12个顶级托管检测和响应解决方案
在信息安全的基本要素中,与加密、身份验证或权限等相比,日志记录需要更多的关注和支持。安全团队必须捕获、关联和分析日志数据才能使其发挥作用。由于日志数据往往体量巨大,大多数企业的安全运营都离不开管理日志事件的软件工具。
传统上,企业使用安全信息和事件管理(SIEM)工具来处理日志事件。SIEM系统至少为日志数据和工具提供了一个中央存储库,用于分析、监控和警告相关事件。如今,SIEM工具(和数据分析功能)已经发展出更复杂的功能,例如机器学习和获取第三方威胁情报数据的能力。
什么是托管检测和响应(MDR)?
一旦安全事件的关注程度上升到一定级别,传统的SIEM方案在后续响应步骤中就会捉襟见肘,这时候就需要托管检测和响应(MDR)服务。因为手工查阅海量日志数据效率低下而且往往无效,对于系统规模巨大的现代数据中心(带有虚拟机和应用程序容器)来说,用人力应对威胁更是不切实际。而MDR系统能够获取和关联日志事件,帮助安全团队确定哪些事件需要人工调查、缓解威胁,或进行归因分析。
MDR与其他相关技术(SIEM、EDR、XDR)的一个关键区别是MDR是可管理的(托管的),这意味着它不仅仅是一个系统,它还是一项服务。MDR通常是企业本地安全运营中心(SOC)方案的扩展服务,这意味着企业将能获得具有MDR平台专业知识和相关技能(例如事件响应、根本原因分析、和威胁狩猎)的专家的服务。拥有外部托管检测和响应团队的好处是,企业安全团队可以集中有限资源更专注有效地响应安全事件。
但是选择MDR并不是一件轻松的事情,企业在选择MDR解决方案时需要考虑服务级别协议(SLA)、响应时间和其他与服务性能相关的基准指标。不同企业的MDR需求会因公司规模、行业合规要求和其他关键主题而有很大差异。对企业MDR预算影响最大的因素之一是全时等效成本(FTE)。因此,企业需要在MDR的性能和成本之间找到最佳平衡点。
以下我们将介绍12种国际市场领先的MDR解决方案的主要功能和特点,希望对企业MDR选型和市场分析有所帮助:
Sophos托管威胁响应
Sophos Managed Threat Response提供对基础设施的24×7全天候监控,并且可以主动识别威胁和事件。Sophos还通过将事件源数据与业务资源相关联,将上下文应用于已验证的威胁,从而提高企业对事件进行分类和响应的能力。视企业需要,Sophos及其团队还可以采取应急响应措施,或者只是提供解决重复事件根源的建议。
Arctic Wolf(北极狼)托管检测和响应
Arctic Wolf管理检测和响应服务提供对主动威胁的全天候监控和管理的服务。Arctic Wolf不仅执行主动威胁搜寻,而且对企业的系统执行持续扫描,寻找漏洞并评估风险。Arctic Wolf还提供EDR解决方案并监控移动和物联网设备,使企业能够快速识别边缘设备的风险。
Red Canary托管检测和响应
Red Canary托管检测与响应方案提供SLA支持的24小时监控和高级威胁检测。Red Canary还具备对手分析和监控的能力。在工具方面,Red Canary提供自动化和编排手册以促进快速事件响应,以及平均响应时间等SLA指标的执行报告。对于因攻击或者误报影响服务可用性的企业,Red Canary提供检测测试和验证,以帮助确保服务有效性。
Crowdstrike Falcon Complete
Crowdstrike Falcon Complete提供由实时主动跟踪威胁的全球专业团队支持的24×7全天候监控。Crowdstrike的平台是为云构建的,这意味着其管理工具是托管的,企业的数据中心不需要部署额外的服务器硬件或软件。Crowdstrike不仅能够监控和防护云工作负载和端点,而且还提供身份安全保护。
SentinelOne Vigilance Response
SentinelOne Vigilance Respond能全天候监控基础设施,并承诺18分钟的平均恢复时间(MTTR)。SentinelOne提供的最有趣的功能可能是它的Storyline技术,它可以帮助企业可视化网络威胁的上下文,包括业务影响和时间线,使安全团队能够更有效地做出响应。SentinelOne通过安全专业人员来增强SOC,帮助企业安全团队进行事件响应、数字取证甚至恶意软件分析。
Rapid7托管检测和响应
Rapid7托管检测和响应方案的最大优势是数据规模。Rapid7每周跟踪超过1.2万亿个安全事件,拥有丰富的数据集,可用于开发签名和分析模型。Rapid7还带来了网络流量和流量检测等技术,甚至包括蜜罐等陷阱技术,以及早识别网络攻击。此外还包括每月主动威胁搜寻、对已验证威胁的全面调查和报告,以及响应威胁的优先建议。Rapid7还由分布在全球的安全专家团队提供24×7全天候监控。
Alert Logic MDR解决方案
与Rapid7一样,Alert Logic将规模作为其MDR服务的主要功能卖点。全球24×7 SOC每天分析超过1400亿个日志事件。Alert Logic监控云平台、大量SaaS应用程序、容器和各种本地资源。Alert Logic还提供合规性报告,以满足各种行业特定需求,包括PCI、HIPAA和SOX。Alert Logic基于云,因此能够灵活扩展部署以响应事件,并在威胁缓解后回滚。与Slack、Microsoft Teams、ServiceNow和其他常见协作平台集成,提供用户友好的通知管理服务,其自定义响应手册有助于事件响应的流程化。
Cybereason MCR
Cybereason MDR及其24小时全球SOC服务的特点是快速响应:在一分钟或更短的时间内检测到威胁,在五分钟内进行分类,并在半小时内进行修复。Cybereason利用其MalOp严重性评分指标来帮助确定响应工作的优先级,以及与威胁的上下文和相关性,以帮助企业评估关键业务服务的风险。MDR移动管理应用程序提供了一种简单的方法来可视化威胁并从任何地方发起响应。Cybereason提供多个服务层级,包括月度报告、主动威胁搜寻和下一代防病毒软件,作为其高级产品的功能。
Binary Defense托管检测和响应
Binary Defense托管检测与响应提供24×7的SOC即服务,平均威胁响应时间为12分钟,承诺不超过30分钟。提供基于行为的检测、蜜罐系统和威胁搜寻用于识别网络威胁。其积极的威胁搜寻和红队工作也可以将威胁识别提升到一个新的水平。
WithSecure Contercept
WithSecure Contercept提供24×7 MDR服务,声称可以遏制和修复超过99%的威胁,其余威胁会自动升级到WithSecure事件响应。WithSecure的检测和响应(D&R)团队将一半的时间用于研究漏洞并制定检测和缓解策略。WithSecure还强调“和平时期的价值”,持续分析企业的基础设施是否存在漏洞,并提供帮助企业强化系统以主动降低攻击风险的报告。
Critical Start MDR
Critical Start MDR声称第一天就可以将误报减少80%,警报升级占比不到0.01%。Critical Start 24×7全天候监控企业的系统,并提供远程或现场事件响应和数字取证功能。Critical Start可与企业现有安全平台(例如MS Defender for Endpoint/Sentinel、VMWare Carbon Black、Crowdstrike、SentinelOne、Splunk等)紧密集成,以快速交付价值,并通过CriticalStart MobileSOC移动应用程序提高对活动警报的可见性。
Expel托管检测和响应
Expel托管检测和响应是建立在XDR平台上的24×7 MDR服务。Expel通过API与现有安全基础设施集成,从而实现更有效的威胁识别和响应。Expel与基于云的系统(IaaS和SaaS)紧密集成,以识别对系统或身份的威胁(身份泄露、异常用户行为或特权访问滥用)。该方案还能监控本地基础设施的横向移动、恶意脚本和防御规避。Expel利用机器人进行日志和事件分析,构建上下文和执行威胁分类。报告是Expel的另一个优势,基于客户自身和全体客户“足迹”提供有关事件的详细信息以及值得关注的“有趣活动”。
