託管式偵測及回應 (Managed Detection and Response,簡稱 MDR) 服務可提供主動能力來偵測及徹底分析威脅,同時又能迅速回應資安事件。今日的網路威脅,不論是網路間諜或網路犯罪,其規模和複雜度都相當令人擔憂。研究機構指出,全球網路資安支出越來越高,其原因不外乎法規遵循要求以及企業希望提升偵測和回應威脅的能力。本文探討企業在強化其網路資安策略時所面臨的一些挑戰,以及託管式偵測及回應服務如何協助企業解決這些挑戰。
以下讓我們來仔細探討一下企業強化其網路資安策略時所面臨的三個挑戰:
挑戰一:傳統資安防禦無法有效應付今日威脅情勢
傳統的資安解決方案在面對威脅時大多採取被動回應的作法,而且通常只能監控單一途徑上的威脅,所以無法有效應付今日廣泛多樣的威脅情勢。2018 上半年,趨勢科技就攔截了 204 億次以上的威脅。其中,光虛擬加密貨幣挖礦惡意程式就成長了 141%。此外,一些近期的威脅也顯示,駭客會結合各種功能與躲避技巧,再配合一些惡意程式工具來提升其長期潛伏能力,例如:在銀行木馬程式與挖礦( coinmining )程式當中加入檔案加密功能、長期潛伏於企業內或者利用一些其他裝置 (路由器、印表機、掃描器或其他萬物聯網(IoT ,Internet of Thing)裝置) 來入侵企業系統或伺服器。
根據 SANS Institute 的報告指出,主動追蹤威脅 (也就是持續偵測及分析威脅和入侵跡象),可有效提升資訊安全以及事件應變的速度與準度,至少對大型企業來說是如此。
然而,許多企業機構或許並無主動追蹤威脅的資源或能力。要成立一個所謂的「資安營運中心」(SOC) 或是妥善運用「端點偵測及回應」(EDR) 工具,還是需要一些專業能力。
即使大型企業或許具備成立 SOC或採購相關工具的財力和能力,但也無法保證能夠有效提升其資訊安全與風險管理。
MDR 如何解決這項挑戰?
MDR 提供了企業所需的能力來揪出隱藏在企業內部的威脅並發掘其相關活動,例如:幕後操縱 (C&C) 通訊、企業內橫向移動,以及一些能夠避開標準資安防禦的躲避技巧。
MDR 可提供全企業威脅追蹤服務,掃瞄駭客入侵或攻擊跡象,進而提升防範類似威脅的能力。此外,MDR 還能讓企業善用資安廠商的深度研究和威脅情報,取得特定威脅的相關資訊與可採取行動的分析,讓企業迅速發掘並回應威脅。 繼續閱讀
