開放文本 Tag 網絡管理檢測和響應軟件說明
託管檢測和響應 (MDR) 解決方案受益於調查能力,特別是從數字取證社區衍生和演變而來的能力。 因此,購買者在購買時應將調查經驗作為選擇因素。view荷蘭國際集團 MDR 產品。
介紹
1990 年代後期託管安全服務 (MSS) 產品的出現主要是由於企業團隊需要讓專家遠程管理他們的防火牆並重新view 正在生成的日誌記錄。 隨著託管安全服務提供商 (MSSP) 產品的發展,以及基於邊界的防火牆變得不那麼重要,大多數 MSS 解決方案的重點從設備管理轉移到分析收集的日誌。
在本報告中,我們概述了這種轉變如何導致從業者更加重視新的託管檢測和響應 (MDR) 商業產品。 如下文所述,此類 MDR 解決方案結合了數據收集、相關處理、事件響應和對企業買家的數據分析支持。 他們還通過增加外包專家的企業團隊來幫助解決安全技能差距。
在本報告中,我們還重點關注了建議買家在選擇 MDR 合作夥伴時考慮的關鍵選擇因素。 這一關鍵因素,即調查能力,涉及 MDR 供應商執行分析任務以理解來自託管基礎架構的數據的能力。 這裡的案例是調查能力,包括這種專業知識在供應商團隊中的發展方式,是 MDR 成功的主要預測因素。
基線 MDR 能力
將傳統 MSS 與演進的 MDR 區分開來的最佳方法是可視化這些各自的產品在 NIST 網絡安全框架 (CSF) 中包含的防禦性生命週期模型中的位置。 大多數觀察者 view 沿著這個模型的任何轉變,要么是向左移到更多的預防重點,要么是向右移到更多的檢測和響應焦點。 下面的圖 1 描繪了這種轉變格局。
MDR 解決方案如此成功的主要原因之一是高級網絡威脅很難預防,尤其是當它們由民族國家軍事團體等有能力的參與者發起時。 安全團隊必須將主要精力放在解決持續發生的事件、響應實時攻擊或通過必要的補救和恢復措施來響應已完成的事件上。
結果是網絡安全行業發生了明確的轉變,主要強調檢測和響應。 除了 MDR,買家現在還可以訪問網絡檢測和響應 (NDR)、端點檢測和響應 (EDR) 甚至擴展(通配符)檢測和響應 (XDR) 的解決方案。 這些產品中的每一個都將注意力集中在處理正在進行的或以前的事件上。
https://www.nist.gov/cyberframework
調查作為 MDR 的關鍵組成部分
從這一轉變中可以看出,MDR 解決方案主要面向事件調查,而前幾代託管安全的早期重點是預防和緩解。 這種強調表明,MDR 供應商的選擇過程應包括足夠的資源。view 當地支持調查工作的能力,基於事件之前、期間和之後收集的數據。
這種調查能力特別突出的一個領域是數字取證。 多年來,企業團隊、執法部門和其他利益相關者一直在使用數字取證方法來調查目標設備、系統和軟件(包括存儲和臨時數據)的特徵和數據。 由此產生的最佳實踐提供了對任何 MDR 產品中應包含的方法類型的出色洞察。
數字取證調查的要素
當執法部門和其他法醫檢查人員進行數字調查時,他們必須明確或隱含地參與包含許多離散任務的四步生命週期模型。 此模型中的每項任務在下面表示為事實上的指南,而不是正式的標準,旨在幫助從工件中發現洞察力,現在大多數任務都嚴重依賴技術支持來正確執行。
第 1 步:保存
這涉及凍結任何可能損壞或改變重要數字證據的活動。 此類活動適用於 MDR 產品,其中收集的日誌、遙測數據和其他臨時數據必須安全存儲 — 不可能amp磨損或損壞。
第一步:收集
這涉及獲取調查所需的數字證據。 MDR 解決方案具有類似的收集能力,可從託管基礎架構中捕獲遠程日誌、審計記錄、警報、警報和其他遙測數據。
步驟3:檢查
這涉及技術和系統的重新view 搜索與調查相關的證據。 每個 MDR 都必須包括類似的檢查能力,通常在 MDR SOC 中結合使用自動和手動程序來執行。
第 4 步:分析
這項重要任務涉及相關性和邏輯性view 的數字證據得出結論。 MDR 解決方案越來越多地使用智能算法來執行分析任務。 此類解決方案通常結合了簽名、行為和基於人工智能的處理的最佳元素。
第 5 步:報告
最後一步涉及以對所有調查參與者有用的方式記錄調查結果。 現在,每個 MDR 都包含支持報告要求的要求,通常帶有細微差別,即網絡專家和業務主管都可以使用摘要分析。
對數字取證方法的分析表明,任何選定的 MDR 平台和支持供應商都應深深植根於適當的數字調查能力。 如上所述,MDR 解決方案專注於檢測和響應,這兩者都是數字取證調查五步流程的重要方面。 因此,MDR 供應商必須對這一領域有深入的了解。
詢問您的 MDR 供應商的問題
這 TAG 網絡分析師團隊建議考慮 MDR 選項的買家應調整其傳統的來源選擇流程,以包括更加重視 MDR 負責人的調查專業知識和經驗。 為此,我們創建了一系列簡單的問題,這些問題可能會被問到 MDR 解決方案提供商,以幫助衡量這種調查能力水平,我們認為這有助於預測 MDR 參與的成功:
MDR 供應商在多大程度上擁有現代數字場景的直接取證調查經驗?
顯然,數字取證和 MDR 是不同的活動,我們完全理解 MDR 合同可能不包括對設備和其他系統進行取證分析的工作項目。 然而,在數字取證方面擁有本地經驗會令 TAG 網絡分析師團隊可以很好地預測組織處理數字化的能力view、數據分析和調查支持。
在現代數字取證調查的背景下,MDR 解決方案提供商熟悉哪些平台和工具?
MDR 團隊所需的數字取證經驗水平應與對支持調查的一流工具的理解和熟悉相輔相成。 MDR 團隊可能不會在他們的檢測和響應活動中直接使用這些工具,但我們認為,使用最佳商業工具支持調查的先前或持續經驗是優秀 MDR 團隊的合理要求。
MDR 供應商將數字取證功能融入其日常檢測和響應支持的方法是什麼?
這個問題確實關注數字取證和 MDR 支持之間的協同作用。 特別是,它詢問 MDR 供應商如何將調查經驗和專業知識融入到支持企業客戶的檢測和響應活動中。 這種協同作用可以是戰略性的,為如何設計數據分析程序提供框架指導,也可以是戰術性的,在處理給定任務時提供更具體的分步幫助。
關於 TAG 網路
TAG Cyber 是一家值得信賴的網絡安全研究分析公司,為安全解決方案提供商和財富 100 強企業提供公正的行業見解和建議。 該公司由 AT&T 前高級副總裁/首席戰略官 Edward Amoroso 博士於 2016 年創立,通過提供深入研究、市場分析、諮詢和基於與客戶的數百次互動的個性化內容,逆向付費遊戲研究的趨勢和非客戶一樣——都是從前從業者的角度來看的。
版權所有 © 2021 TAG 網絡有限責任公司。 未經許可不得複制、分發或共享本報告 TAG Cyber 的書面許可。 本報告中的材料是由 TAG 網絡分析師,不應被解釋為由事實斷言組成。 對本報告的正確性、有用性、準確性或完整性的所有保證均在此聲明。
託管檢測和響應 (MDR):作為關鍵選擇因素的調查能力
版權所有 © 2021 開放文本。 版權所有。 開放文本擁有的商標。
文件/資源
 |
開放文本 Tag 網絡管理檢測和響應軟件 [pdf] 指示 Tag 網絡管理檢測和響應軟件, Tag 網絡管理檢測和響應,軟件 |
