网络安全之认识托管威胁检测与响应(MDR)

随着数字化转型加速,企业的IT环境日益复杂,面临的网络安全威胁也在不断增加。传统的防御措施已经无法有效应对新型威胁,而且很多企业缺乏专业的网络安全团队和技术手段,导致大量的安全事件未能及时被发现和处理。

在这种背景下,托管威胁检测响应服务(MDR)应运而生。MDR能够利用现代安全运营中心的技术和专业人员,为客户提供全天候的安全监测和快速响应,从而缩短威胁发现和响应之间的窗口期,降低风险并减轻安全运营压力。

那么什么是MDR,MDR都包含了什么?MDR又与XDR是什么关系,与MSS又有什么区别?带着这些问题我们来了解托管威胁检测与响应(MDR)

一、什么是MDR

托管威胁检测与响应(Managed Detection and Response,托管检测与响应)是一种外包服务,旨在提供7x24小时的网络安全事件监测和分析,快速发现威胁并进行有效的响应。它结合了分析和人类专业知识来检测和消除网络中的威胁。大多数MDR服务通过主机层与网络层的威胁监测与分析技术,生成、收集安全事件以及上下文数据,结合安全运营平台的数据分析技术和安全运营专家的技术力量共同完成。

通俗一点讲,就是一些中小企业受制于在人员、时间、技能、资金、流程等方面的缺失,将企业自身的安全威胁检测与响应的活委托给安全服务商(Managed Security Service Provider, MSSP),通过外部托管安全服务提供商(MSSP)提供专业知识并填补安全架构空白,从而解决许多企业网络安全专家短缺技能不足的问题。从趋势上看,越来越多的企业转向选择MDR,由此获得最大化的投入产出效果。

倾向于采用MDR的企业的几种情形:

  • 没有安全运营团队,因此希望将安全监控运营外包给专门从事该领域的第三方;
  • 安全运营团队人数有限,但通过MDR提供商,就能确保团队不必承担大多数一线工作负担以及众多其他安全运营工作任务,而是能够更加专注于服务输出;
  • 有安全运营团队,可以自己进行全天候监控。尽管如此,他们仍希望将一线威胁检测工作转交给专门从事这项工作的公司。

二、MDR都包含了些什么

Gartner将托管威胁检测与响应(MDR)其描述为通过7x24小时全天候不间断的监控和覆盖,建立起快速威胁检测与有效响应的服务。绝大多数MDR服务是通过主机层与网络层的技术生成、收集安全事件以及上下文数据,支持威胁检测与事件分析。

MDR服务一般包含以下内容:

  • 实时威胁检测:MDR服务提供实时监控和分析网络流量、系统日志以及其他安全事件的能力。
  • 威胁狩猎:威胁狩猎力图在威胁访问关键数据之前发现威胁,通过使用先进的威胁情报和分析工具,识别潜在的安全威胁,包括已知的和未知的威胁。
  • 威胁情报分析:情报是了解攻击者及其攻击方式的关键。安全团队通过威胁情报可以更好地了解特定的攻击者及其常用的战术、技术和流程 (TTP),从而更有效地防御威胁;
  • 事件响应:MDR服务不仅仅是关于检测威胁,还包括对安全事件的响应。一旦检测到潜在威胁,MDR团队会采取相应的措施,可能包括隔离受感染的系统、清除恶意代码,以及协助客户制定恢复计划。
  • 全覆盖范围:MDR提供24/7/365持续服务,分析师可以在白天或晚上的任何时间做出响应;
  • 专业知识:MDR不仅提供基于用户安全工具产生的日志的检测服务,还提供专业的安全人员对相关事件进行快速调查和响应;
  • 实时可见性:MDR产品需要精细的实时端点可见性来捕捉和阻止攻击者。

MDR充分利用客户侧已部署的终端、边界、流量等防护设备,通过行为分析、流量分析、威胁情报以及与多级专家的组合,为客户提供更加快速和全面的威胁监视、检测和响应服务。MDR服务具有现代安全运营中心远程交付的能力,专注于精准检测、调查分析、积极遏制事件,旨在通过持续运营以减少威胁发现和威胁响应之间的时间。

MDR服务不仅限于更强的检测和响应能力,它还可以为不堪重负的安全团队提供主动防御情报和高级威胁洞察。企业还可以使用MDR服务来应对合规挑战,因为它提供有关各种法规和标准的完整报告和日志保留。

三、MDR与XDR的关系

XDR全名是Extended Detection and Response(扩展检测和响应)Gartner给出的XDR定义为:XDR是一种基于SaaS的、绑定于特定供应商的安全威胁检测和事件响应工具,它将多个安全产品集成到一个统一了所有许可安全组件的内聚安全运营系统中。

通常情况下,可以认为XDR是一个融合了多种安全检测、响应能力的平台框架,只要是为了解决威胁检测与响应的问题能力模块,都可以往里装。特别的强调X的概念,也就是可以 扩展(Extended)的检测与响应。大家都知道在数学里通常用X表示变量,这里X覆盖了云、网、端、威胁情报等,EDR和NDR及其他的检测设备都可以作为XDR的能力模块作为X为XDR提供数据来源和检测手段。实际在威胁检测与响应的过程中人也是重要的环节,除了EDR、NDR,MDR中的M也可以认为是X的一种。

MDR是一种托管检测和响应服务,通过外部托管安全服务提供商(MSSP)提供专业知识并填补安全架构空白,解决许多企业网络安全专家短缺的问题。MDR帮助公司保持监控状态,预测并防止潜在的网络攻击。

XDR是一种更强大的网络安全解决方案,可从多个来源收集和分析数据,以预防、检测和响应网络攻击。XDR是端点检测和响应(EDR)的演进版本,通过以标准格式汇集历史和实时事件数据来提高安全团队的效率和生产力。XDR超越了EDR,具有跨网络的检测和缓解功能,可有效保护企业的整个数字环境,包括网络、云存储、应用程序和端点。XDR提供多种类型的检测,特别适合那些现有解决方案无法覆盖所有攻击面的的企业。XDR支持可扩展的高性能存储、快速索引搜索和自动化驱动的威胁响应,经常以软件即服务(SaaS)的形式提供,使企业更容易使用该技术。

总的来说,MDR和XDR都是用于检测和响应网络安全威胁的解决方案,但XDR概念更大,是一个覆盖了所有能够解决威胁检测与响应的框架,而MDR托管检测和响应服务更加强调的是人和服务。MDR是通过使用各种XDR的工具和模块如EDR、NDR或其他工具和手段来实现威胁的检测和响应服务。

四、MDR与MSS的区别

Garter将MDR服务描述为:为客户提供远程交付的现代安全运营中心(MSOC)功能,通过提供24/7连续监测来在建立和改进有效的早期威胁检测和响应。

MSS(Managed Security Service,托管安全服务)由来已久,主要是由托管安全服务商( MSSP)对企业的安全设备及系统进行外包的监控和管理,常见的服务包括托管防火墙、入侵检测、虚拟专用网络、漏洞扫描以及反病毒服务。

MDR(托管威胁检测与响应)和MSS(托管安全服务)是两种不同的安全服务,虽然它们的目标都是帮助组织提高安全性,但在实现方式和关注点上还是存在一些区别。以下是它们的主要区别:
1.关注点不同:

  • MDR: MDR的主要关注点是在网络和系统中主动检测和应对威胁。它强调实时监控、威胁检测和迅速的响应。MDR通常更加注重对威胁的深度分析和处理。
  • MSS: MSS关注的范围更广泛,包括安全信息与事件管理(SIEM)、日志管理、设备管理、合规性管理等。MSS的目标是提供一种全面的、托管的安全解决方案。

2.响应方式不同:

  • MDR: MDR强调对安全事件的主动响应。一旦检测到威胁,MDR服务提供商通常会采取行动,协助客户隔离受影响的系统、清除恶意代码,并支持恢复操作。
  • MSS: MSS更侧重于对事件的收集、监控和报告,而不一定强调实时响应。它通常提供日志管理、合规性报告等功能,用于长期的威胁分析和合规性要求。

3.服务深度不同:

  • MDR:MDR服务通常更深度地涉及威胁检测和响应,可能包括使用先进的威胁情报、行为分析、终端检测与响应(EDR)等技术。
  • MSS:MSS更广泛地覆盖了安全服务的多个方面,包括日志管理、漏洞管理、合规性管理等。它可能更注重对整个安全生态系统的全面管理。

4.技术要求不同:

  • MDR: MDR通常需要使用更先进的威胁检测技术,可能包括机器学习、行为分析、沙箱技术等,以及对安全事件的实时响应能力。
  • MSS: MSS可能更注重于传统的安全技术,如防火墙、入侵检测系统(IDS)、反病毒软件等,同时也包括SIEM等辅助工具。

总体而言,MDR更注重在发生安全事件时的实时响应和深度分析,而MSS则更广泛地提供安全服务,包括对整个安全基础设施的管理和监控;MSS主要关注预防,而MDR则更注重检测和响应;MSS的服务宽且浅,MDR的服务窄且深。
MSSP与MDR的区别

Gartner认为MSS和MDR是交集的关系,MSS尚不会完全覆盖MDR服务。两者之间最大的区别在于,MSS服务在发现威胁或告警的时候,会通知企业自行处置,而MDR则会利用自身的技术去完成对威胁的检测,帮助企业完成响应和处置的工作。不过,随着托管安全服务的发展,这两种服务之间的界限越来越模糊,很多MSS厂商也开始提供MDR服务。


作者博客:http://xiejava.ishareread.com/

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/190295.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

[Mac软件]Adobe Media Encoder 2024 V24.0.2免激活版

软件说明 使用Media Encoder,您将能够处理和管理多媒体。插入、转码、创建代理版本,并几乎以任何可用的格式输出。在应用程序中以单一方式使用多媒体,包括Premiere Pro、After Effects和Audition。 紧密整合 与Adobe Premiere Pro、After …

学用 DevChat 的 VSCode 插件,体验AI智能编程工具 (一)

简单说DevChat是一个辅助编程的智能工具,它可以通过自然语言对话的方式与开发者进行交流,帮助开发者更高效地完成编程任务。 有了人工智能工具,编程进入一个新天地。 闻名已久,不若体验一下。 一.准备工作 1.运行环境. A. p…

京东商品详情API接口使用方法以及示例代码,可高并发请求

京东商品详情API接口是一种用于获取京东商品详细信息的接口。通过该接口,开发人员可以获取到商品的ID、名称、价格、销量、评价等信息,从而进行进一步的数据分析和应用开发。本文将介绍京东商品详情API接口的使用方法、注意事项以及示例代码。 一、使用…

开放领域问答机器人2——开发流程和方案

开放领域问答机器人是指在任何领域都能够回答用户提问的智能机器人。与特定领域问答机器人不同,开放领域问答机器人需要具备更广泛的知识和更灵活的语义理解能力,以便能够回答各种不同类型的问题。 开发开放领域问答机器人的流程和方案可以包括以下步骤…

MySQL | 查询接口性能调优、编码方式不一致导致索引失效

背景 最近业务反馈,列表查询速度过慢,需要优化。 到正式环境系统去验证,发现没筛选任何条件的情况下,查询需要三十多秒,而筛选了条件之后需要13秒。急需优化。 先说结论:连表用的字段编码方式不一致导致索…

达梦数据库答案

1、 创建数据库实例,到/dm8/data下,数据库名:DEMO,实例名DEMOSERVER(10分) [dmdbadmServer ~]$ cd /dm8/tool [dmdbadmServer tool]$ ./dbca.sh1、 簇大小32,页大小16,登录密码&…

第12章 PyTorch图像分割代码框架-3:推理与部署

推理模块 模型训练完成后,需要单独再写一个推理模块来供用户测试或者使用,该模块可以命名为test.py或者inference.py,导入训练好的模型文件和待测试的图像,输出该图像的分割结果。inference.py主体部分如代码11-7所示。 代码11-7 …

性能测试:Jenkins+Ant+Jmeter自动化框架的搭建方法

前言 前面讲了Jmeter在性能测试中的应用及扩展。随着测试的深入,我们发现在性能测试中也会遇到不少的重复工作。 比如某新兴业务处于上升阶段,需要在每个版本中,对某些新增接口进行性能测试,有时还需要在一天中的不同时段分别进行…

Python数据结构:元组(Tuple)详解

1.介绍和基础操作 Python中的元组(Tuple)是不可变有序序列,可以容纳任意数据类型(包括数字、字符串、布尔型、列表、字典等)的元素,通常用圆括号() 包裹。与列表(List)类似&#xff…

【matlab】KMeans KMeans++实现手写数字聚类

目录 matlab代码kmeans matlab代码kmeans MNIST DATABASE下载网址: http://yann.lecun.com/exdb/mnist/ 聚类 将物理或抽象对象的集合分成由类似特征组成的多个类的过程称为聚类(clustering)。 对于给定N个n维向量x1,…,xN∈Rn,聚类的目标…

iOS如何通过在线状态来监听其他设备登录的状态

前提条件 1、完成 3.9.1 或以上版本 SDK 初始化 2、了解环信即时通讯 IM API 的 使用限制。 3、已联系商务开通在线状态订阅功能 实现方法 你可以通过调用 subscribe 方法订阅自己的在线状态,从而可以监听到其他设备在登录和离线时的回调,示例代码如下…

Javaweb之javascript的详细解析

1.5.1.2 String对象 语法格式 String对象的创建方式有2种: 方式1: var 变量名 new String("…") ; //方式一 例如: var str new String("Hello String"); 方式2: var 变量名 "…" ; //方…

美颜与性能的平衡:视频直播美颜SDK集成与性能优化指南

目前美颜SDK所遇到的挑战是如何在追求美颜效果的同时保持系统性能的稳定。本文将深入探讨视频直播美颜SDK的集成以及性能优化的关键指南,以帮助开发者找到合适的平衡点。 一、美颜SDK的集成 1.选择适用于直播的美颜SDK 在美颜SDK的众多选择中,要考虑…

【SpringBoot3+Vue3】一【基础篇】

目录 一、Spring Boot概述 1、Spring Boot 特性 1.1 起步依赖 1.2 自动配置 1.3 其他特性 1.3.1 内嵌的Tomcat、Jetty (无需部署WAR文件) 1.3.2 外部化配置 1.3.3 不需要XML配置(properties/yml) 二、Spring Boot入门 1、一个入门程序需求 2、步骤 2.1 创建Maven工…

ChromeDriver谷歌浏览器驱动下载安装与使用最新版118/119/120

ChromeDriver谷歌浏览器驱动下载安装与使用最新版118/119/120 1. 确定Chrome版本 我们首先确定自己的Chrome版本 Chrome设置->关于Chrome 可以看到,当前chrome是最新版本:119.0.6045.124(正式版本) (64 位&#…

江门車馬炮汽车金融中心 11月11日开张

江门车马炮汽车金融中心于11月11日正式开张,这是江门市汽车金融服务平台,旨在为广大车主提供更加便捷、高效的汽车金融服务。 江门市作为广东省的一个经济发达城市,汽车保有量持续增长,但车主在购车、用车、养车等方面仍存在诸多不…

CSRF 漏洞详解

CSRF 漏洞详解 漏洞描述 CSRF(Cross-Site Request Forgery)漏洞是一种Web应用程序安全漏洞,它允许攻击者利用受害者的已认证会话来执行未经授权的恶意操作。攻击者可以诱使受害者在受害者已经登录的情况下,通过社交工程或其他方…

2023亚太杯数学建模C题思路

文章目录 0 赛题思路1 竞赛信息2 竞赛时间3 建模常见问题类型3.1 分类问题3.2 优化问题3.3 预测问题3.4 评价问题 4 建模资料5 最后 0 赛题思路 (赛题出来以后第一时间在CSDN分享) https://blog.csdn.net/dc_sinor?typeblog 1 竞赛信息 2023年第十三…

HarmonyOS开发(三):ArkTS基础

1、ArkTS演进 Mozilla创建了JS ---> Microsoft创建了TS ----> Huawei进一步推出ArkTS 从最初的基础逻辑交互(JS),到具备类型系统的高效工程开发(TS),再到融合声明式UI、多维状态管理等丰富的应用开发能力&…