MDR 是什么?
网路安全威胁日益增加,「托管式侦测及应变(MDR)」成为企业不可或缺的资安工具与服务。 MDR 是什么呢?企业可以如何利用 MDR,加强自身资安防护?本文将深入介绍 MDR 的功能与运作方式,以及使用上的优势,协助您选择最适合的资安防护方案。
MDR 是什么?
MDR 中文为「托管式侦测及应变(Managed Detection and Response)」,是由第三方供应商所提供的 EDR 网路安全服务。白话说, MDR 就是企业将包含 EDR 在内的侦测与应变工作交予外部的专业资安专家或团队进行。
EDR 是什么?
EDR 为 Endpoint Detection and Response 的缩写,中文称为「端点侦测及应变」,是一种网路安全技术或工具。 EDR 以自动化工具实时监控并记录端点上的活动,并于侦测到异常或可疑活动与程式时即时通报。资安人员可藉由 EDR 提供的数据、分析与应变建议,判断资安事件的成因、严重性,以及该采取什么样的行动阻断网路攻击。
EDR 的运作顾名思义,有「侦测」与「应变」两部分。侦测为主动监控端点,识别可能的网路攻击;应变则是在发现潜在威胁时,即时回应,阻止攻击扩大。
想要更进一步了解 EDR 吗? 《EDR》
为什么要用 MDR
随着网路威胁数量逐年上升,EDR 工具产出巨量的数据和资料。即使经过自动化工具初步分析,这些资料还需更深入的分析才能提供更多有用的资讯,而进一步分析则会需要企业投入更多资源,资安工作的困难度也不断攀升。
MDR 服务商协助企业管理 EDR 工具及资讯安全资料,并快速应变,替企业节省时间与人力。例如,MDR 厂商可以即时判断系统示警是否为误报(False Positive),还是出现了具有威胁性的资安事件。企业可以免去这部分工作,而更专注在其核心业务。
MDR 如何运作?
除了 EDR 的侦测与应变以外,MDR 还可以全天候监控端点,并即时回应侦测到的网路威胁。不同的供应商提供的 MDR 服务则可能会有不同内容。 EDR 可以进行的安全防护措施,MDR 都有包含在内。除此之外,通常 MDR 服务可能还会包括:
- 由资安专家使用工具在范围内,进行人工威胁搜捕(Threat Hunting),主动寻找可能的资安威胁。相较于被动侦测异常活动,威胁搜捕属于主动式的资安防御作法。
- 定期提供网路安全性报告。
- 深入调查个别资安事件,提供事件发生根本原因的分析报告,协助防止再次遭受相同类型的网路攻击。
- 将资安威胁与警告依严重程度排序。
- 提供资安威胁应变指引。
而 MDR 运作的流程:
- 设定优先顺序:企业一天可能会收到无数的网路威胁警告,因此若有事先界定哪些是需要优先处理的网路威胁,可以减轻工作量。同时使用自动化与人力分析,辨别误判和真正重大的网路威胁,以集中资源与人力在之上。
- 搜捕:主动寻找潜在的资安威胁,在发生前即时阻止。
- 调查:研究网路威胁,了解不同的网路威胁对特定企业的资安架构的威胁程度,以及可能造成的影响,并用以受到威胁时,作出有效的回应。
- 补救:中断网路连线或网路攻击,避免攻击范围扩散,并驱逐入侵者和登录。
- 使中立化:将网路回复到受攻击之前的状态,并分析遭受攻击的根本原因,防范未来类似事件。
使用 MDR 的 2 大好處
面对猖獗的网路恶意攻击,MDR 服务可以提供企业两大好处:提升资讯全与减轻资安人力负担。
一、全面提升资讯
- 安全全年无休 24/7 的持续监控,并即时分析情报与数据。
- 主动搜寻资安威胁。
- 即时进行漏洞修补,同时提供资安事件的深度调查报告,协助企业提高事件处理效率。
- 应变速度提升,也降低资安事件带来的损害。
二、减轻资安人力负担
- 由外部供应商提供专业资讯安全技术支援,深入分析数据,企业无需自行雇用高阶资安人员、管理内部的资安团队。
- 网路恶意攻击手法变化多端、不停推陈出新,企业内部的资安人员也可透过外部厂商的技术支援,短时间内快速获取最新的专业知识。
- 外部厂商提供 24 小时全年无休的系统监控服务,让企业内部人力进行其他重要工作。
MDR vs EDR:优缺点比较
就定义上来看,EDR 是一种保障网路安全的技术/工具,而 MDR 则是以 EDR 技术/工具进行的资安服务。而两者在实务上的差别为:企业使用 EDR 需自行部署和管理相关技术与工具,并且根据 EDR 所提供的资讯,采取相对应的资安措施;使用 MDR 服务的话,部署、管理、监控和应变资安威胁都由外部厂商负责。因此 EDR 的自主性较高,企业自主权高,也可以依照自己的网路架构与环境,自订配置。另一方面,EDR 主要针对端点进行防护,MDR 的侦测和应变服务除了端点外,也可能还盖更大的范畴,例如整体资讯系统或端点和电脑网路等。
下表整理了 EDR 和 MDR 的优缺点差异;也可以看出 EDR 适合小型、资源有限的组织,进行端点监控与威胁响应,而 MDR 更适用于大型组织提升整体网路安全性。
|
EDR |
MDR |
|
|
优点 |
|
|
|
缺点 |
|
|
MDR、EDR、NDR、XDR:有什么不一样?
而近年来,资安防护除了 EDR 与 MDR 以外,也发展出了 NDR 与 XDR,这些又代表了什么呢?
- EDR(端点侦测与回应):专门针对端点装置(如电脑、手机等)进行威胁侦测和处理的技术。
- MDR(托管式侦测与应变):由外部专业资安公司提供的 EDR 服务,帮助企业监控与回应安全事件。
- XDR(延伸式侦测与回应):一种涵盖范围更全面的资安技术,不仅包含端点与网路,还能监控像是电子邮件、应用程式及云端工作负载等各种资料来源,并将来自不同系统的安全资讯集中管理,提升自动化分析与回应的效率。
- NDR(网路侦测与回应):专注于分析和监控网路流量,以侦测异常行为或潜在威胁并做出回应的资安技术。
MDR 3 大新趋势
- 支援云端:现代企业的运算环境多涉及云端部署,无论是完全原生的云端架构,或是云端与地端混合的 IT 基础设施,因此 MDR 服务是否支援云端环境,已成为一项关键考量。
- 针对产业的 MDR:随着网路攻击日益复杂,针对不同行业的攻击手法也随之演变,因此通用型 MDR 难以有效因应特定产业的威胁,产业专属的解决方案因而应运而生。
- AI 与自动化:导入人工智慧与自动化技术可协助威胁识别与即时应对,进一步减少人力负担并提升反应效率。
晟崴科技的 MDR 威胁侦测应变 服务由专业认证的技术团队主导,提供全方位的安全防护,加快资安事件的反应速度,可协助各产业的企业降低资安威胁带来的损害、保持营运及业务稳定运作、不中断。无论是传统制造业、医疗保健产业、金融机构,都可以协助您保护机敏资料,规划专属您的 MDR 服务。欢迎与我们联络!
立即联络晟崴科技 规划专属您的 MDR 服务!
