【掌握主動偵測、自動化分析與專業知識，重新定義事件偵測與反應】MDR帶動資安服務新風潮，幫助企業找出隱藏威脅並加速反應

現在的資訊環境變化快速，各種資安威脅和事件時有所聞，傳統資安防護的作法，主要偏重在事前的預防，但網路威脅攻擊手法持續在改變，光是如此可能已經不足夠。

像是第一銀行ATM遭駭客入侵的事件，從駭客從分行入侵、潛伏、蒐集情報，遠端控制，以及發動盜領這期間，各式資安設備都沒有偵測到這些惡意程式，只能等到事情爆發才作事件處理，就是現今常見的問題。如果能在侵入、破壞的過程當中主動偵測，同時做到事件處理，就有機會破壞攻擊行動，降低事件可能帶來的損害風險。

從近年發生的各式資安事件來看，應該已經讓企業逐漸意識到，事前的預防已經不足以阻擋各式網路威脅，不只是仰賴過往提倡的多層次防禦體系，提高資安防禦強度的思維，現在也開始逐漸聚焦在事中偵測與事後處理。

例如，近年興起的端點偵測及反應產品（Endpoint Detection and Response，EDR），就是強調在偵測與應對的部分，這也打破了以往端點防護的做法。

同時，近年企業也開始重視網路威脅情報（Cyber Threat Intelligence）系統與服務，企圖從中掌握APT攻擊鏈，追蹤駭客並整理有用情資，以減緩網路威脅。而且，為了加速因應資安事件的處理速度，規模較大的企業，現在的發展方向也都是打造企業自家資安監控中心（SOC），以及緊急應變處理中心（CSIRT），或是建置資安事件處理團隊（IR Team），藉此提升企業本身的資安體質。

不過，要還原攻擊事件的原貌，以及事件處理的調查與分析，找出根本原因來對症下藥改善，避免資安事件重複發生，往往需仰賴高度專業的資安人才來協助。但人才短缺也是挑戰，成為企業現在可能面臨的難題。

因此，這一年多來，市面上冒起了新型資安服務，稱為偵測及處理代管（Managed Detection Response，MDR），透過資安委外服務的方式，運用機器學習、大數據分析、威脅情資與相應的偵測與反應技術，來幫助企業做到事中偵測與資安事件處理。

MDR將成一種新興服務模式，國內也開始有業者以此概念提供服務

MDR由研究機構Gartner在2017年提出，他們發現，企業正在尋求更即時的威脅檢測與事件處理能力，但在有限的資源下，很難投入足夠的人力與技術。因此，他們認為若能採用MDR服務，將幫助企業做到持續威脅偵測，並快速調查與回應已確認的資安事件。

根據Gartner的預估，雖然去年只有不到1%的企業使用MDR服務，然而，到了2020年則會增長至15%。而且，全球既有的資訊安全管理服務供應商（Managed Security Service Provider，MSSP），屆時也將有80%的比例提供MDR類型的服務。

顯然，他們極度看好MDR市場的發展，認為企業在資訊安全採購上，將從僅關注預防措施，改變為重視偵測與事件處理能力，並在三年內將快速成為主流。

市場上，能提供這類型服務的供應商，也有一定規模及知名度，例如， Gartner Peer Insight就列出了Cisco、CrowdStrike、Fireeye、F-Secure、與Rapid7，他們都是本身提供APT防護、EDR、UBA等產品的業者，其他還有Arctic Wolf Networks、BAE Systems、eSentire、IBM與Paladion等。至於在臺灣，我們也有看到一些業者開始主打MDR，像是提供資安服務的中芯數據，以及防毒資安大廠趨勢科技。

資安人力不足及嚴謹的法規要求，是企業面臨的資安管理難題

對於企業而言，關於MDR服務的興起，可能與現在企業面臨的資安管理挑戰有關。例如，企業資安人員編制不足，或者是資安監控中心收到大量的資安警示，卻沒有足夠人才判斷優先處理順序，以及深入分析處理。

像是半年前在臺舉行的資安產業發展會議（SRB）中，臺北市資訊局局長李維斌曾提到地方政府資訊單位的現況，像是資訊局僅調配1.5個人力，且監控中心一天收到上千的警告通知（Alert），並沒有足夠人才分析處理。因此，他們當時就希望能有自動化的功能，來收斂警示，亟需獲得符合他們現實環境需求的解決方案。

另一個企業需要關注的重點，則是法規要求。隨著近期GDPR的正式施行，雖然這套法案是從個資出發，但可以看出對於資料保護的要求是越來越高，巨額的罰金也將深深影響著企業。特別是在GDPR中，要求個資外洩的企業或組織都必須在72小時內，通報資料保護主管機關，即便個資外洩情節較輕，也可能被罰款1千萬歐元（3.6億元）或全球營業額2％作為罰款。

這些趨勢顯示出另一個事實，那就是，法規不僅越來越嚴謹，並且更重視反應（Response）這件事，也就是事件處理。現在對於資安事件的看法，已經不再只是能夠偵測到或有預防就可以免責，還要考慮到後面如何處理。

對於通報，企業該有的認知，不能再像傳統資安的作法，只是發現被入侵，卻不知道資安事件的損害程度，也不知道問題所在，換言之，現在企業必需擁有更主動的偵測，以及即時的事件處理能力，讓原本是最後才進行的事件處理分析，可以及早一步進行。

而從資安服務的發展而言，資安委外管理服務已經是企業逐漸接受的模式。許多廠商也從產品導向轉為服務導向，提供資訊安全代管服務（Managed Security Service，MSS）。

在MDR服務型態之下，為企業帶來的最大效益，就是在發生資安事件時，可以迅速地協助找出高風險的警報，以及根本的原因，並能提供實際處理的具體操作。補足企業在短時間內，缺乏人力與能力的問題，之後再看是要補進專業人才，或是持續採用委外。

基本上，MDR服務主要聚焦在偵測與回應的階段，因此，它不與傳統MSS服務相衝突，但在某些方面會有重疊，而在Gartner今年6月發布的報告中，也說明這一年來，已經有更多MSSP增加MDR，以擴充現有服務。

面臨現有的資安環境與問題，企業可改從服務下手

對於MDR這樣新興的服務，國內市場還處於剛剛興起的階段，在具體作法上，各廠商也都憑藉不同的技術與服務能量來提供。但這樣的概念，已經讓我們體認到資安防護焦點正在轉變。

理想上，預防當然是最好的方式，不讓威脅進來，但現實狀況是入侵威脅無法避免，因此，如何具備事中偵測與事件處理能力，才是更務實的考量。但要做好這些工作，企業可能又面臨資安的人力與能力的問題。

而從服務的角度上，當企業自己沒有能力處理大量的資料分析工作，如果在短期之內要達到這樣的要求，藉助MDR服務是一個可考慮的選項，由專業團隊來幫助企業做到事中監控分析、情資分析，以及即時提供鑑定報告，讓用戶能獲得建議處置與作法。而且，過去由於事件處理要花的人力非常多，費用也不便宜，而現今，在這類型服務的發展態勢之下，可望幫助帶來時間與成本的效益。

 相關報導  新型資安服務MDR崛起