XDR还是MDR?企业如何选择?
面对日益复杂的网络威胁,企业越来越重视威胁检测和响应能力以及相关技术,努力为所有企业端点提供更高的可见性、检测和响应能力。如今,全球近一半的IT和安全领导者打算增加对网络检测和响应工具的投资,提高对新威胁的防御能力。根据SMI的调查和预测,威胁检测和响应市场2021年至2027年之间的复合年增长率为5.6%。
根据安永的一份报告,70%的数据泄露源自端点,这使得IT团队提高其可见性和远程修复能力非常重要。因此,检测和响应解决方案可以为当今日趋分散的劳动力提供有效的对策。
XDR(扩展检测和响应)和MDR(托管检测和响应)则是当下企业提升检测和响应能力使用最广泛的两种解决方案。此类解决方案往往通过外部托管安全服务提供商(MSSP)提供专业知识并填补安全架构空白,从而解决许多企业网络安全专家短缺的问题,从而帮助公司保持监控状态。
Gartner预测,到2023年,大多数企业将用XDR或MDR替换他们的传统安全软件。
对于企业安全主管来说,了解各种类型的网络安全解决方案通常是最困难的挑战,尤其是当安全厂商之间的术语似是而非的时候。MDR和XDR正是这样一对很容易让企业迷惑的概念,企业需要根据自身的环境和需求,来分辨并选择适合自己的MDR或XDR方案。
XDR及其优势
XDR是一种强大的网络安全解决方案,可从多个来源收集和分析数据,以预防、检测和响应网络攻击。
XDR也是端点检测和响应(EDR)的演进版本,通过以标准格式汇集历史和实时事件数据来提高安全团队的效率和生产力。
XDR超越了EDR,具有跨网络的检测和缓解功能,可有效保护企业的整个数字环境,包括网络、云存储、应用程序和端点。
XDR提供多种类型的检测,特别适合那些现有解决方案无法覆盖所有攻击面的的企业。
XDR支持可扩展的高性能存储、快速索引搜索和自动化驱动的威胁响应,经常以软件即服务(SaaS)的形式提供,使企业更容易使用该技术。
EDR和一些传统的MDR产品经常被看作是仅能解决部分网络威胁的有限解决方案。而XDR突破了这种局限性,将端点、网络和云服务的检测和响应功能整合到单一平台中。
XDR解决方案能够为拥有混合工作环境和复杂IT基础设施的组织提供信息和威胁数据,帮他们应对日益复杂的威胁,从而能够更好地保护其数据和运营。
XDR解决方案承认,仅靠端点检测不足以保护现代IT基础设施。此外,危害指标不仅限于端点,异常的网络流量和流量模式以及异常的云活动都可能意味着安全威胁。
XDR的其他优势总结如下:
- 防御范围更广:XDR强调威胁面整体防御,可以帮助企业识别和缓解对其IT基础架构面临的任何威胁。
- 集中式生态系统:XDR解决方案将所有威胁数据集中在一个仪表板中,这是其主要卖点之一。这使团队可以更好地优先考虑他们的响应。
- 拥有成本低:XDR解决方案可以简化安全工具集,通常可以帮助组织提高效率并最大限度地利用资源。
- 分析自动化:在分析大数据的同时自动识别威胁并确定威胁优先级,可以极大地提高安全团队的效率。
XDR的痛点
根据Deep Instinct网络安全宣传总监Charles Everette的说法,XDR解决方案的一个关键缺点是无法灵活改变和发展以应对当今快速变化的复杂威胁形势。
“XDR解决方案依赖于识别已知威胁的模式和技术、应用机器学习算法以及寻找新攻击的共性。问题是今天使用的XDR解决方案必须获取威胁信息并对其进行训练,然后才能真正阻止它。”Everette说。
尽管XDR能够结合多种技术实施网络威胁监控,提供对IT环境的更深入见解,但该方法存在局限性。当XDR解决方案从各种来源提取数据时,它可能会给分析人员带来大量需要分析的威胁数据。
因此,XDR解决方案并不总是能够提供上下文,而后者对于攻击防御的成败至关重要。
通常,XDR组件并不都是从头整体开发的,不能确保其无缝的互操作性。因此,每个XDR平台组件可能只是分别提供整个场景的快照。
此外,由于XDR技术组件通常都依赖高密度计算和CPU使用率,XDR并不“环保”,而且往往会导致相当大的警报噪音,因为XDR解决方案中的不同工具可能会针对同一问题产生多个警报。
MDR的优点
MDR解决方案是专业安全服务,使企业能够将网络中的EDR产品的管理外包给第三方。
MDR不仅为企业提供了经验丰富的威胁搜寻、分析和响应的安全专家,而且还减轻了复杂和关键安全运营的负担。MDR解决方案提供实时威胁搜寻,以检测单个端点上的恶意活动,主动缓解已知威胁并将警报推送到安全运营中心(SOC)以进行进一步调查。
MDR是一项托管服务,它将EDR和XDR的优势结合到一个方便的产品中,特别适合那些没有足够网络安全专业人才来开发和运营内部安全系统的企业。
如上所述,XDR会生成大量数据,需要团队处理大量警报数据以区分误报和真实威胁。MDR则通过将检测和响应委托给经验丰富的第三方安全提供商来减轻企业的负担。
MDR是一种比传统企业检测和响应更好的选择。为了保护现代IT基础设施,MDR有时会配备多种安全工具,例如DNS防火墙、网络传感器和云监控功能。
MDR最显著的优势在于它让IT和安全团队有更多时间专注于支持业务目标的战略计划。有时,托管服务可能比建立内部安全团队更具成本效益和可用性。
MDR的其他优点总结如下:
- 事件检测:MDR负责分析发生的数以十亿计的安全事件,帮助区分误报和真正的威胁,通常会通过人工分析和支持来增强机器学习。
- 更好的警报管理:管理警报使企业能够优先考虑其网络安全活动并专注于最关键的问题,主动解决漏洞,最大限度地减少企业的威胁面。
- 攻击恢复:MDR解决方案可以帮助在网络安全事件后进行修复、恢复和补救,最大限度地减少损害和恢复时间。
- 威胁监控:MDR解决方案可以监控组织的网络并寻找活动事件,帮助企业及早发现威胁并减少潜在损害。
MDR的痛点
并非每个MDR解决方案提供商都能提供端到端防御,因为某些解决方案无法解决基于网络或基于云的威胁,仅提供对单个数据集的可见性。尽管这些工具对企业很有帮助,但审查它们提供的数据需要网络安全专业知识。即使拥有专业知识,该过程有时也可能既耗时又乏味。
XDR和MDR之间的关键区别
XDR和MDR都为传入数据提供了优于传统扫描的端点安全性,持续监控端点并检测入侵指标(IOC)。MDR和XDR都可以主动消除已识别的威胁,并将警报推送给SOC团队成员以进行进一步调查。
然而,MDR是一种外包安全服务,它将网络安全的责任转移给专门从事威胁检测和响应的第三方专家团队,而在XDR模型中,管理责任完全由采用XDR解决方案的企业自己承担。
另一个关键区别是:XDR受益于XDR安全扩展的高级功能。例如,XDR使企业能够关联整个网络中的安全数据,并针对整个网络拓扑中的已识别威胁部署一致的实时响应。
“传统的MDR提供了良好的服务,但它是孤立的,”德勤风险和财务咨询董事总经理Curt Aubley指出:“XDR提供了一种统一的方法,可以整合工具、降低成本并降低复杂性,因此客户可以专注于防御性网络的运营,以保护他们的大量资产,同时将时间花在复杂的工具管理上。”
总之,MDR可以更适合那些缺乏必要的内部安全专业人才的企业。对于已经拥有成体系的安全运营中心(SOC)但运营团队不堪重负的企业,可能会从XDR解决方案中获益更多。