅，而無需雇用額外的全職安全團隊員工。這些服務還可以幫助組織避免代價高昂的數據泄露。
• 改善法規(guī)遵從性：許多MDR解決方案旨在幫助組織滿足特定于行業(yè)的需求，而MDR安全專家通常專門研究法規(guī)遵從性問題。MDR提供商可以提供有價值的見解，幫助組織簡化合規(guī)性報告。
• 減輕IT運營負擔：網絡威脅檢測和響應是一項非常耗時、不可預測且緊急的工作。將這些任務外包給MDR提供商，可以使IT人員能夠專注于更具戰(zhàn)略性和回報性的長期項目。
• 增強安全專業(yè)知識：當與MDR提供商合作時，組織可以快速訪問高技能的網絡安全分析師，而無需在安全運營中心(SOC)團隊中增加額外的人員。由于MDR分析師處理大量和廣泛的網絡威脅，他們提供的專業(yè)知識水平在其他地方很難找到。

MDR的典型應用場景

MDR可以快速檢測和響應各種網絡威脅，包括那些可能逃避傳統(tǒng)檢測方法的網絡威脅。以下是一些具體的用例，說明了MDR如何幫助保護組織的業(yè)務并降低風險。

1.惡意軟件檢測

傳統(tǒng)的反病毒系統(tǒng)依賴于簽名檢測，即為每個惡意軟件變體創(chuàng)建一個指紋。但是惡意軟件的創(chuàng)造者正在通過制作獨特的變體來規(guī)避這些保護機制。為了解決這個問題，MDR提供商可以主動尋找并減輕組織內部系統(tǒng)上的惡意軟件感染。

2.網絡釣魚防護

雖然許多組織已經采用了智能網絡釣魚預防解決方案，但員工仍然有可能收到和回應網絡釣魚電子郵件。MDR服務還可以在檢測更復雜的AiTM網絡釣魚和BEC網絡攻擊方面發(fā)揮作用。通過主動的網絡威脅獵殺，MDR服務可以幫助在早期階段發(fā)現潛在的網絡釣魚或AiTM網絡攻擊，分析其全部范圍，并持續(xù)監(jiān)控可疑或異?；顒?。

3.法規(guī)遵從

當今的組織面臨著復雜的監(jiān)管環(huán)境，特別是在數據保護方面。當與MDR合作伙伴合作時，組織可以訪問網絡安全和法規(guī)遵從性專家。通過使用專門的檢測功能來識別針對組織敏感數據的網絡攻擊者，將進一步改善組織的安全態(tài)勢和法規(guī)遵從性。

4.云威脅防護

如今的大多數組織都采用了某種形式的云計算，以實現強大的業(yè)務優(yōu)勢。然而，從本地環(huán)境到云環(huán)境的轉變帶來了獨特且復雜的安全挑戰(zhàn)。MDR提供商可以幫助組織將源自內部部署的云活動關聯起來，并檢測云數據泄露和云應用程序漏洞。

5.阻止橫向移動

一旦網絡攻擊者進入組織的網絡環(huán)境，他們就會試圖通過系統(tǒng)和賬戶來訪問數據，造成更多的破壞。MDR提供商可以通過檢測特權升級、安裝遠程訪問工具的嘗試以及訪問控制的更改來幫助識別這種橫向移動。

MDR服務選型

Emerging Researchi最新研究報告認為：從2023年開始，將有更多的企業(yè)組織會通過采購MDR服務，實現7*24的威脅態(tài)勢監(jiān)控、事件警報、調查分析和專家團隊支持等安全能力建設。而預計到2030年，MDR服務應用的年市場增長率將保持在18%以上。

當企業(yè)選型MDR服務時，需要首先了解MDR服務在其整體安全計劃中的定位，同時還必須考慮如何與MDR服務商團隊保持協同，避免產生“倦怠”情緒，影響實際的工作效率。為了確保MDR服務商擁有穩(wěn)定、可靠的威脅檢測和響應能力，企業(yè)應該重點關注以下10個因素：

熱門MDR解決方案特點分析

以下收集了6款目前較熱門的MDR服務，并從功能性、兼容性和可擴展性等方面對其應用特點進行了分析。

1.Cynet 360

Cynet 360能夠在單一的原生化集成環(huán)境中提供終端、用戶及網絡防護服務。在快速安裝后，Cynet 360可向用戶交付所有主要攻擊途徑的高保真告警——終端上的惡意軟件、漏洞利用和無文件攻擊，匿名登錄，用戶賬戶連接，以及ARP欺騙、橫向移動及數據滲漏等基于網絡攻擊等。

Cynet平臺與CyOps MDR服務團隊能夠有效結合，為其客戶提供全面的MDR服務。

特點：

• Cynet MDR提供全天候警報監(jiān)控、調查、事件響應、詳細威脅報告和主動威脅搜索服務。
• Cynet 360原生集成了NGAV、EDR、NDR、UBA和Deception等技術，提供全面的預防、檢測和響應。
• Cynet自動調查威脅的根本原因，并修復來自所有受感染主機的威脅。

2.UnderDefense MDR

UnderDefense是一家創(chuàng)新的網絡安全公司，基于人工智能技術構建了自己的安全即服務平臺，以預測、預防、檢測和響應最先進和最具侵略性的網絡攻擊，確?？蛻舻臉I(yè)務連續(xù)性。UnderDefense MAXI MDR服務可通過提供威脅檢測功能、自動化響應和修復以及確保24*7高級MDR來優(yōu)化工作負載和成本。

特點：

• 24*7持續(xù)的業(yè)務保護。能夠消除冗余警報和繁瑣的日志管理，引入響應自動化，并在云、網絡、端點、應用程序、SaaS和關鍵數據中獲得充分的可見性。
• 全面的取證和詳細的執(zhí)行報告，可充分反饋每個安全事件的根本原因，受影響資產的深入視圖，以及明確的補救指導。
• UnderDefense實驗室為Splunk、GSuite、Azure平臺和組織使用的其他解決方案創(chuàng)建了先進算法和尖端創(chuàng)新。

3.Alert Logic MDR

Alert Logic MDR解決方案適合那些尋求對整個IT基礎設施(云、網絡、應用程序和云、本地和混合環(huán)境中的端點)進行全天候資產可見性和安全分析的中型企業(yè)組織。其方案結合了適用于多種環(huán)境的威脅檢測技術和專業(yè)知識。該服務還可以滿足用戶一系列的定制化需求，包括指定的安全專家來幫助提供個性化和定制的事件響應計劃。

特點：

• 響應自動化(SOAR)：對于希望增強其響應能力的組織可以利用嵌入式SOAR，使他們能夠按照自己的節(jié)奏采用自動化，提供靈活性來平衡完全自動化和人工引導的響應。
• 威脅情報和分析：安全專家和研究人員會不斷執(zhí)行復雜的威脅分析，從安全社區(qū)和多個遙測點收集情報，以識別未知威脅。
• 實時報告和儀表板：實時報告和儀表板提供了方便的摘要可視化訪問，并具有深入挖掘功能，可以與詳細數據和特定功能進行交互。
• 安全運營中心和專業(yè)知識：可利用全球SOC分析師和專家的專業(yè)能力，就已知和未知威脅提供見解和補救指導。

4.Security Joes MDR

憑借最獨特和多樣化的專家團隊，Security Joes MDR成為保護世界各地企業(yè)的熱門服務，并通過對很多威脅事件的防護不斷證明了這一點。Security Joes的服務團隊具有廣泛的能力，包括惡意軟件分析、逆向工程、威脅搜尋、APT研究、現實世界紅隊、攻擊性(負責任的披露)安全、DevSecOps、云CI/CD保護等領域的眾多專家資源，正在幫助其構建“最可靠的MDR”服務目標。

特點：

• 較成熟的敏捷方法協議和程序，以快速解決事件
• 積極主動地解決問題，并具有出色的人際交往能力
• 能夠承擔定制化的威脅檢測活動

5.CrowdStrike MDR

CrowdStrike公司提供的Falcon Complete平臺，可以提供全面的威脅檢測和保護服務。它還提供高達100萬美元的安全事件損害擔保(并非所有地區(qū))。CrowdStrike Falcon Complete平臺包含Falcon Prevent、Falcon Insight、Falcon Discover、Falcon OverWatch和Falcon Complete Team模塊。

特點：

• Falcon OverWatch是一個托管威脅獵殺模塊，將識別攻擊并防止破壞。
• 專業(yè)的專家團隊將主動尋找和調查企業(yè)的環(huán)境，并就威脅活動提供防護建議。
• 它可以防止惡意軟件和非惡意軟件攻擊。

6.Rapid7 MDR

Rapid7 MDR服務采用了多種高級檢測方法(包括專有威脅情報、人類威脅搜索、行為分析和網絡流量)來分析檢測高級威脅。它還提供了較詳細的報告能力，來幫助組織根據自身的程序采取補救和緩解措施。

特點：

• 提供專業(yè)的安全咨詢顧問服務。
• 能夠執(zhí)行實時事件檢測和驗證。
• 用戶可完全訪問Rapid7的云SIEM insighttiIDR。
• 提供事件管理和響應支持。
• 能夠主動執(zhí)行威脅搜索。

原文鏈接：

https://www.crowdstrike.com/cybersecurity-101/managed-detection-and-response-mdr/。

https://www.softwaretestinghelp.com/mdr-services/。