安全系统集成商在为各行业组织设计、安装和维护复杂的安全解决方案方面发挥着关键作用。
在运营技术(OT) 中,物理和数字环境比以往任何时候都更加交织在一起,需要额外保持警惕来检查威胁检测和响应。随着网络威胁日益丰富和复杂,许多客户现在转向托管检测和响应 (MDR) 服务来加强其安全态势。事实证明,集成此类新兴解决方案有助于显着增强现有安全基础设施。据估计,到 2025 年,全球 50% 的组织将使用 MDR 来实现大量网络安全功能,正如 Integrity360 最近的综述中预测的那样,市场本身的估值将达到 22 亿美元。
不仅如此,根据 Orca 2022 云安全警报疲劳报告,部署托管网络威胁检测策略的组织每年的网络漏洞和事件平均数量减少了 62% 。
作为全行业众多企业值得信赖的顾问,系统集成商拥有绝佳的机会将第三方 MDR 网络安全服务集成到他们提供的解决方案中。这样做可以为客户创造价值,同时将集成商定位为领先的安全合作伙伴。
对高级威胁检测和响应的需求
防火墙和防病毒软件等传统安全工具已不足以防范当今的攻击。威胁行为者不断改变策略来逃避基本控制。因此,入侵者在受感染网络中的平均停留时间现在为 8 到 10 天,虽然比 2022 年有所下降,但仍然长得惊人。
为了捕捉行动中的复杂威胁,组织需要 24/7 监控、专家威胁搜寻和快速事件响应。然而,大多数企业缺乏有效地做到这一点的内部资源。这就是外包托管检测和响应 (MDR) 服务的亮点。
为了避免深入了解MDR 以及其他流程和任务所涉及的更精细的技术细节,大多数第三方解决方案将包含一系列特定程序,例如:
• 高级威胁搜寻——MDR 分析师利用威胁情报、行为分析和自定义查询主动搜寻整个企业中隐藏的威胁。这使他们能够在造成严重损害或输出赎金之前识别并遏制攻击者。
• 实时警报监控——MDR 提供商拥有全天候监控客户端网络的安全运营中心(SOC)。先进的工具自动收集和关联来自安全控制的数据以检测异常情况。分析人员会立即收到任何警报通知,然后对其进行全面分析,然后确定它们是否构成真正的威胁。
• 加速事件响应——MDR 团队利用远程响应功能快速遏制已确认的威胁。这可以最大限度地减少停留时间和对业务的干扰。大多数 MDR 还提供专家取证调查和恶意软件分析,以从事件中吸取教训。
深度安全专业知识和威胁情报
MDR 服务利用了大量的网络安全人才和地理上分散的威胁数据。顶级提供商拥有 SOC,其中有数百名经验丰富的分析师随时待命,这些专家持有CISM、GIAC、CRISC、CCSP、CISSP 和 CEH 等机构的认证。
同时、实时地跨多个客户端网络工作使 MDR 团队广泛暴露于不同的攻击类型。这使他们能够随着时间的推移微调检测和响应策略。当专注于一个客户的多层网络时,可以对每一项数字资产进行分析,并逐段给予增强的保护。
MDR 供应商还大力投资于威胁研究和情报。通过从合作伙伴、暗网来源、僵尸网络和恶意软件收集数据,他们可以通过报告掌握攻击者 TTP(策略、技术和程序)以及正在利用的新漏洞。
通过技术集成实现完整可见性
MDR 的一个主要优势是获得对集成商现有 IT 环境中威胁的统一可见性。
MDR 平台通过各种方法与客户现有的安全控制集成,从 API 和实时协作工具到具有受限访问控制的新型专用设备。这将整个资产中的端点、网络、云服务等之间的点连接起来。由于资产和基础设施的这种综合视图,分析师可以在调查过程中快速调整方向。
常见的工具集成包括:
• 端点检测和响应 (EDR)
• 下一代防火墙
• 云访问安全代理 (CASB)
• DNS 过滤
• 电子邮件安全
• 漏洞扫描器
• SIEM
平台是根据每个客户的环境和要求量身定制的。先进的机器学习和行为分析进一步增强了整个堆栈的可见性和检测能力。
针对客户环境进行优化
顶级 MDR 提供商为每个组织提供高度定制的服务:
• 主动威胁搜寻——预定的搜寻重点关注客户端环境中的高风险区域和MITRE ATT&CK策略。
• 定制检测规则——创建规则来检测与客户行业、地理位置和攻击面相关的TTP。
• 响应手册——包含常见威胁的记录流程,以反映客户优先级和工作流程。
• 持续调整——MDR 团队随着环境的发展不断调整配置和分析。
这种量身定制的方法使组织能够从根据其独特需求量身定制的企业级功能中受益。
全球能力
对于具有国际影响力的组织来说,选择具有全球 SOC 和警报覆盖范围的 MDR 合作伙伴至关重要。这提供了:
• 由熟悉当地语言、网络法规和威胁形势的工作人员全天候(24/7)分析警报。
• 更广泛的地缘政治风险,例如经济或公民不确定性地区的风险,提高了当地风险水平。
• 跨境威胁可见性,不存在合规性或数据驻留冲突。
• 所有地区的一致安全策略。
在保护国际环境时,寻找跨大洲具有多个 SOC 的 MDR。
系统集成商的无缝集成
与 MDR 提供商合作使系统集成商能够为客户提供更好的安全成果。集成商提供托管检测和响应的步骤包括:
• 评估客户现有的安全技术堆栈和要求
• 选择符合客户需求的 MDR 合作伙伴
• 让客户使用内部 MDR 平台和任何有助于文档编制的第三方软件
• 促进 MDR 关系的持续管理
领先的 MDR 供应商通过提供技术文档、培训、联合品牌营销资产、折扣合作伙伴定价和专门的客户管理来实现无缝集成。
集成第三方 MDR 可以为集成商创造一系列更牢固的客户关系和经常性收入流。它还通过将复杂的威胁搜寻、分析和响应职责转移给专门的安全团队来减少责任。
随着网络威胁激增,外包 MDR 服务对于控制当今不断扩大的攻击面变得至关重要。将托管检测和响应集成到客户产品中,使系统集成商能够提供更大的价值,同时专注于其核心优势。