由于很多企业的安全运营能力和专业安全人才有限,因此难以快速检测和响应各种安全威胁。在此情况下,托管式威胁检测和响应服务(MDR)开始得到企业组织的关注。
相比EDR(端点威胁检测与响应)和XDR(可扩展威胁检测与响应)等方案,MDR被认为是一种更加经济有效的方法。当企业与MDR服务商合作时,可以在不增加人员的情况下,快速获得高技能的网络安全分析师帮助,这种专业的知识水平在检测威胁时非常重要。
尽管应用MDR服务有很多的好处,但企业不能仅关注其的积极方面,也需要客观全面了解其应用中的问题和不足:
MDR服务商永远不会像企业员工一样深入的了解企业业务发展,其对企业业务系统的访问权限通常也会受到限制,如果MDR提供商和企业员工之间不能保持紧密合作,就无法在攻击发生时快速地对事件作出响应;
由于规则配置错误等原因,MDR服务也可能会出现漏检、误分类警报、降级警报或忽视攻击活动之间的关联关系等错误情况,其实际工作的有效性需要定期验证和审查;
由于威胁态势的变化,部署了MDR服务并代表永远安全,需要根据企业的IT环境变化持续进行优化。
为了应对以上MDR应用中的不足,IBM X-Force Red全球负责人Chris Thompson建议,企业应该将安全红队的工作和 MDR服务进行有机关联,共同作为其构建积极主动网络安全方法的一部分。
Thompson表示,通过安全红队,企业可以快速了解MDR服务应用中的不足,它就像是一个陪练伙伴,可以用来评估 MDR服务的安全控制是否按计划工作,红队不仅可以验证特定工具是否正确工作,或者识别该工具是否被正确部署,还可以用于确定各种安全工具是否能够根据环境变化正确地进行调优和定制。
安全红队的工作本质上是扮演攻击性黑客的角色,梳理企业的IT资产、寻找漏洞和攻击路径,以便更好地修复或应对风险。安全红队所具备的攻击技能组合对持续优化MDR策略和服务来说很宝贵。其作用不仅仅在于发现安全漏洞问题,还可以用实战化的演练方式,观察企业的威胁监控和检测策略是否符合要求,是否在有效运行。
“当企业希望将MDR服务作为组织成熟网络安全计划的一种关键能力时,首先需要确保这种能力是值得信任的。”Thompson强调说,“MDR在检测威胁的过程中需要考虑很多因素。而安全红队有助于验证包括MDR在内的各种威胁检测措施的应用成熟度,并且告诉企业管理层谁应该对这些措施负责。”
参考链接:
https://securityintelligence.com/news/critical-relationship-managed-detection-response-red-teaming/