保持高水平的網(wǎng)絡(luò)安全是昂貴的。為了開展安全運營，公司必須投資于熟練的員工，并為正確的工具和設(shè)備留出資源。托管檢測和響應(yīng) (MDR) 服務(wù)是運行內(nèi)部安全團隊的一種經(jīng)濟高效的替代方案。本文提供了您需要了解的有關(guān) MDR 安全性的所有信息。了解托管檢測和響應(yīng)如何提供實時保護，而無需配備人員齊全的內(nèi)部團隊。

什么是網(wǎng)絡(luò)安全中的托管檢測和響應(yīng)？

托管檢測和響應(yīng) (MDR) 是一項外包服務(wù)，用于監(jiān)控網(wǎng)絡(luò)中的惡意活動。MDR 提供主動威脅搜尋，以在攻擊者發(fā)動攻擊之前消除入侵、數(shù)據(jù)泄露和惡意軟件。它結(jié)合了分析和人類專業(yè)知識來檢測和消除網(wǎng)絡(luò)中的威脅。MDR 安全的標(biāo)準(zhǔn)范圍包括：

• 威脅檢測：持續(xù)監(jiān)控數(shù)據(jù)并過濾警報以進行分析。
• 威脅分析：檢查潛在威脅以發(fā)現(xiàn)其來源、范圍和風(fēng)險級別。
• 事件響應(yīng)：將問題通知客戶并消除威脅。

雖然比內(nèi)部團隊便宜，但 MDR 提供了保持網(wǎng)絡(luò)安全所需的一切：

• 24/7監(jiān)控
• 仔細(xì)的警報和事件分析
• 快速高效的威脅響應(yīng)
• 威脅狩獵
• 強大的威脅情報
• 成功攻擊和破壞造成的傷害減少

服務(wù)提供商配置并提供 MDR 所需的工具。設(shè)置完成后，MDR 工具會分析事件日志并保護網(wǎng)關(guān)，以檢測逃避典型安全級別的威脅。雖然工具發(fā)揮著重要作用，但托管檢測和響應(yīng)主要依靠人工進行網(wǎng)絡(luò)監(jiān)控。工具過濾事件日志并檢測潛在的危害指標(biāo) (IoC)。一旦識別出威脅，人工操作員就會接管并消除危險。

什么是網(wǎng)絡(luò)安全中的威脅搜尋？

網(wǎng)絡(luò)安全中的威脅搜尋是一種主動檢測、隔離和消除威脅的方法。威脅搜尋的主要目標(biāo)是找到逃避自動化安全解決方案的惡意元素。網(wǎng)絡(luò)威脅搜尋的重點是在攻擊發(fā)生之前搜索和消除威脅。此安全措施不涉及解決已經(jīng)發(fā)生的事件。一旦找到惡意元素，威脅獵手就會在消除問題之前分析問題的行為和方法。威脅搜尋還涉及識別攻擊趨勢以防止未來的違規(guī)行為。威脅搜尋依賴于人類分析師。工具可以加快流程和重復(fù)性任務(wù)，但人工操作員會做出所有關(guān)鍵決策。

MDR 越來越受歡迎

當(dāng)一家公司擴展其 IT 系統(tǒng)時，筆記本電腦、臺式機和移動設(shè)備等網(wǎng)絡(luò)端點的數(shù)量就會增加。每個新端點都會為黑客創(chuàng)造一個潛在的切入點。在持續(xù)監(jiān)控和威脅搜尋之間，MDR 是保護端點的絕佳方法?？焖俦Ｗo入口點的能力是托管檢測和響應(yīng)在企業(yè)中受歡迎的原因。大公司會定期將新設(shè)備添加到他們的系統(tǒng)中，因此保護端點是一個大問題。Enterprise Strategy Group (ESG) 最近對大中型企業(yè)的員工進行了調(diào)查，以檢查與威脅檢測和響應(yīng)相關(guān)的關(guān)鍵問題。

以下是ESG 研究的一些令人興奮的發(fā)現(xiàn)：

• 77% 的安全專家表示，管理人員正在向他們施壓，要求他們改進威脅檢測和響應(yīng)策略。
• 76% 的公司表示，安全分析比兩年前更加復(fù)雜。
• 58% 的企業(yè)將員工技能列為提高安全性的主要問題。
• 70% 的公司認(rèn)為手動流程和警報疲勞是一個關(guān)鍵問題。

再加上市場上缺乏有能力的員工，就很容易看出為什么對 MDR 的需求會增加。

MDR 解決了什么問題？

托管檢測和響應(yīng)解決了安全團隊面臨的幾個常見問題：

高警報音量

太多的警報會使小型安全團隊不堪重負(fù)。警報疲勞會導(dǎo)致監(jiān)控不足，導(dǎo)致工作人員忽視其他任務(wù)，并使網(wǎng)絡(luò)容易受到攻擊。托管檢測和響應(yīng)有助于處理需要單獨檢查的大量警報。設(shè)置完成后，MDR 安全性會執(zhí)行系統(tǒng)中的所有監(jiān)控，讓員工有充足的時間專注于其他職責(zé)。

威脅分析

很難從警報噪音中識別出嚴(yán)重的威脅。惡意元素可能看起來是隨機警報，而常見錯誤可能會在整個系統(tǒng)中引發(fā)危險信號。要確定問題的原因、范圍和狀態(tài)，IT 團隊必須分析情況。通過投資 MDR，一家公司可以確保高級分析工具和能夠解釋網(wǎng)絡(luò)事件的安全專家的安全。

高級攻擊和破壞

面對高級威脅時，訓(xùn)練有素的 IT 團隊可能會遇到困難。MDR 提供商配備了能夠跟上網(wǎng)絡(luò)攻擊的安全專家。通過投資 MDR 安全性，您可以確保業(yè)內(nèi)最優(yōu)秀的人才監(jiān)控您的網(wǎng)絡(luò)和設(shè)備。

端點檢測和響應(yīng) (EDR)

企業(yè)通常缺乏資金、時間或技能來培訓(xùn)操作員正確使用 EDR 工具。MDR 服務(wù)附帶高端 EDR 工具和知道如何使用它們的人員。EDR 工具集成到檢測和響應(yīng)流程中，無需內(nèi)部端點保護。

MDR 安全性的好處

網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)工具擅長阻止簡單的違規(guī)和攻擊。然而，預(yù)防性策略不足以保護整個基礎(chǔ)設(shè)施。MDR 提供了一種確保網(wǎng)絡(luò)安全的徹底方法。MDR 并不僅僅關(guān)注預(yù)防，而是在威脅有機會造成損害之前對其進行追蹤。

更好的整體安全方法

Managed Detention and Response 檢測、分析和阻止威脅，提供全面的安全解決方案。當(dāng) MDR 工具檢測到問題時，團隊首先驗證威脅的有效性。如果問題有惡意原因，運營商會通知您有關(guān)情況并消除威脅。隔離威脅是 MDR 的另一個重要方面。如果發(fā)現(xiàn)潛在的攻擊，則問題包含在單個系統(tǒng)中。然后威脅無法傳播到網(wǎng)絡(luò)的其他部門。這樣，MDR 可以減少成功違規(guī)造成的損失。

無誤報

當(dāng)標(biāo)準(zhǔn)安全控制遇到警報時，它會向操作員發(fā)送未經(jīng)檢查的警報。將錯誤信號與真實危險區(qū)分開來的過程會浪費時間和資源。MDR 對網(wǎng)絡(luò)中的每個可疑活動進行深入調(diào)查。分析每個威脅以檢查其狀態(tài)。到達安全團隊的警報需要立即采取行動，因此沒有毫無意義的干擾。

快速、無縫部署

設(shè)置自定義檢測和響應(yīng)系統(tǒng)需要時間。需要許可軟件工具、設(shè)置系統(tǒng)、創(chuàng)建程序和安全策略以及培訓(xùn)員工。MDR 解決方案幾乎不需要配置并遵循網(wǎng)絡(luò)安全最佳實踐。

快速檢測威脅

檢測到和處理威脅的速度越快，移除它就越容易且成本更低。如果沒有 MDR 安全性，平均需要 280 天才能識別和遏制違規(guī)行為。托管檢測和響應(yīng)提高了檢測水平并減少了違規(guī)的停留時間。

更容易合規(guī)

所有主要的 MDR 提供商都確保其防御程序符合監(jiān)管機構(gòu)的要求。您的 MDR 合作伙伴可以幫助審核流程并實施最佳實踐。

托管檢測和響應(yīng) (MDR) 與托管安全服務(wù)提供商 (MSSP)

雖然這兩種服務(wù)有相似之處，但 MDR 和 MSSP 在工具、專業(yè)知識和目標(biāo)方面存在差異。

以下是典型的 MDR 和 MSSP 服務(wù)包括的比較：

MDR 與 MSSP 安全服務(wù)

MDR 安全性側(cè)重于檢測和響應(yīng)潛在的惡意元素。MSSP是被動的，專注于發(fā)現(xiàn)和消除漏洞和合規(guī)性問題。兩種類型的服務(wù)都在現(xiàn)代 IT 環(huán)境中發(fā)揮作用，更好的選擇完全取決于用例。MSSP 系統(tǒng)監(jiān)控網(wǎng)絡(luò)安全控制并在檢測到異常時發(fā)送警報。然后，它將報告轉(zhuǎn)發(fā)給指定的 IT 人員，他們檢查數(shù)據(jù)以分析并消除任何危險。在這方面，MSSP 在更多級別上保護基礎(chǔ)設(shè)施?？梢酝瑫r使用 MSSP 和 MDR 服務(wù)。公司可以依靠 MSSP 運行防火墻和其他日常操作。同時，MDR 可以檢測和分析高級威脅。

人工智能 (AI) 在 MDR 中發(fā)揮作用嗎？

將人工智能應(yīng)用于安全問題仍處于早期階段?，F(xiàn)在以及在可預(yù)見的未來，唯一可靠的安全專家是人工操作員。托管檢測和響應(yīng)可以利用人工智能來加速網(wǎng)絡(luò)防御算法。例如，高級威脅檢測可以依靠 AI 過濾網(wǎng)絡(luò)事件并識別異?；顒?。然后，分析師審查以檢查系統(tǒng)是否遇到安全警報或誤報。人工智能驅(qū)動的安全工具還可以確保快速的事件響應(yīng)時間。MDR 提供商使用 AI 和機器學(xué)習(xí)來調(diào)查重復(fù)發(fā)生的事件、自動遏制威脅并啟動反應(yīng)。