大势所趋：MDR的七大优点！

XDR（扩展检测与响应）是当下最为火爆的网络安全缩写词之一，号称“穷人的SOC”，是企业缩短MTTR（平均检测响应时间）这一关键指标的热门方法。但XDR与SIEM从本质上讲是相同的，都遭受同一个问题的困扰：缺乏精通工具的专业人才，无法发挥XDR的最大价值。

XDR与MDR

面对旷日持久的网络安全人才荒，许多企业放弃部署本地XDR，转而选择了另一个缩写词：MDR（托管检测和响应服务）。这种安全即服务（SaaS）产品使企业可以获得外部专业分析师的服务，后者掌握所有XDR功能的专业知识，以进行全面的覆盖、检测和响应。MDR服务能够持续有效地接收事件并确定事件的优先级，从而减轻内部IT团队的负担。MDR服务还可以在误报事件升级之前调查高风险事件，从而减少误报，并在所有客户部署中提供最新的情报。

换而言之，MDR就是托管XDR。MDR客户的安全团队成员不必购买自己的情报源和一大堆工具组成复杂解决方案，也不必每天处理上万条警报，或者遭受警报疲劳的困扰，可以专注于更大范围和更高层面的战略计划，以改善公司的整体安全状况。

根据Cybersecurity Ventures的数据，全球每小时有158,727次安全漏洞利用（每秒44次！）为了缓解日益复杂的威胁，许多企业选择新的分层战术安全基础设施解决方案（纵深防御），这不但增加了复杂性和开销，并间接增加了安全漏洞的可能性，这些漏洞可能成为攻击者的入口。

现实反复证明，部署得当的纵深防御方法确实可以帮助企业减少检测和响应安全威胁的时间。但是，技术（工具）需要得到人员和流程的支持。单靠技术并不能解决问题。目前仅在美国就有超过30万个空缺的网络安全职位。全球性的安全人才短缺正在影响几乎每个组织，并导致现有IT团队不堪重负。

上述因素正在推动一个安全垂直市场飞速发展，那就是MDR——托管检测和响应。MDR提供商宣称能够提供全天候监控、复杂的威胁检测、专业高效的升级和缓解功能。而合格的MDR提供商确实有能力在支持企业减缓解网络威胁方面发挥重要作用。

MDR七大优点

对于企业的CISO来说，MDR不仅仅是安全检测解决方案或“警报器”，还可以帮助解决七大安全运营挑战（同时也是MDR的优点所在）：

1.人才短缺。人员配备是每个IT部门的一项重大挑战，安全资源是最难吸引和留住的资源之一。MDR提供商有助于弥合人才差距并为企业的安全计划提供一致性。

2.跨不同环境和技术的可见性。MDR提供商可以将分布式环境和SaaS应用程序的可见性集中到一个单一的管理平面中，从而减少检测和响应网络威胁的时间和工作量。

3.解决工具蔓延问题。企业不断投资安全解决方案。随着时间的推移，工具可能会被忽略，警报也会被忽略。MDR提供商通过为安全团队提供单一平台来监控、检测和响应来自不同技术和工具的警报，从而帮助解决工具蔓延问题。

4.24x7x365监控。对于企业SOC的人员配置，Gartner建议由至少8名专用人员组成24×7的团队。但是由于人才短缺，企业很难找到哪怕一个合格的人才（而且可能很昂贵）。除了“始终在线”的检测和响应服务之外，MDR提供商还提供了一种一致且具有成本效益的企业内部团队的部分替代方案。MDR提供商提供统包SOC功能，用于监控和响应整个企业的网络威胁。

5.减少误报。MDR提供商减少了需要内部IT团队处理的警报数量，使得一天中有更多时间专注于支持业务的计划。

6.提高安全投资回报率。企业在战略技术上进行投资是很常见的，但往往其结果是实施不彻底、配置不当，或者未能充分利用资产。MDR提供商可以确保工具配置正确并提供全部功能，从而最大限度地提高价值。

7.安全项目评估。MDR可以帮助企业了解“好的安全解决方案跑起来是什么样子”。MDR提供商可协助企业制定与业务模型相关的指标，并提供各种报告来评估成熟度、记录进度并促进合规性。

总之，正如Forrester所言：“快速发现潜在入侵并将这些发现与定制的、规范的、以行动为导向的警报相结合，是企业喜欢MDR服务的主要原因。”好的MDR服务可以帮助实时保护企业，将安全团队从救火的压力下解脱出来，更好地服务于企业的业务目标。