【專家主場】MDR 是帶動網絡安全服務的新趨勢
大量安全監控只得到一大堆 alerts
傳統 IT Security 防護的處理方法,主要偏重在事前的預防。從近年發生的各式安全事故來看,企業也逐漸意識到,光是事前的預防,已經不足以阻擋各式各樣的網絡安全威脅。即使企業投放大量資源去設立不同形式的安全監控, 往往只得到一大堆 security alerts, 不但數量繁多,alert 的內容也不易理解和處理。
若不幸碰到事故,要找出根源(包括:還原攻擊事件的原貌,以及對事故的調查與分析),往往需要高度專業人才來處理。在整個行業都缺乏IT Security人才的情況之下,實在令企業頭痛。
新型服務 — MDR
因此,近年冒起了新型的安全防禦服務,稱為 MDR (Managed Detection & Response),透過代管服務的方式,運用機器學習、大數據分析、威脅情報、相應的偵測與應對技術,來幫助企業做到事故偵測與處理。形式就好像近年興起的端點偵測及應對產品(Endpoint Detection and Response,EDR),並強調在偵測與應對的部分,務求破壞惡意攻擊行動,降低事故可能帶來的損害。
MDR 跟 MSS 有何分別?
大家可能會問,MDR 跟 MSS(Managed Security Service,安全代管服務)有什麼分別呢?簡單來說, MDR 是利用指定安全技術來解決某個領域(例如:Endpoint、Email、或 Network)的安全威脅,也可以說 MDR 是某個領域的安全服務專家。相反地,MSS 在現階段比較側重監控及安全設備託管服務(託管範圍也視乎企業實際環境)。
總結,MDR是透過主動偵測(Threat Hunting)、自動化分析(Analytics)與專業知識,把偵測與應對 (Detection & Response)的服務重新定位,及讓企業獲得更有效的安全保障。