MDR服务旨在帮助组织应对检测和响应威胁的挑战,特别是中小企业难以维持内部安全运营中心(SOC)的情况。本指南评估了MDR市场空间和选择合适MDR合作伙伴的关键标准。
核心观点
- 挑战:组织缺乏检测和遏制威胁所需技能和资源,尤其是中小企业难以招聘和保留安全分析师。
- MDR解决方案:提供一站式的人力资源、流程和技术,加强安全态势并降低风险暴露。
- 目标结果:最小化停留时间、高保真检测突发事件、响应支持远程修复。
MDR提供者类型
- 产品供应商:如SIEM和EDR系统供应商,通常提供定制化检测规则集,但能力有限。
- 托管安全服务提供商(MSSP):专注于监控和管理安全设备,但很少提供全面的MDR服务。
- MDR提供商:作为合作伙伴,提供全天候监控、威胁检测、调查、狩猎和响应,具备主动性和专业性。
选择MDR合作伙伴的关键标准
- 服务历史:询问提供专门的MDR服务多久了,以评估其经验和能力。
- 数据源和遥测:了解团队监控和分析哪些数据源,以判断其可见性和追踪能力。
- 响应级别:确认MDR团队在遏制和修复中的角色,以及是否提供主动控制和remediate服务。
- 检测规则集:了解如何引入新的用例并实现检测准确性的持续改进。
- 透明度:确保服务交付和流程的透明度,包括提供服务门户和自助服务功能。
- 威胁情报和狩猎:评估如何使用威胁情报和主动威胁狩猎来识别潜在威胁并告知服务交付。
- 全球足迹和声誉:考虑供应商在行业中的声誉、辅助和相关服务以及与企业文化的契合程度。
研究结论
选择MDR合作伙伴时,组织应首先定义希望通过该服务实现的目标,并评估潜在候选人在类型、服务成熟度、预期成果、全球足迹等方面的差异。此外,还应考虑无形因素,如供应商的声誉、辅助服务以及与企业文化的契合程度。
工作中的例子
科龙响应(Kroll Responder)提供全天候全球MDR服务,采用经验丰富的事件响应人员进行主动响应。其服务包括检测和富集遥测、智能响应和遏制、调查与狩猎,以及自动化剧本和人类智能提供的全天候响应和补救能力。
