MDR服務,與傳統MSS提供的服務並不衝突,但在某種程度上會有一些重疊。同時,Gartner也預期將有更多MSSP業者增加MDR類型的項目,以擴充現有的服務。(圖片來源/Gartner)

現在的資訊環境變化快速,各種資安威脅和事件時有所聞,傳統資安防護的作法,主要偏重在事前的預防,但網路威脅攻擊手法持續在改變,光是如此可能已經不足夠。

像是第一銀行ATM遭駭客入侵的事件,從駭客從分行入侵、潛伏、蒐集情報,遠端控制,以及發動盜領這期間,各式資安設備都沒有偵測到這些惡意程式,只能等到事情爆發才作事件處理,就是現今常見的問題。如果能在侵入、破壞的過程當中主動偵測,同時做到事件處理,就有機會破壞攻擊行動,降低事件可能帶來的損害風險。

從近年發生的各式資安事件來看,應該已經讓企業逐漸意識到,事前的預防已經不足以阻擋各式網路威脅,不只是仰賴過往提倡的多層次防禦體系,提高資安防禦強度的思維,現在也開始逐漸聚焦在事中偵測與事後處理。

例如,近年興起的端點偵測及反應產品(Endpoint Detection and Response,EDR),就是強調在偵測與應對的部分,這也打破了以往端點防護的做法。

同時,近年企業也開始重視網路威脅情報(Cyber Threat Intelligence)系統與服務,企圖從中掌握APT攻擊鏈,追蹤駭客並整理有用情資,以減緩網路威脅。而且,為了加速因應資安事件的處理速度,規模較大的企業,現在的發展方向也都是打造企業自家資安監控中心(SOC),以及緊急應變處理中心(CSIRT),或是建置資安事件處理團隊(IR Team),藉此提升企業本身的資安體質。

不過,要還原攻擊事件的原貌,以及事件處理的調查與分析,找出根本原因來對症下藥改善,避免資安事件重複發生,往往需仰賴高度專業的資安人才來協助。但人才短缺也是挑戰,成為企業現在可能面臨的難題。

因此,這一年多來,市面上冒起了新型資安服務,稱為偵測及處理代管(Managed Detection Response,MDR),透過資安委外服務的方式,運用機器學習、大數據分析、威脅情資與相應的偵測與反應技術,來幫助企業做到事中偵測與資安事件處理。

MDR將成一種新興服務模式,國內也開始有業者以此概念提供服務

MDR由研究機構Gartner在2017年提出,他們發現,企業正在尋求更即時的威脅檢測與事件處理能力,但在有限的資源下,很難投入足夠的人力與技術。因此,他們認為若能採用MDR服務,將幫助企業做到持續威脅偵測,並快速調查與回應已確認的資安事件。

根據Gartner的預估,雖然去年只有不到1%的企業使用MDR服務,然而,到了2020年則會增長至15%。而且,全球既有的資訊安全管理服務供應商(Managed Security Service Provider,MSSP),屆時也將有80%的比例提供MDR類型的服務。

顯然,他們極度看好MDR市場的發展,認為企業在資訊安全採購上,將從僅關注預防措施,改變為重視偵測與事件處理能力,這樣的,並在三年內將快速成為主流。

市場上,能提供這類型服務的供應商,也有一定規模及知名度,例如, Gartner Peer Insight就列出了Cisco、CrowdStrike、Fireeye、F-Secure、與Rapid7,他們都是本身提供APT防護、EDR、UBA等產品的業者,其他還有Arctic Wolf Networks、BAE Systems、eSentire、IBM與Paladion等。至於在臺灣,我們也有看到一些業者開始主打MDR,像是提供資安服務的中芯數據,以及防毒資安大廠趨勢科技。

資安人力不足及嚴謹的法規要求,是企業面臨的資安管理難題

對於企業而言,關於MDR服務的興起,可能與現在企業面臨的資安管理挑戰有關。例如,企業資安人員編制不足,或者是資安監控中心收到大量的資安警示,卻沒有足夠人才判斷優先處理順序,以及深入分析處理。

像是半年前在臺舉行的資安產業發展會議(SRB)中,臺北市資訊局局長李維斌曾提到地方政府資訊單位的現況,像是資訊局僅調配1.5個人力,且監控中心一天收到上千的警告通知(Alert),並沒有足夠人才分析處理。因此,他們當時就希望能有自動化的功能,來收斂警示,亟需獲得符合他們現實環境需求的解決方案。

另一個企業需要關注的重點,則是法規要求。隨著近期GDPR的正式施行,雖然這套法案是從個資出發,但可以看出對於資料保護的要求是越來越高,巨額的罰金也將深深影響著企業。特別是在GDPR中,要求個資外洩的企業或組織都必須在72小時內,通報資料保護主管機關,即便個資外洩情節較輕,也可能被罰款1千萬歐元(3.6億元)或全球營業額2%作為罰款。

這些趨勢顯示出另一個事實,那就是,法規不僅越來越嚴謹,並且更重視反應(Response)這件事,也就是事件處理。現在對於資安事件的看法,已經不再只是能夠偵測到或有預防就可以免責,還要考慮到後面如何處理。

對於通報,企業該有的認知,不能再像傳統資安的作法,只是發現被入侵,卻不知道資安事件的損害程度,也不知道問題所在,換言之,現在企業必需擁有更主動的偵測,以及即時的事件處理能力,讓原本是最後才進行的事件處理分析,可以及早一步進行。

而從資安服務的發展而言,資安委外管理服務已經是企業逐漸接受的模式。許多廠商也從產品導向轉為服務導向,提供資訊安全代管服務(Managed Security Service,MSS)。

在MDR服務型態之下,為企業帶來的最大效益,就是在發生資安事件時,可以迅速地協助找出高風險的警報,以及根本的原因,並能提供實際處理的具體操作。補足企業在短時間內,缺乏人力與能力的問題,之後再看是要補進專業人才,或是持續採用委外。

基本上,MDR服務主要聚焦在偵測與回應的階段,因此,它不與傳統MSS服務相衝突,但在某些方面會有重疊,而在Gartner今年6月發布的報告中,也說明這一年來,已經有更多MSSP增加MDR,以擴充現有服務。

面臨現有的資安環境與問題,企業可改從服務下手

對於MDR這樣新興的服務,國內市場還處於剛剛興起的階段,在具體作法上,各廠商也都憑藉不同的技術與服務能量來提供。但這樣的概念,已經讓我們體認到資安防護焦點正在轉變。

理想上,預防當然是最好的方式,不讓威脅進來,但現實狀況是入侵威脅無法避免,因此,如何具備事中偵測與事件處理能力,才是更務實的考量。但要做好這些工作,企業可能又面臨資安的人力與能力的問題。

而從服務的角度上,當企業自己沒有能力處理大量的資料分析工作,如果在短期之內要達到這樣的要求,藉助MDR服務是一個可考慮的選項,由專業團隊來幫助企業做到事中監控分析、情資分析,以及即時提供鑑定報告,讓用戶能獲得建議處置與作法。而且,過去由於事件處理要花的人力非常多,費用也不便宜,而現今,在這類型服務的發展態勢之下,可望幫助帶來時間與成本的效益。

 相關報導  新型資安服務MDR崛起


Advertisement

更多 iThome相關內容