MDR 所定義
受控的偵測及回應 (MDR) 是網路安全性服務,可透過進階偵測與快速事件回應來協助主動保護組織免受網路威脅。MDR 服務包含技術與人力專長的組合,以執行網路威脅搜捕、監視和回應。
隨著現今網路威脅情勢持續的演變,組織更應著重於保護自己免受日益複雜的網路攻擊。從勒索軟體到精心偽裝的網路釣魚嘗試,網路犯罪者變得越來越狡猾。然而,由於各行業的組織面臨人才短缺,許多 IT 部門都在試圖確保其安全團隊配備具有正確技能的的員工。
在這樣的環境中,越來越多的組織正在尋找值得信賴之受控的偵測及回應 (MDR) 合作夥伴來接手耗時的工作,並增強其 現有的組織內部安全團隊能力。當組織與 MDR 安全提供者合作時,組織可取得安全性作業中心 (SOC) 的全天候存取權,無須雇用額外的 IT 員工。MDR 不僅可保護您的企業、員工和資料的安全,還有助於維護您的品牌聲譽並提升客戶信任度。
MDR 如何運作?
受控的偵測及回應結合了最先進的技術與人力專長,可即時且全天候監視、偵測及回應針對貴組織的網路威脅。
雖然 MDR 供應項目會因提供者而異,但這些服務通常包括:
- 全天候網路威脅監視及回應
- 由真人專家帶領的網路威脅搜捕
- 可防止網路攻擊擴散的內含項目
- 可消除網路威脅的事件回應
- 可防止網路攻擊再次發生的根本原因分析
- 每週和每月提供的網路安全性報告
- 一般安全性健康情況檢查
MDR 不同於威脅偵測及回應 (TDR) (用來識別及阻止網路威脅的工具),它是由真人帶領的服務,可管理這些網路安全性工具以及其所提供的資料。
以五個步驟主動保護
受控的偵測及回應程序通常包含下列五個步驟:
步驟 1:設定優先順序
對安全性團隊來說,每天處理不停收到的難以數計網路安全性警示是非常耗時的工作。這就是為什麼許多 MDR 合作夥伴會提供所謂的受控優先順序。MDR 透過自動化和人力分析的組合,可排序貴組織大量的警示,並將誤判為真為與重大網路威脅加以區分。然後,他們會向您的安全性團隊呈現高品質的警示資料流。
步驟 2:搜捕
MDR 全天候可提供主動且全方位的網路威脅搜捕功能。網路威脅情報平台會收集有關潛在風險的重大資料,然後將此資訊傳遞給分析師。這些人類專家具備廣泛的技能和知識,可識別及回應有時會被自動化技術解決方案所遺漏的隱形網路威脅。
步驟 3:調查
MDR 分析師也會調查網路威脅,提供貴組織對該網路威脅之範圍和重要性的清楚理解。他們會提供詳細的資訊,包括網路攻擊的類型、發生時間、受影響人員,以及網路攻擊的嚴重性。他們還會使用這項寶貴資訊來提出有效的回應,並識別下一個步驟。
步驟 4:補救
補救是中斷網路攻擊以防止其擴散的程序。這可能涉及移除惡意程式碼、隔離受影響的網路或系統、驅逐入侵者、清除登錄,以及排除惡意程式碼持續性機制。有效的補救可確保您的網路恢復到網路攻擊之前的狀態。
步驟 5:使中立化
網路攻擊已遭阻止且您的網路已恢復到之前的狀態後,分析師會執行根本原因分析。這可讓他們完全清除網路攻擊,並防止未來發生相同類型的網路攻擊。
MDR 的優點
全天候涵蓋範圍
MDR 提供者提供持續的網路安全性監視和保護。這可確保針對貴組織的網路威脅無論是白天或夜晚,隨時都會被偵測並快速阻止。
降低風險
隨著網路攻擊的的增加,保護貴組織和資料至關重要。MDR 可協助主動搜捕、偵測及回應潛在有害的網路威脅,並降低重大資料外洩的風險。
符合成本效益的網路安全性
MDR 是可保護貴組織免受網路威脅的符合成本效益方式,無須雇用額外的全職 IT 安全性團隊員工。這些服務也可幫助您避免代價高昂的資料外洩。
改善的合規性
許多 MDR 解決方案旨在幫助您符合產業特定需求,而 MDR 安全性專家通常專長於法規合規性。您的 MDR 提供者可以提供寶貴的深入解析,可幫助您簡化合規性報告。
降低 IT 負荷
網路威脅偵測及回應可能是耗時、無法預測且急迫的工作。當您將這些工作外包給 MDR 提供者時,這可讓您的 IT 人員專注於更具策略性與報酬性更高的長期專案。
增強的安全性專長
當您與 MDR 提供者合作時,即可與高技能的網路安全性分析師快速聯繫,無須在您的安全性作業中心 (SOC) 中增加人員。由於 MDR 分析師處理大量且廣泛的網路威脅,因此他們提供的專長層級是其他地方所無法比擬。
MDR 使用案例
法規合規性
現今的組織面臨複雜的法規環境,尤其是在資料保護方面。當您與 MDR 合作夥伴合作時,貴組織可與網路安全性與合規性專家聯繫。透過使用可識別以貴公司敏感性資料為目標之網路攻擊者的專門偵測功能,可改善您的安全性態勢和法規合規性。
雲端網路威脅
現今大部分的組織都採用某些形式的雲端運算,這可帶來強大的商務優勢。不過,從內部部署轉換至雲端環境,還是帶來了獨特的複雜安全性挑戰。MDR 提供者可協助您將源自內部部署入侵的雲端活動相互關聯,並偵測雲端資料外流和雲端應用程式外洩。
橫向移動網路攻擊
一旦網路攻擊進入您的環境中,他們會嘗試透過系統和帳戶來存取資料並造成更多損害。MDR 提供者可以透過偵測權限提升、嘗試安裝遠端存取工具與變更存取控制,來協助識別此橫向移動。
網路式網路攻擊
MDR 提供者可以在網路邊界使用網路安全性保護來偵測和封鎖許多這類攻擊。然而,更複雜的網路攻擊者通常會找出方法,以繞過或克服這些保護。MDR 專家知道因應這些更進階網路威脅的專門策略。
MDR 與 XDR、MXDR、EDR、MSSP 和 SIEM 的比較
MDR 是許多網路安全性供應項目之一。MDR 與大多數網路安全性工具 (通常是技術平台) 不同,它是將技術與人力專長結合之受管理的服務。
以下是 MDR 與其他常用網路威脅防護工具間的一些差異:
MDR 與 XDR 的比較
延伸偵測及回應 (XDR) 是一種軟體即服務 (SaaS) 工具,可將安全性產品和資料整合成簡化的解決方案。XDR 為具有多雲端、混合式環境的組織提供更有效率的網路安全性解決方案 (這樣的組織環境通常會導致複雜的安全性挑戰)。不過 XDR 並非像 MDR 那樣是包含人類分析師團隊的受管理服務。
MDR 與 MXDR 的比較
受控延伸偵測和回應 (MXDR) 是新一代的 MDR。MXDR 與 MDR 一樣是受管理的服務,結合了技術解決方案與人力專長。不過提供者在利用 MXDR 時,會使用 XDR 安全性解決方案來將保護延伸到各種 IT 環境中。由於這些服務提供全方位的涵蓋範圍、即時監視,以及超出端點的網路威脅搜捕,因此 MXDR 通常比傳統 MDR 更為快速且有效。此外,MXDR 提供網路攻擊案例更完整的視野。
MDR 與 EDR 的比較
端點偵測及回應 (EDR) 是 MDR 提供者經常使用的工具,可追蹤端點上的行為和發生事件,並使用基於規則的自動化來回應網路威脅。當 EDR 偵測到異常時,會向安全性團隊發送警示以進一步調查。現今 EDR 解決方案通常包含如機器學習、行為分析和整合工具等進階功能,並已成為端點保護平台 (EPP) 的主要功能。對於內部安全性團隊來說,管理這些複雜的系統可能相當困難且耗時,而 MDR 服務即可在這方面提供協助。
MDR 與 MSSP 的比較
MDR 服務的前身是受管理的安全性服務提供者 (MSSP),其建立主旨在提供安全系統的監視和管理。MSSP 為組織的網路和端點提供一般監視,並向內部安全性團隊傳送警示。MSSP 與 MDR 提供者不同,它通常不會主動回應網路威脅。
MDR 與 SIEM 的比較
安全性資訊與事件管理 (SIEM) 是技術解決方案,會從組織現有的安全性工具中收集資料,然後分析這些資訊以找出網路威脅。SIEM 不像 MDR 服務那樣會包含人力元素。
選擇正確的 MDR 安全性服務
在現今日益複雜的網路威脅環境中,採取措來施降低組織風險是至關重要。MDR 服務為組織提供有效、主動且符合成本效益的解決方案,不需要額外的員工。
如果您考慮使用 MDR 解決方案,選擇可提供可靠服務的受信任提供者非常重要。尋找可符合您獨特需求並可提供快速網路威脅回應、針對您產業的高層級專長以及全天候全方位涵蓋範圍的合作夥伴。
深入了解 Microsoft 安全性
常見問題集
-
MDR 是結合了技術和人力專長的網路安全性服務,可協助組織主動搜捕、偵測以及快速回應網路威脅。
-
MDR 解決方案可協助組織解決多項業務挑戰,包括不斷演變的網路威脅、人才短缺、合規性考量、IT 員工參與度和安全性成本,同時提供全天候的安全性涵蓋範圍。
-
受控的偵測及回應 (MDR) 是網路安全性服務,可透過進階偵測與快速事件回應來協助主動保護組織免受網路威脅。MDR 服務包含技術與人力專長的組合,以執行網路威脅搜捕、監視和回應。安全性作業中心 (SOC) 可以是內部團隊或外包,是可監視、分析和回應網路威脅的集中式團隊。當組織與 MDR 服務提供者合作時,他們可取得全職 SOC 的存取權,不需要額外的員工。
-
MDR 結合了技術工具和人工分析師來進行搜捕、偵測和回應網路威脅。MDR 程序通常包含下列五個元件或步驟:
- 設定優先順序
- 搜捕
- 調查
- 補救
- 使中立化
關注 Microsoft 365