开放文本 Tag 网络管理检测和响应软件说明
托管检测和响应 (MDR) 解决方案受益于调查能力,特别是从数字取证社区衍生和演变而来的能力。 因此,购买者在购买时应将调查经验作为选择因素。view荷兰国际集团 MDR 产品。
介绍
1990 年代后期托管安全服务 (MSS) 产品的出现主要是由于企业团队需要让专家远程管理他们的防火墙并重新view 正在生成的日志记录。 随着托管安全服务提供商 (MSSP) 产品的发展,以及基于边界的防火墙变得不那么重要,大多数 MSS 解决方案的重点从设备管理转移到分析收集的日志。
在本报告中,我们概述了这种转变如何导致从业者更加重视新的托管检测和响应 (MDR) 商业产品。 如下文所述,此类 MDR 解决方案结合了数据收集、相关处理、事件响应和对企业买家的数据分析支持。 他们还通过增加外包专家的企业团队来帮助解决安全技能差距。
在本报告中,我们还重点关注了建议买家在选择 MDR 合作伙伴时考虑的关键选择因素。 这一关键因素,即调查能力,涉及 MDR 供应商执行分析任务以理解来自托管基础架构的数据的能力。 这里的案例是调查能力,包括这种专业知识在供应商团队中的发展方式,是 MDR 成功的主要预测因素。
基线 MDR 能力
将传统 MSS 与演进的 MDR 区分开来的最佳方法是可视化这些各自的产品在 NIST 网络安全框架 (CSF) 中包含的防御性生命周期模型中的位置。 大多数观察者 view 沿着这个模型的任何转变,要么是向左移到更多的预防重点,要么是向右移到更多的检测和响应焦点。 下面的图 1 描绘了这种转变格局。
MDR 解决方案如此成功的主要原因之一是高级网络威胁很难预防,尤其是当它们由民族国家军事团体等有能力的参与者发起时。 安全团队必须将主要精力放在解决持续发生的事件、响应实时攻击或通过必要的补救和恢复措施来响应已完成的事件上。
结果是网络安全行业发生了明确的转变,主要强调检测和响应。 除了 MDR,买家现在还可以访问网络检测和响应 (NDR)、端点检测和响应 (EDR) 甚至扩展(通配符)检测和响应 (XDR) 的解决方案。 这些产品中的每一个都将注意力集中在处理正在进行的或以前的事件上。
https://www.nist.gov/cyberframework
调查作为 MDR 的关键组成部分
从这一转变中可以看出,MDR 解决方案主要面向事件调查,而前几代托管安全的早期重点是预防和缓解。 这种强调表明,MDR 供应商的选择过程应包括足够的资源。view 当地支持调查工作的能力,基于事件之前、期间和之后收集的数据。
这种调查能力特别突出的一个领域是数字取证。 多年来,企业团队、执法部门和其他利益相关者一直在使用数字取证方法来调查目标设备、系统和软件(包括存储和临时数据)的特征和数据。 由此产生的最佳实践提供了对任何 MDR 产品中应包含的方法类型的出色洞察。
数字取证调查的要素
当执法部门和其他法医检查人员进行数字调查时,他们必须明确或隐含地参与包含许多离散任务的四步生命周期模型。 此模型中的每项任务在下面表示为事实上的指南,而不是正式的标准,旨在帮助从工件中发现洞察力,现在大多数任务都严重依赖技术支持来正确执行。
第 1 步:保存
这涉及冻结任何可能损坏或改变重要数字证据的活动。 此类活动适用于 MDR 产品,其中收集的日志、遥测数据和其他临时数据必须安全存储 — 不可能amp磨损或损坏。
第 2 步:收集
这涉及获取调查所需的数字证据。 MDR 解决方案具有类似的收集能力,可从托管基础架构中捕获远程日志、审计记录、警报、警报和其他遥测数据。
第 3 步:检查
这涉及技术和系统的重新view 搜索与调查相关的证据。 每个 MDR 都必须包括类似的检查能力,通常在 MDR SOC 中结合使用自动和手动程序来执行。
步骤 4:分析
这项重要任务涉及相关性和逻辑性view 的数字证据得出结论。 MDR 解决方案越来越多地使用智能算法来执行分析任务。 此类解决方案通常结合了签名、行为和基于人工智能的处理的最佳元素。
第 5 步:报告
最后一步涉及以对所有调查参与者有用的方式记录调查结果。 现在,每个 MDR 都包含支持报告要求的要求,通常带有细微差别,即网络专家和业务主管都可以使用摘要分析。
对数字取证方法的分析表明,任何选定的 MDR 平台和支持供应商都应深深植根于适当的数字调查能力。 如上所述,MDR 解决方案专注于检测和响应,这两者都是数字取证调查五步流程的重要方面。 因此,MDR 供应商必须对这一领域有深刻的理解。
询问您的 MDR 供应商的问题
这 TAG 网络分析师团队建议考虑 MDR 选项的买家应调整其传统的来源选择流程,以包括更加重视 MDR 负责人的调查专业知识和经验。 为此,我们创建了一系列简单的问题,这些问题可能会被问到 MDR 解决方案提供商,以帮助衡量这种调查能力水平,我们认为这有助于预测 MDR 参与的成功:
MDR 供应商在多大程度上拥有现代数字场景的直接取证调查经验?
显然,数字取证和 MDR 是不同的活动,我们完全理解 MDR 合同可能不包括对设备和其他系统进行取证分析的工作项目。 然而,拥有数字取证方面的本地经验会令 TAG 网络分析师团队可以很好地预测组织处理数字化的能力view、数据分析和调查支持。
在现代数字取证调查的背景下,MDR 解决方案提供商熟悉哪些平台和工具?
MDR 团队所需的数字取证经验水平应与对支持调查的一流工具的理解和熟悉相辅相成。 MDR 团队可能不会在他们的检测和响应活动中直接使用这些工具,但我们认为,使用最佳商业工具支持调查的先前或持续经验是优秀 MDR 团队的合理要求。
MDR 供应商将数字取证功能融入其日常检测和响应支持的方法是什么?
这个问题确实关注数字取证和 MDR 支持之间的协同作用。 特别是,它询问 MDR 供应商如何将调查经验和专业知识融入到支持企业客户的检测和响应活动中。 这种协同作用可以是战略性的,为如何设计数据分析程序提供框架指导,也可以是战术性的,在处理给定任务时提供更具体的分步帮助。
关于 TAG 网络
TAG Cyber 是一家值得信赖的网络安全研究分析公司,为安全解决方案提供商和财富 100 强企业提供公正的行业见解和建议。 该公司由 AT&T 前高级副总裁/首席战略官 Edward Amoroso 博士于 2016 年创立,通过提供深入研究、市场分析、咨询和基于与客户的数百次互动的个性化内容,逆向付费游戏研究的趋势和非客户一样——都是从前从业者的角度来看的。
版权所有 © 2021 TAG 网络有限责任公司。 未经许可不得复制、分发或共享本报告 TAG Cyber 的书面许可。 本报告中的材料是由 TAG 网络分析师,不应被解释为由事实断言组成。 对本报告的正确性、有用性、准确性或完整性的所有保证均在此声明。
托管检测和响应 (MDR):作为关键选择因素的调查能力
版权所有 © 2021 开放文本。 版权所有。 开放文本拥有的商标。
文件/资源
 |
开放文本 Tag 网络管理检测和响应软件 [pdf] 指示 Tag 网络管理检测和响应软件, Tag 网络管理检测和响应,软件 |
