MDR( Managed Detection & Response)服務演變為一個獨特的資安服務產品

MDR服務正在發展成為Channel合作夥伴的新型網路安全產品。了解MDR提供商如何採用與傳統MSSP不同的方法

在一個充斥著警報和技能短缺的網路安全市場中,IT專業人員發現單靠一個SIEM系統無法滿足當今不斷增長的威脅形勢的需求。

據研究公司Gartner稱,託管檢測和回應(MDR)是一種新的服務類別,可讓企業通過統包方式增加全天候威脅監控,檢測和回應功能。去年,Gartner預測,到2020年,15%的組織將採用MDR服務,高於2018年的5%。

行業觀察人士表示,許多組織沒有足夠的資源來維持及時處理安全威脅的全天候監控和分析功能。企業戰略集團的研究顯示,受網路安全技能短缺影響的組織中有66%表示,這種短缺導致現有員工的工作量增加。

MDR服務與傳統的託管安全性

這就是MDR服務的用武之地。託管安全服務提供商(MSSP)通常會在安全信息和事件管理(SIEM)系統中標記事件時向客戶發出警報,然後將分析和回應轉移給客戶。根據位於德州PlanoMDR服務提供商Critical Start的說法,MDR服務通過調查安全事件並提供正確回應所需的分析來取代MSSP方法。

大多數MDR提供商“依靠高質量的網路安全產品來提供他們的服務,因此你擁有一個好的技術,然後他們試圖提供額外的價值,”如分類和警報回應,Randy WatkinsCritical Start的技術總監。

沒有第三方這樣做,有責任幫助客戶找到警報問題,還要解決問題。Randy Watkins說,大多數客戶都沒有這樣做。“任何MDR都優於沒有MDR,因為客戶通常自己做得不夠好。”

“每個人仍然在定義‘R’MDR中的含義,”總部位於Boston的安全提供商Cygilant Inc.的銷售和服務副總裁TJ Alvino說。“有些客戶希望你為他們做實際的修復,而其他人,從責任的角度來看,不希望你靠近他們的網路絡。所以他們希望你把他們從A做到Y – 但是自己做Z.

雖然網路安全市場繼續定義MDR,但Alvino表示Cygilant將該術語定義為“允許您在補丁端進行實際修復,但我們將為您加載儀表板,……所以責任仍在[客戶]要做到這一點。” 此外,MDR的回應方面在無需修補情況

下提供了有關情境感知警報和補救服務, Alvino說。

“我們確認問題,為問題提供解決方案,並為[客戶]提供解決方案,”他說,並補充說市場內“MDR服務是否應該補丁或留給客戶做正在被熱烈討論著。他說:“這就是”需要明確‘R’實際上是什麼。“

MDR服務超越了升級警報

Watkins認為,人們普遍認為MDR的局限性是無法從客戶擁有的每個日誌源中收集數據。

他說,MSSP通常從客戶有的幾乎所有來源中提取日誌。MSSP將日誌集中到一個位置,然後將問題升級到客戶“而不會增加太多價值”。雖然客戶希望MDR服務使用他們的大部分日誌源,但這是不可能的,他說。

“這些託管服務和MDR試圖解決的問題是業內人員不足,但這不是客戶需要的,”Watkins說。

他說,MDR提供商傾向於關注更少的產品,並通過執行回應行動為這些產品增加更多價值,而不是接收“從另一個地方產生的一堆警報”。

網路安全技能短缺帶來了現有員工工作量增加等問題。

Watkins解釋說:“MDR專注於他們可以從內到外學習的特定產品堆棧,以進行分類和執行回應功能,這不僅僅是升級警報。” MDR意味著“實際上隔離受感染的主機以降低攻擊者的停留時間……在您找到它們之前在您的環境中移除它們。”

但是,對於受到嚴格監管的客戶,MDR提供商受到相當嚴格的限制。“這項技術不允許那裡有很多檢測和回應功能,Watkins說。

MDR產品中的技術

Watkins表示,MDR提供商可以選擇網路,端點或基於日誌的技術。根據他們的服務,他們將關注防火牆和入侵檢測系統,SIEM或端點技術。他說,Critical Start專注於端點技術。

通常,開發MDR服務要求公司與網路安全供應商合作。為了增強其MDR產品,Critical Start在最近幾個月宣佈了幾個合作夥伴關係。根據3月份公佈的合作夥伴關係,Critical StartChronicle合作,為其Backstory安全遙測平台提供託管服務。4月,Critical Start還宣佈與微軟結盟,為Microsoft Defender Advanced Threat Protection平台提供MDR服務。

Alvino表示,Cygilant已與AT&T Cyber​​security合作,幫助中型企業開始將多種技術的SIEM數據融入一個界面,並將安全運營中心(SOC)作為服務包裹起來。

CygilantSOC監控平台與產品無關,可匯總警報和網路活動。該公司表示,它還具有“基於安全配置文件”協調和調整客戶希望如何接收警報的功能“。

通過將SOC作為服務,漏洞管理和補丁管理整合到一個平台,Alvino說,中型企業不必購買來自不同供應商的所有三個功能。

Source: spr.ly/6012EIu8C