本文来自微信公众号“安全牛”。
随着企业数字化转型进程不断加快,CSO需要更加准确深入地了解组织的网络风险,进而为整个组织制定更有效的威胁管理计划。但是,由于很多企业的安全运营能力和专业安全人才有限,因此难以快速检测和响应各种安全威胁。在此情况下,托管式威胁检测和响应服务(MDR)开始得到企业组织的大量关注。
据美国电信公司(AT&T)预测,2023年可能是MDR服务大规模应用的元年,其设置于云端的统一威胁检测和响应平台可以帮助企业实现威胁事件调查和处置的自动化,包括情报收集、分析、分类和响应等,而不是依赖传统的人工处置模式,大大降低对自身安全团队的专业性要求。
Emerging Researchi最新研究报告也表示:从2023年开始,将有更多的企业组织会通过采购MDR服务,实现7*24的威胁态势监控、事件警报、调查分析和专家团队支持等安全能力建设。预计到2030年,MDR服务应用的年市场增长率将保持在18%以上。
某种意义上说,MDR可被理解为被托管的XDR,因为如果没有足够的专业人才持续运营,那么XDR永远只是一种工具。而通过采用托管服务模型,企业能够获得更多的技术功能和专家服务。当企业从传统威胁检测方案转向MDR服务时,企业的IT领导者必须首先从两种MDR服务模式中做出选择,即完全外包服务模式或部分外包服务模式。
完全外包模式是指由第三方服务商独立负责应用环境评估、插件安装以及处理流程配置等。这种模式对企业的资源消耗非常小,不足是MDR服务商往往不了解组织内部的具体情况,由此可能会产生决策偏差。部分外包模式是指MDR服务商的安全专家与企业IT人员之间共同协作。服务商负责监视组织的安全态势并对威胁进行预警,而内部IT人员则负责管理这些资源并参与威胁事件的响应和处置。这种模式的安全可控性更好。但缺点是需要投入更多的人员和时间。
当企业确定好MDR应用模式之后,接下来的重要步骤就是根据自身的实际应用需求,选型最适合的MDR服务商。在此过程中,企业不仅要准确了解MDR服务在其整体安全计划中的定位,还必须考虑如何与MDR服务商团队保持协同,避免产生“倦怠”情绪,影响实际的工作效率。为了确保MDR服务商拥有稳定、可靠的威胁检测和响应能力,企业在选型MDR服务时,应该重点关注以下10个因素: