選擇MDR服務時候需要考慮的七個問題
責編:gltian |2020-09-07 14:36:51CISO們逐漸意識到,他們越早發現泄漏事件并及時處理,他們就越容易修復這些問題,而組織受到的損失也就越小。因此,威脅檢測和響應慢慢成為了CISO們的高優先需求。而根據Ponemon Institute的研究發現,平均發現泄漏事件的時間是280天,那顯然我們還有很大的改進空間。
盡管說檢測和響應的技術已經有了極大的提升,但是事實上,組織依然需要真正的人類專家才能真正發揮其價值。尖端安全人才的薪水隨著需求水漲船高,對企業而言無疑增加了成本與招聘難度。
這個時候,MDR服務就開始走入主舞臺。Gartner預測,到2024年為止,25%的企業會使用MDR服務。
如果你開始考慮使用MDR服務,那以下七點是在選擇供應商的時候需要權衡的因素:
全面監控
如果需要真正的24/7防護,遙測能力必不可少。有效的MDR服務會收集你網絡中每個設備的數據,并對流量持續監控,從而建立一個完整的企業概況。因此,MDR服務需要能對所有業務中的終端、云服務、運營網絡的數據進行收集。完整的視圖有助于為發現異常行為并識別威脅打下堅實的基礎。
快速響應
如果響應不及時,檢測的價值就很有限。快速響應能減少損失,因此MDR服務應該能夠盡量做到實時響應。一些響應可以自動化進行,而其他威脅可能需要標記后由專家進行進一步調查——這就意味著需要24/7的專家服務。在調查過后,需要對威脅進行清除,或者限制在某個范圍中。另外,根據威脅等級的不同通知正確的人員也很關鍵,從而能確保及時進行必要的改動以及做出關鍵的決策。組織在購買MDR服務時需要確保SLA中有對快速響應時間的保證。
修復建議
檢測到威脅并進行處理以后,下一步就是修復。如果造成攻擊成功的情況未被解決,那它就會再次發生。一個有價值的MDR服務會顯現出被檢測到的事件的起因,無論是配置錯誤的軟件或者是一個被竊取的賬戶。修復建議需要盡快提交給正確的人員,從而能立即對策略做出改變,或者進行軟件更新、收緊網絡接入等措施。
支持能力
任何一家MDR服務都需要在用戶有所需求的時候提供支持。不同的廠商會有不同的支持策略,比如遠程聊天、電話通訊、現場作業等。一般而言,現場作業會更快更有效,但是企業需要理解這已經是包含在服務費之中了,還是需要額外收費。
按需改動
每家企業都有自己的預算限制,而不同組織也有不同的合規需求以及風險壓力。企業需要找到一家在自己預算之中的MDR廠商,同時還需要能夠根據自身現有的架構和工具組,來填補自身內部專家在能力上的空檔。根據業務的不同,企業也需要MDR服務有一些靈活性,可以根據業務需求對服務的覆蓋面進行擴展或者縮減。
合規治理
時時滿足最新的合規需求可能本身就是一個全職工作,而MDR服務應該完全明白這些需求。一次對網絡環境的審計可以針對如何提升安全性和滿足合規需求提出建議。一個優秀的MDR廠商可以通過使用最新技術,以及緊跟最新的合規政策,確保組織滿足自身需要的相關法律法規。
輔助服務
許多MDR廠商在進行檢測和響應管理之外,還會提供一些有用的建議和其他服務,或者他們自身都有合作伙伴能夠提供更多的服務,比如脆弱性評估、滲透測試、入侵防御等。如果這家廠商的MDR服務和自身企業相性不錯,CISO也可以看一下產線上的其他輔助服務。就和企業會根據自身的需求改變服務的層級一樣,企業也可能會看看MDR廠商是否有其他的服務。
來源:數世咨詢