数世咨询 - 选择MDR服务时候需要考虑的七个问题
许多组织缺少能够有效解决威胁检测并进行响应的内部专家;这个时候,MDR(managed detection and response,检测响应管理)就可以填补这方面的需求。但是,组织在进行MDR服务选购的时候,依然需要考虑一些因素。 MDR卖的是人(专家)
CISO们逐渐意识到,他们越早发现泄漏事件并及时处理,他们就越容易修复这些问题,而组织受到的损失也就越小。因此,威胁检测和响应慢慢成为了CISO们的高优先需求。而根据Ponemon Institute的研究发现,平均发现泄漏事件的时间是280天,那显然我们还有很大的改进空间。
尽管说检测和响应的技术已经有了极大的提升,但是事实上,组织依然需要真正的人类专家才能真正发挥其价值。尖端安全人才的薪水随着需求水涨船高,对企业而言无疑增加了成本与招聘难度。
这个时候,MDR服务就开始走入主舞台。Gartner预测,到2024年为止,25%的企业会使用MDR服务。
如果你开始考虑使用MDR服务,那以下七点是在选择供应商的时候需要权衡的因素:
全面监控
如果需要真正的24/7防护,遥测能力必不可少。有效的MDR服务会收集你网络中每个设备的数据,并对流量持续监控,从而建立一个完整的企业概况。因此,MDR服务需要能对所有业务中的终端、云服务、运营网络的数据进行收集。完整的视图有助于为发现异常行为并识别威胁打下坚实的基础。
快速响应
如果响应不及时,检测的价值就很有限。快速响应能减少损失,因此MDR服务应该能够尽量做到实时响应。一些响应可以自动化进行,而其他威胁可能需要标记后由专家进行进一步调查——这就意味着需要24/7的专家服务。在调查过后,需要对威胁进行清除,或者限制在某个范围中。另外,根据威胁等级的不同通知正确的人员也很关键,从而能确保及时进行必要的改动以及做出关键的决策。组织在购买MDR服务时需要确保SLA中有对快速响应时间的保证。
修复建议
检测到威胁并进行处理以后,下一步就是修复。如果造成攻击成功的情况未被解决,那它就会再次发生。一个有价值的MDR服务会显现出被检测到的事件的起因,无论是配置错误的软件或者是一个被窃取的账户。修复建议需要尽快提交给正确的人员,从而能立即对策略做出改变,或者进行软件更新、收紧网络接入等措施。
支持能力
任何一家MDR服务都需要在用户有所需求的时候提供支持。不同的厂商会有不同的支持策略,比如远程聊天、电话通讯、现场作业等。一般而言,现场作业会更快更有效,但是企业需要理解这已经是包含在服务费之中了,还是需要额外收费。
按需改动
每家企业都有自己的预算限制,而不同组织也有不同的合规需求以及风险压力。企业需要找到一家在自己预算之中的MDR厂商,同时还需要能够根据自身现有的架构和工具组,来填补自身内部专家在能力上的空档。根据业务的不同,企业也需要MDR服务有一些灵活性,可以根据业务需求对服务的覆盖面进行扩展或者缩减。
合规治理
时时满足最新的合规需求可能本身就是一个全职工作,而MDR服务应该完全明白这些需求。一次对网络环境的审计可以针对如何提升安全性和满足合规需求提出建议。一个优秀的MDR厂商可以通过使用最新技术,以及紧跟最新的合规政策,确保组织满足自身需要的相关法律法规。
辅助服务
许多MDR厂商在进行检测和响应管理之外,还会提供一些有用的建议和其他服务,或者他们自身都有合作伙伴能够提供更多的服务,比如脆弱性评估、渗透测试、入侵防御等。如果这家厂商的MDR服务和自身企业相性不错,CISO也可以看一下产线上的其他辅助服务。就和企业会根据自身的需求改变服务的层级一样,企业也可能会看看MDR厂商是否有其他的服务。