如今,降低数字化风险、增强安全防御能力依然是众多企业组织数字化发展中的重要需求和目标,观察国内外各安全研究机构及安全厂商对2023年威胁态势和安全技术趋势的预测展望,MDR(托管式威胁检测和响应服务)正在得到越来越多的关注和重视。比如美国电信公司AT&T指出,2023年可能是MDR大规模应用的元年。
过去很长时间,企业组织的绝大部分安全预算都用于反病毒和防火墙等预防技术上,很少有投资是针对无法预防的威胁检测和响应能力。但是根据IBM《2022 年数据泄露成本报告》,数据泄露事件给企业组织造成平均高达435万美元的损失,在识别和控制数据泄漏方面的平均用时为280天,创历史新高。威胁背后的攻击者可能遍布全球跨时区工作,技能纯熟且多变,对企业的威胁检测和响应能力提出较高要求。
然而,建立一个具备对抗能力、基础设施和流程的全天候服务团队是非常耗资且耗时的,并非所有企业都能自建现代化安全运营中心(SOC),近年来备受推崇的扩展检测和响应(XDR)技术应用对企业的安全运营能力同样有较高的要求。因此很多企业目前是难以快速检测和响应各种安全威胁的。
受制于在时间、技能、资金、流程等方面的缺失,越来越多的企业转向选择MDR,由此获得最大化的投入产出效果。Orange Cyberdefense曾总结过倾向于采用MDR的企业的几种情形:
• 没有安全运营团队,因此希望将安全监控运营外包给专门从事该领域的第三方;
• 安全运营团队人数有限,但通过MDR提供商,就能确保团队不必承担大多数一线工作负担(以及众多其他安全运营工作任务),而是能够更加专注于服务输出;
• 有安全运营团队,可以(也许已经在)自己进行全天候监控。尽管如此,他们仍希望将一线威胁检测工作转交给专门从事这项工作的公司。人员流动相关问题通常是原因之一。安全分析师的招聘并非易事,而留住他们更难。因此,当他们有机会从事更为多样化、更为精彩的工作(例如“威胁狩猎”或“事件响应”)内容时,工作对于他们也会变得更具吸引力,让他们更富成就感,他们也就更有可能留下来。
MDR具有现代安全运营中心远程交付的能力,专注于精准检测、调查分析、积极遏制事件,旨在通过持续运营以减少威胁发现和威胁响应之间的时间。其最明显的优势在于,设置于云端的统一威胁检测和响应平台可以帮助企业实现威胁事件调查和处置的自动化,包括情报收集、分析、分类和响应等,而不是依赖传统的人工处置模式,大大降低对自身安全团队的专业性要求。此外,MDR还充分利用客户侧已部署的终端、边界、流量等防护设备,通过行为分析、流量分析、威胁情报以及与多级专家的组合,为企业提供更加快速和全面的威胁监视、检测和响应服务。
在中国的网络安全市场环境下,Gartner的《中国托管检测和响应服务市场指南》报告指出中国的MDR服务有别于全球市场,更倾向于远程和现场服务团队相结合的混合交付模式。中国的MDR服务提供商可提供7X24H全天候威胁监控、检测和响应结果。同时,服务购买方也希望MDR服务不仅能监测和应对威胁,同时还要提供知识和能力来帮助组织提升流程的成熟度,形成一个预防-检测-反应-预测的闭环。
并且,不同规模的组织对MDR诉求也不尽相同:
• 小型组织安全设施匮乏,需借助MDR服务快速形成基本的检测和响应能力,同时满足法律法规和标准(如等保2.0体系)的安全基线要求,并响应小概率安全事件或应对小范围影响。
• 大型组织通常具备较为成熟的安全防护体系,但在安全告警和事件响应及处置方面存在效率低下和误报率高的问题,亟需利用MDR服务提高深度威胁检测能力,并关注高价值资产防护,形成闭环的安全告警自动化响应和处置,针对关键信息安全事件投入更多的专家力量。
报告分析MDR服务市场在中国处于扩张状态,预计到2026年,中国60%拥有安全运营中心的组织都将会使用MDR服务增强安全运营能力。根据推荐,我们梳理多家有代表性的MDR提供商为企业选型做出一定的参考:
新华三MDR服务是集运营团队、平台工具、流程机制于一体的一站式安全运营服务,依托于青丘安全运营中心,围绕资产、漏洞、威胁、事件四要素提前建立“事前威胁预警,事中协同响应、事后溯源优化”的纵深防御体系。其MDR服务团队由涵盖安全攻防、安全管理、安全体系建设等领域深耕多年的专家组成,具有深厚的红蓝队重保、安全运营、高级威胁分析等服务经验。全国共落地10+应急响应分中心,300+运营人员覆盖L1、L2、L3不同级别安全工程师,专家坐席100+持续保障7X24H交付质量。
从市场反馈来看,新华三MDR服务累计为500+客户服务,重点覆盖医疗、教育、政府等多行业客户,累计共发现高危漏洞20000+,分析安全事件100000+起,并协助客户处置关键服务器资产8000+台,实际解决了客户日常安全运维中遇到的发现难、分析难、处置难、闭环难的痛点。
天融信安全运营服务结合客户自身的安全运营成熟度,基于“对抗性安全运营体系”,将平台、产品与人员(专家)、技术、流程融合联动,从事件驱动、情报驱动、对抗驱动、狩猎驱动四方面综合考虑,量身打造符合需求的运营方案。通过“云端+本地”联动服务,形成覆盖全国的“线上+线下”联动工作模式,打造“线上实时监测、分析预警、指挥协调”和“线下本地化服务、应急响应、快速处置”相结合的集约化安全运营服务。
具体以天融信安全云服务平台为基石,提供互联网暴露面检测、风险监测、攻击防护、威胁分析于一体的订阅式托管安全服务,以安全运营团队全天候值守为核心,基于安全云服务平台对企业、租户服务订阅进行及时支撑和统一管理,结合高质量威胁情报和标准、高效的运营流程体系,对安全威胁、突发重大安全事件等快速响应和处置,打造“平台+流程+人”的实战化服务能力,提供全天候持续、专业、全流程的运营支撑。
安天以威胁对抗为核心,以持续性威胁猎杀为基础手段,根据不同的组织规模以及不同的安全运营成熟度,提供积木组合式安全服务,在安全运营体系建设、前置安全评估、事件应急响应、常态安全运营四个层面展开常态化安全运营服务。
同时提供在产品工具化、情报赋能和专家经验支撑下的体系对抗式安全服务,如为工程师打造应急处置工具箱,内置主机系统分析处置工具、便携式威胁检测系统、便携式威胁分析系统等;又如基于威胁情报平台,实现对工程师的后场平台支援,实现服务与安全产品结合,实现7X24H的监测、响应、处置的闭环运营,在不同阶段安排MDR服务专家进行不同级别的验证,缩短响应时间,降低安全建设成本,提高响应和处置的效率。