什麼是託管偵測和回應(MDR)?
託管偵測和回應(MDR)是一種完全託管的網路安全解決方案,結合了安全專家、威脅情報和進階工具,能為組織提供全天候威脅保護。
網路安全對全球個人和企業構成的威脅日益嚴重且清楚可見,但不太為人所知的是,很多組織正在努力維持強大的防禦和因應機制。
根據卡巴斯基的研究,41% 的資安專業人士表示其組織的網路安全團隊「人手有些不足」或「人手嚴重不足」。這表示組織對安全專業人員的需求量很大,而發現和留住具有適當技能的人員變得更加困難。這影響到了各類企業:世界經濟論壇發現,技術落差是 52% 公共組織面臨最大的網路彈性挑戰。同時,只有不到一半的小型組織表示其擁有應對網路攻擊並從中恢復的能力。
因此,許多企業正在轉向託管服務來獲取所需的解決方案和專業知識,以確保資料、系統、應用程式和使用者的安全。此方面最有效方法之一是使用託管檢測和回應(MDR),但很多組織到現在才逐漸意識到 MDR 安全性對其業務的重要性。Gartner 研究發現,到 2023 年,只有 30% 的組織積極使用 MDR 供應商的遠端威脅阻斷和遏制功能,但預計到 2025 年將上升至 50%。卡巴斯基 MDR(託管偵測和回應)在 2023 年處理了超過 430 起安全事件,其中偵測到的大多數重大事件來自政府機構、工業和金融組織。網路威脅情勢不斷發展,許多組織卻很難跟上腳步。
偵測和回應的原理為何?
那麼,MDR 的實務原理為何?MDR 是網路安全的一種方式並作為託管服務提供,能加速威脅的發現和修復,並最小化威脅對企業的影響程度。MDR 結合了人工安全技術和先進技術,因此具有實惠的成本和資源效率。
良好的 MDR 服務通常包含五個主要功能:
事件優先性
由資深人員進行的安全事件檢查搭配根據預設的自動規則對事件進行評估,能辨識出較具相關性或更具風險的事件。誤報和不太可能帶來問題的事件能被降低優先性,而重大問題則可優先處理並由其他 MDR 服務解決並進行更詳細的評估。
威脅搜尋
在發現潛在威脅方面,自動化是極其強大的工具,但不能作為全面的解決方案。經驗豐富的「威脅獵人」能準確發現異常活動以及網路犯罪者在發動資料外洩或攻擊時所採取的行為動作。將人工和數位方法相互結合,就能更快識別威脅,進而更快進行修復。
威脅調查
在發現威脅後,下一階段就是深入探索並找出問題的根源。託管調查服務可查明事件發生的內容、時間和地點,並判斷已受到或可能受到影響的系統、資料、應用程式和使用者。此類背景資訊能確保提供最有效和最合適的方法來消除威脅。
回應協助
與 MDR 安全合作夥伴合作能讓組織獲得建議和解決方案。專家能利用自己的經驗以及透過威脅搜尋和調查所獲得的資訊,建議解決問題的最佳方法,包括抵禦即將發生的威脅、或對已經發生的攻擊做出回應並恢復。
託管修復
修復功能可以在必要時消除所有威脅的影響,並將系統、應用程式和資料恢復到攻擊發生前的狀態。其中可能需要經過一系列流程,例如惡意軟體刪除、註冊表清理、拒絕未經授權的存取、系統復原和其他措施。需要使用哪些措施將根據威脅或攻擊的性質而有所不同,並可在與 MDR 安全專業人員協商後進行選擇。
MDR 與傳統防毒軟體有何不同?
MDR 服務與傳統的基於防毒的安全最大的區別在於 MDR 是主動的,而防毒則是被動的。
一般來說,防毒系統依賴簽名偵測,其中不同的惡意軟體變體都有自己的指紋,然後系統會尋找這些指紋。然而,越來越多的網路犯罪者正在開發與其他惡意軟體不同的獨特惡意軟體變體,因此無法透過這些指紋進行偵測。無論如何,防毒軟體在變體存在前無法偵測到,而到能偵測到時往往已經來不及阻止任何其所造成的影響了。
託管偵測和回應工具則能每週 7 天、每天 24 小時主動尋找系統上的惡意軟體感染,並減輕其影響。
MDR 和 EDR 有什麼差別?
EDR 意指端點偵測和回應(Endpoint Detection and Response),並能與 MDR 的優先性階段使用的自動化規則搭配使用。EDR 部署將記錄所有端點上的事件和行為模式,然後根據安全團隊建立的自動化規則進行評估。然後,其所偵測到的任何可疑行為模式或活動都會受到標記,以便安全團隊進一步調查。
因此,對於許多組織而言,EDR 是 MDR 的一部分,並能搭配熟練的 IT 安全專家和完善的流程和方法。
託管偵測和回應與 XDR 一樣嗎?
不太一樣。最簡單的說法是,XDR(擴展偵測和回應)將 MDR 的概念提升到了另一個層次。XDR 將收集自各種來源的大量數據進行整合,讓威脅搜尋和調查更加明智和主動。其還利用更先進的工具,包括資料遺失防護以及身分和存取管理(IAM),以全面了解企業的整體威脅情況。
MDR 的主要優點是什麼?
託管偵測和回應服務能透過多種方式改變組織的安全措施,並提高幾乎所有安全作業方面的效能。MDR 安全性的好處包括但不限於:
減少偵測時間
有些組織需要幾個月的時間才能偵測到安全事件,在此期間,系統、應用程式和資料可能已遭受難以估計的破壞,企業有時甚至對此不知不覺。MDR 不僅能將此類時間縮短到幾天甚至幾小時,甚至還能縮短到幾分鐘,進而大幅減少攻擊的影響範圍。
改善安全狀況
MDR 服務能讓企業在遭受攻擊時變得更強大、更有彈性,大幅降低漏洞造成重大影響的可能性。其還能確保企業的整體安全配置獲得最佳化,並且即使業務需求和攻擊情況發生變化時也能維持不變。
持續威脅偵測
託管偵測和回應工具能夠每天 24 小時、每週 7 天、每年 365 天搜尋威脅,確保威脅和惡意軟體無法「隱藏」在系統中並等待受到啟動,並能持續分析資料模式和行為,進而在任何惡意行為發生前就能辨識出異常活動。
更快的威脅反應和修復
上述三點都較其他方式更能快速回應和修復威脅。MDR 能幫助更快儘早了解問題並針對威脅做出反應,如此一來便能更及時對受影響的區域執行適當的補救措施。
減輕安全人員負擔
當安全人員已經不足時,使用多種的安全技術工具可能會對他們有限的寶貴時間造成更大的壓力,進而導致事件受到忽視或無法正確運用所有的工具,因為沒有充足的時間。將大部分負擔移交給託管服務和資深的第三方專家能減輕壓力並最大化內部團隊的日常效率。
最小化警報疲勞的風險
使用安全技術大幅增加了安全團隊需要留意並處理的警報和事件數量,其中也包或普遍、重複和容易出現的人為錯誤,讓安全人員很難確定哪些問題具有緊迫性並且需要優先解決。MDR 服務中的優先流程能透過分析和標記急迫問題並為安全團隊進行事件分類。
託管偵測和回應服務應該要有什麼功能?
MDR 服務市場十分強勁:Gartner 的研究指出,MDR 市場正以 48% 的速度成長,預計到 2025 年將達到 22 億美元。這表示託管偵測和回應工具的供應商很多,找到適合特定需求的工具並不容易。為了方便進行選擇,我們建議留意下列四個特點:
額外的 MDR 技能
您的安全團隊可能已經擁有相當多的技能基礎,但正如全球技能落差所顯示,您很可能仍有一些需要加強的領域。在開始考慮供應商前就應該要確定有落差的領域,並尋找具備相關專業技能和熟練度的供應商,讓其能夠增強和完善您的團隊。
MDR 安全知識與能力
妥善管理的偵測和回應服務能掌握目前安全情勢的最新知識。其能了解需要注意的新型威脅,並能了解網路犯罪的許多潛在因素,包括其所涉及的地緣政治和文化環境。這些相關知識搭配上其安全技能和能力,就能為大多數內部安全團隊增加價值。
MDR 服務提供與協作
您可能對預期的 MDR 安全服務所提供的專業知識和技能感到滿意,但其仍然需要能與您現有的團隊、技術和整個組織更充分的配合。其應該要能清晰溝通,讓資訊和見解能在雙方之間輕鬆來往,有助於內部安全團隊能更快掌握新方法。其還應該要能夠兌現全天候保護的承諾,幫助安全團隊在工作時間外確保系統安全。
綜合解決方案
最後,MDR 安全性也應該涵蓋所有基礎面 。卡巴斯基託管偵測和回應等解決方案提供先進的保護技術、主動威脅搜尋、自動化和引導式回應以及全球認可的專業知識,讓您能輕鬆運用。其不僅能最小化網路威脅所造成的風險,還可以最大化您對 MDR 的 IT 安全投資。
卡巴斯基託管偵測與回應和卡巴斯基事件回應被 Quadrant Knowledge Solutions 評為 2023 年技術領導者,是對解決方案在保護企業避免網路犯罪者侵害方面上的實際認可。