「託管式偵測及回應」(Managed Detection and Response,簡稱 MDR) 是一種資安委外服務,專為企業提供威脅追蹤及應變服務,其中最重要的就是專業網路資安人才的投入:由資安廠商的研究人員和工程人員來幫 MDR 服務的客戶監控網路、分析事件、回應各種資安狀況。
MDR 能解決什麼挑戰?
MDR 能解決現代化企業面臨的一些重大資安挑戰,最其中最顯而易見的就是填補企業網路資安人才的空缺。一些較大型的企業或許有能力成立並訓練自己的專責網路資安團隊來執行全天候的威脅追蹤監控,但大多數的企業在資源有限的情況下卻很難做到這點。這樣的情況在那些經常成為網路攻擊目標、但卻缺乏充足人力的中大型企業更是如此。
然而,就算企業願意投入這樣的人力和財力,也不容易招募到合適的資安專業人員。根據研究,2016 年全球未填補的網路資安職缺約有 200 萬個,而且預計到 2021 年該數字將成長至 350 萬個。
不但如此,企業還需面對建置「端點偵測及回應」(Endpoint Detection and Response,簡稱 EDR) 解決方案的複雜挑戰,而且更經常因為時間、人才和人力培訓經費不足的關係,無法讓 EDR 工具發揮最大效益。但如果採用 MDR 的話,資安廠商自然會使用 EDR 工具來協助其偵測、分析及應變。
另一個經常被忽略的網路資安問題是,企業 IT 與資安團隊經常收到的大量資安警示。而這些警示當中有很多都無法立即判定是否危險,因此必須逐一深入檢查。此外,資安團隊還必須交叉比對這些警示,才能發掘一些乍看不重要、但卻意味著有更大的攻擊正在進行的情況。這些工作對人力有限的資安團隊來說,是相當沉重的負擔,因為可能耗費他們許多的時間和精力。
MDR 的宗旨就是要解決這類問題,不僅要偵測威脅,還要分析所有警示當中潛藏的危險徵兆。此外,MDR 還能根據資安事件的狀況提出一些協助企業改善的建議。網路資安人員最重要的一項技能就是能夠綜合分析入侵指標來提昇企業防範未來攻擊的能力。資安技術或許能攔截威脅,但要深入了解事件發生的原因、經過和實際情況,就需要專業的判斷。
MDR 的用意就是要填補企業網路資安人才的空缺,協助內部 IT 團隊應付他們應付不來的進階威脅問題。在理想狀況下,其費用應該會比公司自行建置專責團隊的成本來得低。此外,MDR 還能提供一些企業一般無法取得的工具。下圖顯示企業有 MDR 跟沒有 MDR 的差別。
MDR 與 MSSP 有何不同?
傳統上,當企業有外部資安服務的需求時,通常會找「託管式資安服務供應商」(Managed Security Service Providers,簡稱 MSSP)。有別於 MDR 擅長偵測駭客在企業內部網路的橫向移動,MSSP 通常只專注在資安邊境的防禦,並採用自動化規則來偵測威脅。因此,MSSP 所能應付的通常是已知威脅,例如:已知的漏洞攻擊、重複出現的惡意程式,以及大量的攻擊。此外,MSSP 的資安人員也會執行記錄檔管理、監控、分析,但大多不會非常深入。基本上,MSSP 是有能力代管企業的資安,但通常只限於邊境安全,且其分析亦不包含深度的鑑識分析、威脅研究以及數據分析。
在服務方面,MSSP 通常提供電子郵件和電話支援,資安專業人員退居第二線。但 MDR 提供的是 7 天 24 小時不間斷的監控,這是許多 MSSP 無法提供的。
儘管如此,MSSP 對企業來說仍有其價值,例如,企業防火牆與網路的日常資安需求管理,依然比較適合找 MSSP 代勞,至於 MDR 則是提供一種較為特殊的專業服務。所以,MSSP 和 MDR 基本上可以相輔相成。MDR 專注於進階威脅的主動偵測與行為分析,並且在發現威脅時提供矯正建議。
趨勢科技的 MDR 如何運作?
趨勢科技的 MDR 提供了各式各樣的資安服務,包括:警示監控、優先次序判斷、調查,以及威脅追蹤。該服務採用人工智慧模型來分析端點、網路與伺服器的資料,交叉關聯進階威脅並判斷其優先次序。此外,趨勢科技威脅研究人員還會深入追查一些高優先次序的警示,並與企業共同研擬詳細的矯正計畫。
下圖顯示趨勢科技 MDR 對於日常威脅的基本處理流程。
偵測
趨勢科技威脅研究人員會持續監控企業的網路與端點資料,執行威脅掃瞄來尋找特定入侵指標,然後再根據威脅的優先次序決定下一步行動。
分析
一旦偵測到潛在的威脅並經過交叉分析與優先次序判斷之後,趨勢科技資安營運中心 (SOC) 的人員就會開始調查威脅的攻擊源頭與範圍,接著再提供詳盡的威脅分析與影響範圍判斷。
回應
趨勢科技威脅研究人員將通知企業有關該事件的狀況,並提供問題根源分析、矯正建議與工具來協助企業處理這起事件。
[進一步了解趨勢科技的 託管式偵測及回應 解決方案]