MDR 是什麼?
網路安全威脅日益增加,「託管式偵測及應變(MDR)」成為企業不可或缺的資安工具與服務。MDR 是什麼呢?企業可以如何利用 MDR,加強自身資安防護?本文將深入介紹 MDR 的功能與運作方式,以及使用上的優勢,協助您選擇最適合的資安防護方案。
MDR 是什麼?
MDR 中文為「託管式偵測及應變(Managed Detection and Response)」,是由第三方供應商所提供的 EDR 網路安全服務。白話說, MDR 就是企業將包含 EDR 在內的偵測與應變工作交予外部的專業資安專家或團隊進行。
EDR 是什麼?
EDR 為 Endpoint Detection and Response 的縮寫,中文稱為「端點偵測及應變」,是一種網路安全技術或工具。EDR 以自動化工具實時監控並記錄端點上的活動,並於偵測到異常或可疑活動與程式時即時通報。資安人員可藉由 EDR 提供的數據、分析與應變建議,判斷資安事件的成因、嚴重性,以及該採取什麼樣的行動阻斷網路攻擊。
EDR 的運作顧名思義,有「偵測」與「應變」兩部分。偵測為主動監控端點,識別可能的網路攻擊;應變則是在發現潛在威脅時,即時回應,阻止攻擊擴大。
想要更進一步了解 EDR 嗎?《EDR》
為什麼要用 MDR
隨著網路威脅數量逐年上升,EDR 工具產出巨量的數據和資料。即使經過自動化工具初步分析,這些資料還需更深入的分析才能提供更多有用的資訊,而進一步分析則會需要企業投入更多資源,資安工作的困難度也不斷攀升。
MDR 服務商協助企業管理 EDR 工具及資訊安全資料,並快速應變,替企業節省時間與人力。例如,MDR 廠商可以即時判斷系統示警是否為誤報(False Positive),還是出現了具有威脅性的資安事件。企業可以免去這部分工作,而更專注在其核心業務。
MDR 如何運作?
除了 EDR 的偵測與應變以外,MDR 還可以全天候監控端點,並即時回應偵測到的網路威脅。不同的供應商提供的 MDR 服務則可能會有不同內容。EDR 可以進行的安全防護措施,MDR 都有包含在內。除此之外,通常 MDR 服務可能還會包括:
-
由資安專家使用工具在範圍內,進行人工威脅搜捕(Threat Hunting),主動尋找可能的資安威脅。相較於被動偵測異常活動,威脅搜捕屬於主動式的資安防禦作法。
-
定期提供網路安全性報告。
-
深入調查個別資安事件,提供事件發生根本原因的分析報告,協助防止再次遭受相同類型的網路攻擊。
-
將資安威脅與警告依嚴重程度排序。
-
提供資安威脅應變指引。
而 MDR 運作的流程:
-
設定優先順序:企業一天可能會收到無數的網路威脅警告,因此若有事先界定哪些是需要優先處理的網路威脅,可以減輕工作量。同時使用自動化與人力分析,辨別誤判和真正重大的網路威脅,以集中資源與人力在之上。
-
搜捕:主動尋找潛在的資安威脅,在發生前即時阻止。
-
調查:研究網路威脅,了解不同的網路威脅對特定企業的資安架構的威脅程度,以及可能造成的影響,並用以受到威脅時,作出有效的回應。
-
補救:中斷網路連線或網路攻擊,避免攻擊範圍擴散,並驅逐入侵者和登錄。
-
使中立化:將網路回復到受攻擊之前的狀態,並分析遭受攻擊的根本原因,防範未來類似事件。
使用 MDR 的 2 大好處
面對猖獗的網路惡意攻擊,MDR 服務可以提供企業兩大好處:提升資訊全與減輕資安人力負擔。
一、全面提升資訊安全
-
全年無休 24/7 的持續監控,並即時分析情報與數據。
- 主動搜尋資安威脅。
- 即時進行漏洞修補,同時提供資安事件的深度調查報告,協助企業提高事件處理效率。
- 應變速度提升,也降低資安事件帶來的損害。
二、減輕資安人力負擔
- 由外部供應商提供專業資訊安全技術支援,深入分析數據,企業無需自行雇用高階資安人員、管理內部的資安團隊。
- 網路惡意攻擊手法變化多端、不停推陳出新,企業內部的資安人員也可透過外部廠商的技術支援,短時間內快速獲取最新的專業知識。
- 外部廠商提供 24 小時全年無休的系統監控服務,讓企業內部人力進行其他重要工作。
MDR vs EDR:優缺點比較
就定義上來看,EDR 是一種保障網路安全的技術/工具,而 MDR 則是以 EDR 技術/工具進行的資安服務。而兩者在實務上的差別為:企業使用 EDR 需自行部署和管理相關技術與工具,並且根據 EDR 所提供的資訊,採取相對應的資安措施;使用 MDR 服務的話,部署、管理、監控和應變資安威脅都由外部廠商負責。因此 EDR 的自主性較高,企業自主權高,也可以依照自己的網路架構與環境,自訂配置。另一方面,EDR 主要針對端點進行防護,MDR 的偵測和應變服務除了端點外,也可能還蓋更大的範疇,例如整體資訊系統或端點和電腦網路等。
下表整理了 EDR 和 MDR 的優缺點差異;也可以看出 EDR 適合小型、資源有限的組織,進行端點監控與威脅響應,而 MDR 更適用於大型組織提升整體網路安全性。
|
EDR |
MDR |
|
|
優點 |
|
|
|
缺點 |
|
|
MDR、EDR、NDR、XDR:有什麼不一樣?
而近年來,資安防護除了 EDR 與 MDR 以外,也發展出了 NDR 與 XDR,這些又代表了什麼呢?
-
EDR(端點偵測與回應):專門針對端點裝置(如電腦、手機等)進行威脅偵測和處理的技術。
-
MDR(託管式偵測與應變):由外部專業資安公司提供的 EDR 服務,幫助企業監控與回應安全事件。
-
XDR(延伸式偵測與回應):一種涵蓋範圍更全面的資安技術,不僅包含端點與網路,還能監控像是電子郵件、應用程式及雲端工作負載等各種資料來源,並將來自不同系統的安全資訊集中管理,提升自動化分析與回應的效率。
-
NDR(網路偵測與回應):專注於分析和監控網路流量,以偵測異常行為或潛在威脅並做出回應的資安技術。
MDR 3 大新趨勢
-
支援雲端:現代企業的運算環境多涉及雲端部署,無論是完全原生的雲端架構,或是雲端與地端混合的 IT 基礎設施,因此 MDR 服務是否支援雲端環境,已成為一項關鍵考量。
-
針對產業的 MDR:隨著網路攻擊日益複雜,針對不同行業的攻擊手法也隨之演變,因此通用型 MDR 難以有效因應特定產業的威脅,產業專屬的解決方案因而應運而生。
-
AI 與自動化:導入人工智慧與自動化技術可協助威脅識別與即時應對,進一步減少人力負擔並提升反應效率。
晟崴科技的 MDR 威脅偵測應變服務由專業認證的技術團隊主導,提供全方位的安全防護,加快資安事件的反應速度,可協助各產業的企業降低資安威脅帶來的損害、保持營運及業務穩定運作、不中斷。無論是傳統製造業、醫療保健產業、金融機構,都可以協助您保護機敏資料,規劃專屬您的 MDR 服務。歡迎與我們聯絡!
立即聯絡晟崴科技規劃專屬您的 MDR 服務!
