MDR的定义
托管检测和响应(MDR)是一种安全服务,它代表客户优先处理检测和响应功能. MDR使组织能够实施交钥匙 安全运营中心(SOC) 在建立一个内部程序的成本的一小部分.
负责公司安全组织采购的人可能会先问这个问题, “耐多药耐多药是什么?他们已经知道如何检测和应对&右),当然. 因为题目问了这个问题, 他们知道他们的组织在跟上进度方面有困难&R的责任. 这可能是由于缺乏安全人员, 专业知识, 资源, 和流程,以正确地站起来D&R程序.
一个有能力的 托管安全服务提供商(MSSP) 是否可以与一家公司签订合同作为他们的代理人 SOC-as-a-Service (SOCaaS) 合作伙伴,为公司提供几乎所有网络安全服务. MSSP还可以在特定区域(如D)快速扩展SOC的人员总数&R.
根据Gartner, MDR提供商应该能够通过分析遥测日志提供可操作的结果, data, 以及其他相关信息,以及参与 威胁狩猎 事件管理. 这使MDR客户能够加强其安全状态并更好地专注于业务优先级.
MDR解决了哪些挑战?
除了减轻压力和给过度劳累的分析师更多时间的一般好处之外, 耐多药:
- 减少警觉性疲劳: 分析师可能追逐了太多虚假警报,或者可能最终对有意义的警报变得不敏感. 如果人数少,团队可能无法再以有意义的方式调查警报. MDR通过调查和策划客户需要采取实际行动的警报,成为力量倍增器.
- 更快地检测威胁: 过载的SOC可能根本无法实时看到或响应任何威胁. 与此形成鲜明对比的是, MDR提供商的唯一功能是代表客户检测和响应威胁. 与MDR提供商合作可以快速减少SOC的威胁响应时间, 尤其是上面提到的策划提醒. 当与综合威胁情报相结合时, 由于实时分析,团队应该能够更主动地识别威胁.
- 扩展安全功能: 这一切都始于缺乏预算, 但同时又缺乏专业知识和人才, 任何一家公司的安全状况都可能很快变成灾难性的. 团队必须能够做到这一切: 威胁检测, 警报分类, 恶意软件分析, 事件调查, 以及应对——而且必须能够大规模地实现.
MDR可以帮助资源有限的安全团队在关键职责范围内扩展其能力. 可以访问提供商的专业D&R专业知识和员工数量, MDR客户可以在成功构建关键资源的内部表示所需的预算和时间的一小部分中找到解决方案.
- 增强安全成熟度: 无论一家公司是一家初创公司,还是位于一个历史上不是大攻击者目标的行业, 他们可能拥有被安全领导人视为不成熟的技能. 一个不成熟的安全程序根本无法在当今极度活跃的攻击者环境中存在. 每个SOC最终都会面临一个可怕的威胁——或者许多可怕的威胁. 有一个预算来解决不成熟的问题是很好的, 但如果没有战略性的人才获取计划, 那就不会有成功.
MDR提供商可以快速承担任务,并建议SOC改进和扩展他们的程序. 这就解放了内部员工,使他们能够专注于更具战略性的项目,从而将安全成熟度推向下一个层次.
耐多药是如何起作用的?
通过使客户能够利用提供商的SOC团队进行24x7x365天的安全操作覆盖,管理检测和响应工作. MDR可以快速扩展SOC的人员数量,从而使团队能够更好地:
- 检测到的威胁
- 分析威胁
- 调查的威胁
- 积极应对威胁
- 关注优先事项而不是威胁
通过在客户的整个环境中提供完整的覆盖, MDR可以向安全从业者提供可见性,以查看恶意活动可能发生的时间和地点. 供应商还应能够帮助客户:
- 确定对特定环境的目标威胁
- 修复任何受影响的系统
- 集中精力消除威胁
- 为将来更好地保护受影响的系统提供建议
- 剔除良性事件,只报道真正积极的威胁
MDR提供商的最终目标应该是帮助客户的SOC实现交钥匙D&R项目没有重大的财务投资和压力——以及在保持SOC运行的同时面试人才所需的时间——来建立一个基础, 内部程序.
耐多药的好处是什么?
耐多药的好处很多, 特别强调创造一个压力较小的SOC环境. 与真正的MDR合作伙伴合作的其他主要好处包括:
- 改进的安全态势: 通过聘请一组专家来扩展D&R功能, SOC可以更早地发现风险, 缩小攻击面, 准备好调查 数字取证和事件响应(DFIR) 技术.
- 投资回报: MDR合作伙伴应该能够在合理的时间内(3-5年)提供有意义的投资回报率。. 例如, 快速MDR服务 我们能够为客户提供平均近5.3年5倍的投资回报率. 通过提高警报检测的效率, 调查, 和响应, 安全组织可以节省成本再投资到其他地方.
- 使用检测和响应工具: MDR客户通常可以访问提供商的D&R技术,这样他们就可以在底层平台上学习. 他们还可以利用该平台执行自己的警报调查. 客户也应该能够访问 网络流量分析、用户行为分析(UBA)等.
- 更快的威胁或漏洞修复: 从每周花在补救上的几个小时到每周只花几分钟, 值得信赖的MDR合作伙伴应该能够转换SOC执行修复的能力. 随着提供商能够根据客户的环境制定专门的行动计划,修复的平均时间将大大缩短.
- 使用网络分析进行更快的调查: 一个好的MDR提供商还应该能够快速获取网络设备数据,以便为客户提供服务. 网络数据是轻量级的, 轻松地搜索, 并且可以快速定位攻击者在网络中的确切位置,以确定漏洞的范围. 利用这些数据,分析人员可以采取行动,了解整个网络层发生了什么, 将事件关联到 端点. 该过程有助于早期发现威胁, 以及为调查添加上下文以更好地理解攻击者的行为.
MDR用例
由于许多原因,耐多药可能是一种有利的解决方案, 但是,让我们来看看托管服务合作伙伴应该能够解决的一些特定用例,以便为您的安全组织增加价值:
- 检测受损用户和横向移动.
- 通过自动化繁琐的手动任务,为分析人员节省关键时间.
- 地址主机和端点遏制,以限制恶意软件传播的损害量 或者其他攻击 -可以引起.
- 通过从用户行为分析中收集见解,以更高的保真度检测攻击者, 日志分析, 攻击者行为分析.
- 通过从不同的技术环境中摄取数据,以更高的可见性验证威胁.
- 通过实现特定的安全控制来遵守法规框架.
MDR vs. 其他托管安全解决方案
MDR与MSSP或EDR(端点检测和响应)有何不同?? 这一切都与SOC希望获得或加强的功能以及为这些特定服务指定的预算有关.
MDR vs MSSP
MSSP提供一系列广泛的服务,MDR可能只是其中之一. 所以,如果顾客只想要一个D&R的解决方案, 提供soc即服务(SOC-as-a-Service)解决方案的通用MSSP可能超出了它们的需求,并且不必要地增加了安全预算.
MDR vs EDR
EDR是一个解决方案,应该被纳入一个更大的网络和云跨D&R的解决方案. 它通常是一个附加服务,专门关注端点威胁和遏制. 任何潜在的MDR合作伙伴都应该将EDR作为其托管服务产品的一部分.
更大的解决方案应该具有威胁检测功能, 狩猎, 和 containment; incident validation 和响应; behavior analytics; automation; 和 a deeper dive into attack details than a st和alone EDR的解决方案 or managed service can offer.
如何选择MDR服务
研究并随后聘请MDR提供商的服务并不是一项简单的任务,但它也不必像建立一个内部D一样是一个漫长的过程&R程序. 只有寻找MDR解决方案的客户才知道其SOC的核心挑战和需求.
以下内容可以作为根据8个核心功能评估潜在MDR提供商的方便指南, 根据SOC的具体和独特需求:
- MDR分析师经验
- 扩展的检测和响应技术
- 扩展SOC的伙伴关系
- 威胁狩猎
- 明确服务期望和结果
- 扩展MDR专业知识
- 安全编排、自动化和响应(高飞)
- 竞争性MDR定价
阅读更多关于托管检测的信息 & 响应
比较MDR供应商
MDR, MEDR, SOCaaS:哪个适合你?
管理检测 & 回应:来自博客的最新消息