不是XDR买不起，其实MDR更有性价比

XDR(扩展威胁检测和响应)是近年网络安全行业中的一个热门技术，代表了传统单点式威胁检测和响应能力的融合与扩展，以提供一个多检测功能协同的平台，其中包括了端点安全保护、云访问安全代理(CASB)、Web安全网关(SWG)、电子邮件网关(SEG)、网络防火墙、网络入侵防御系统(NIP)以及统一身份管理(IAM)等。

然而，XDR技术在应用推广时，却面临了一个关键的制约因素：人。XDR是一种先进的威胁检测工具。但如果想最大化获得该工具的应用价值，企业还需要具备能够深入分析各种检测结果并确定响应优先级的人才。没有这些人才，使用XDR就等于简单地将所有有关威胁的信息倾倒在一个大锅里“乱炖”，继续给攻击者留下可乘之机。在此背景下，很多企业开始关注并选择另一种解决方案——MDR(托管威胁检测与响应服务)。

什么是MDR?

MDR可被理解为托管式的XDR服务，通过设置于云端的统一威胁检测和响应平台，帮助企业实现威胁事件调查和处置的自动化，包括情报收集、分析、分类和响应等，而不是依赖传统的人工处置模式，大大降低对自身安全团队的专业性要求。

通过应用MDR服务，组织能够较容易地将先进的威胁检测技术与人类专业知识有效结合，以实时、全天候地监控、检测和响应针对组织的网络威胁。MDR服务流程通常包括以下五个关键步骤：

01、优先级排序

通过优先级排序可以帮助组织确定首先要处理哪些警报。通过自动化和人工分析的组合，MDR能够对组织每天产生的大量安全警报进行分类，并将误报与重大网络威胁区分开来。然后，通过附加的上下文对结果进行丰富，并提炼成高质量的安全检测报告。

02、威胁猎杀

MDR提供了全天候的主动式网络威胁猎杀能力，可通过网络威胁情报平台平台收集有关潜在风险的关键数据，然后将这些信息传递给威胁分析师。这些人类专家拥有广泛的技能和知识，可以识别和应对被自动化技术解决方案遗漏的隐形网络威胁。

03、事件调查

MDR能够帮助分析师全面调查网络威胁，让组织清楚地了解网络威胁的严重程度和重要性。MDR服务能够提供详细信息，包括网络攻击的类型、发生的时间、受影响的人员以及网络攻击的严重程度。利用这些有价值的信息，组织可以规划出有效的应对措施，并确定下一步行动。

04、根除和补救

事件补救是破坏网络攻击以防止其蔓延的重要过程。这可能涉及删除恶意软件、隔离受影响的网络或系统、驱逐入侵者、清理注册表以及消除恶意软件持久性机制。有效的补救措施可确保组织网络恢复到网络攻击前的状态。

05、溯源分析和报告

安全事件解决后，需要进行事件后的溯源分析和报告，记录事件的详细信息，包括其原因、影响、响应行动和经验教训。这些信息可用于改进组织的事件响应流程、更新安全策略和程序以及增强组织的整体安全态势。

MDR的应用价值

相比XDR方案，MDR被认为是一种更加经济有效的方法，不仅可以更好保护组织免受网络攻击，还能提供诸多好处。

• 不间断保护：MDR服务商需要提供持续的网络安全监控和保护。这确保了针对组织的网络威胁能够被快速检测和阻止。

• 风险降低：随着网络攻击的增加，保护组织和数据安全至关重要。MDR有助于主动寻找、检测和响应潜在的网络威胁，并降低重大数据泄露的风险。

• 提升网络安全性：MDR是一种经济有效的方法，可以保护组织免受网络威胁，而无需雇用额外的全职安全团队员工。这些服务还可以帮助组织避免代价高昂的数据泄露。

• 改善法规遵从性：许多MDR解决方案旨在帮助组织满足特定于行业的需求，而MDR安全专家通常专门研究法规遵从性问题。MDR提供商可以提供有价值的见解，帮助组织简化合规性报告。

• 减轻IT运营负担：网络威胁检测和响应是一项非常耗时、不可预测且紧急的工作。将这些任务外包给MDR提供商，可以使IT人员能够专注于更具战略性和回报性的长期项目。

• 增强安全专业知识：当与MDR提供商合作时，组织可以快速访问高技能的网络安全分析师，而无需在安全运营中心(SOC)团队中增加额外的人员。由于MDR分析师处理大量和广泛的网络威胁，他们提供的专业知识水平在其他地方很难找到。

MDR的典型应用场景

MDR可以快速检测和响应各种网络威胁，包括那些可能逃避传统检测方法的网络威胁。以下是一些具体的用例，说明了MDR如何帮助保护组织的业务并降低风险。

01、恶意软件检测

传统的反病毒系统依赖于签名检测，即为每个恶意软件变体创建一个指纹。但是恶意软件的创造者正在通过制作独特的变体来规避这些保护机制。为了解决这个问题，MDR提供商可以主动寻找并减轻组织内部系统上的恶意软件感染。

02、网络钓鱼防护

虽然许多组织已经采用了智能网络钓鱼预防解决方案，但员工仍然有可能收到和回应网络钓鱼电子邮件。MDR服务还可以在检测更复杂的AiTM网络钓鱼和BEC网络攻击方面发挥作用。通过主动的网络威胁猎杀，MDR服务可以帮助在早期阶段发现潜在的网络钓鱼或AiTM网络攻击，分析其全部范围，并持续监控可疑或异常活动。

03、符合法律法规

当今的组织面临着复杂的监管环境，特别是在数据保护方面。当与MDR合作伙伴合作时，组织可以访问网络安全和法规遵从性专家。通过使用专门的检测功能来识别针对组织敏感数据的网络攻击者，将进一步改善组织的安全态势和法规遵从性。

04、云威胁防护

如今的大多数组织都采用了某种形式的云计算，以实现强大的业务优势。然而，从本地环境到云环境的转变带来了独特且复杂的安全挑战。MDR提供商可以帮助组织将源自内部部署的云活动关联起来，并检测云数据泄露和云应用程序漏洞。

05、阻止横向移动

一旦网络攻击者进入组织的网络环境，他们就会试图通过系统和账户来访问数据，造成更多的破坏。MDR提供商可以通过检测特权升级、安装远程访问工具的尝试以及访问控制的更改来帮助识别这种横向移动。

MDR服务选型

Emerging Researchi最新研究报告认为：从2023年开始，将有更多的企业组织会通过采购MDR服务，实现7*24的威胁态势监控、事件警报、调查分析和专家团队支持等安全能力建设。而预计到2030年，MDR服务应用的年市场增长率将保持在18%以上。

当企业选型MDR服务时，需要首先了解MDR服务在其整体安全计划中的定位，同时还必须考虑如何与MDR服务商团队保持协同，避免产生“倦怠”情绪，影响实际的工作效率。为了确保MDR服务商拥有稳定、可靠的威胁检测和响应能力，企业应该重点关注以下10个因素：

热门MDR解决方案特点分析

以下收集了6款目前较热门的MDR服务，并从功能性、兼容性和可扩展性等方面对其应用特点进行了分析。

01、Cynet 360

Cynet 360能够在单一的原生化集成环境中提供终端、用户及网络防护服务。在快速安装后，Cynet 360可向用户交付所有主要攻击途径的高保真告警——终端上的恶意软件、漏洞利用和无文件攻击，匿名登录，用户账户连接，以及ARP欺骗、横向移动及数据渗漏等基于网络攻击等。

Cynet平台与CyOps MDR服务团队能够有效结合，为其客户提供全面的MDR服务。

特点：

• Cynet MDR提供全天候警报监控、调查、事件响应、详细威胁报告和主动威胁搜索服务。

• Cynet 360原生集成了NGAV、EDR、NDR、UBA和Deception等技术，提供全面的预防、检测和响应。

• Cynet自动调查威胁的根本原因，并修复来自所有受感染主机的威胁。

02、UnderDefense MDR

UnderDefense是一家创新的网络安全公司，基于人工智能技术构建了自己的安全即服务平台，以预测、预防、检测和响应最先进和最具侵略性的网络攻击，确保客户的业务连续性。UnderDefense MAXI MDR服务可通过提供威胁检测功能、自动化响应和修复以及确保24*7高级MDR来优化工作负载和成本。

特点：

• 24*7持续的业务保护。能够消除冗余警报和繁琐的日志管理，引入响应自动化，并在云、网络、端点、应用程序、SaaS和关键数据中获得充分的可见性。

• 全面的取证和详细的执行报告，可充分反馈每个安全事件的根本原因，受影响资产的深入视图，以及明确的补救指导。

• UnderDefense实验室为Splunk、GSuite、Azure平台和组织使用的其他解决方案创建了先进算法和尖端创新。

03、Alert Logic MDR

Alert Logic MDR解决方案适合那些寻求对整个IT基础设施(云、网络、应用程序和云、本地和混合环境中的端点)进行全天候资产可见性和安全分析的中型企业组织。其方案结合了适用于多种环境的威胁检测技术和专业知识。该服务还可以满足用户一系列的定制化需求，包括指定的安全专家来帮助提供个性化和定制的事件响应计划。

特点：

• 响应自动化(SOAR)：对于希望增强其响应能力的组织可以利用嵌入式SOAR，使他们能够按照自己的节奏采用自动化，提供灵活性来平衡完全自动化和人工引导的响应。

• 威胁情报和分析：安全专家和研究人员会不断执行复杂的威胁分析，从安全社区和多个遥测点收集情报，以识别未知威胁。

• 实时报告和仪表板：实时报告和仪表板提供了方便的摘要可视化访问，并具有深入挖掘功能，可以与详细数据和特定功能进行交互。

• 安全运营中心和专业知识：可利用全球SOC分析师和专家的专业能力，就已知和未知威胁提供见解和补救指导。

04、Security Joes MDR

凭借最独特和多样化的专家团队，Security Joes MDR成为保护世界各地企业的热门服务，并通过对很多威胁事件的防护不断证明了这一点。Security Joes的服务团队具有广泛的能力，包括恶意软件分析、逆向工程、威胁搜寻、APT研究、现实世界红队、攻击性(负责任的披露)安全、DevSecOps、云CI/CD保护等领域的众多专家资源，正在帮助其构建“最可靠的MDR”服务目标。

特点：

• 较成熟的敏捷方法协议和程序，以快速解决事件

• 积极主动地解决问题，并具有出色的人际交往能力

• 能够承担定制化的威胁检测活动

05、CrowdStrike MDR

CrowdStrike公司提供的Falcon Complete平台，可以提供全面的威胁检测和保护服务。它还提供高达100万美元的安全事件损害担保(并非所有地区)。CrowdStrike Falcon Complete平台包含Falcon Prevent、Falcon Insight、Falcon Discover、Falcon OverWatch和Falcon Complete Team模块。

特点：

• Falcon OverWatch是一个托管威胁猎杀模块，将识别攻击并防止破坏。

• 专业的专家团队将主动寻找和调查企业的环境，并就威胁活动提供防护建议。

• 它可以防止恶意软件和非恶意软件攻击。

06、Rapid7 MDR

Rapid7 MDR服务采用了多种高级检测方法(包括专有威胁情报、人类威胁搜索、行为分析和网络流量)来分析检测高级威胁。它还提供了较详细的报告能力，来帮助组织根据自身的程序采取补救和缓解措施。

特点：

• 提供专业的安全咨询顾问服务。

• 能够执行实时事件检测和验证。

• 用户可完全访问Rapid7的云SIEM insighttiIDR。

• 提供事件管理和响应支持。

• 能够主动执行威胁搜索。