MDR 是什麼?與 EDR 的差異與使用好處
網路安全威脅日益增加,「端點偵測及應變(EDR)」和「受管式偵測及應變(MDR)」成為企業不可或缺的資安工具與服務。MDR 和 EDR 是什麼呢?企業可以如何利用這兩者,加強自身資安防護?本文將深入介紹 EDR 和 MDR 和各自功能,並說明實務上的差異與優勢,協助您選擇最適合的資安防護方案。
了解 MDR 之前,首先 要先知道 EDR 是什麼
EDR 為 Endpoint Detection and Response 的縮寫,中文稱為「端點偵測及應變」,是一種網路安全技術或工具。EDR 以自動化工具實時監控並記錄端點上的活動,並於偵測到異常或可疑活動與程式時即時通報。資安人員可藉由 EDR 提供的數據、分析與應變建議,判斷資安事件的成因、嚴重性,以及該採取什麼樣的行動阻斷網路攻擊。即時監控和自動執行的特性,讓 EDR 適合用來防範難纏的 APT 攻擊。
不過端點是什麼呢?端點為什麼特別需要保護呢?所謂的「端點(Endpoints)」指任何連接到電腦網路(Computer Networks)的裝置,透過其互相傳送資訊。端點可以是桌上型電腦、筆記型電腦、平板電腦、智慧型手機,以及各類物聯網(IoT)裝置。電腦網路(Computer Networks)指連接兩個或以上裝置的系統,不同裝置可以共享溝通途徑,而平常使用網際網路(Internet)則是多個電腦網路互相串聯而成的龐大網路系統。日常生活中,端點多用來儲存和存取資料。在看重資訊安全的現代,針對端點的防護措施可說是至關重要。
一般 EDR 工具可以做到的資安防護內容有:
-
偵測
-
端點監控:持續監視各個端點上的活動,例如執行中的程式、讀寫的文件、網路連接等。
-
事件記錄:將監控的活動記錄下來。
-
分析監控記錄:將監測紀錄與資安資料庫中已知的威脅比對。
-
偵測異常活動:分析資料後,抓出可疑的活動。
-
應變
-
示警與提供情報:向資安團隊提出警告,並提供可以協助深入分析資安威脅的情報,例如時間、主機名稱、惡意程式位置、IP 位置等等。
-
採取補救措施:停止可疑進程繼續運作、驅逐入侵者、隔離惡意程式或感染的端點,或直接刪除惡意軟體/惡意程式碼等,第一時間防止惡意攻擊擴散。
MDR 是什麼?
MDR 中文為「受管式偵測及應變(Managed Detection and Response)」,是由第三方供應商所提供的 EDR 網路安全服務。說白了, MDR 就是企業將包含 EDR 在內的偵測與應變工作交予外部的專業資安專家或團隊進行。
隨著網路威脅數量逐年上升,EDR 工具產出巨量的數據和資料。即使經過自動化工具初步分析,這些資料還需更深入的分析才能提供更多有用的資訊,而進一步分析則會需要企業投入更多資源,資安工作的困難度也不斷攀升。
提供代管偵測和應變服務的 MDR 協助企業管理 EDR 工具及資訊安全資料,並快速應變,替企業節省時間與人力。例如,MDR 廠商可以即時判斷系統示警是否為誤報(False Positive),還是出現了具有威脅性的資安事件。企業可以免去這部分工作,而更專注在其核心業務。
MDR 與 EDR 的差異
就定義上來看,EDR 是一種保障網路安全的技術/工具,而 MDR 則是以 EDR 技術/工具進行的資安服務。而兩者在實務上的差別為:企業使用 EDR 需自行部署和管理相關技術與工具,並且根據 EDR 所提供的資訊,採取相對應的資安措施;使用 MDR 服務的話,部署、管理、監控和應變資安威脅都由外部廠商負責。因此 EDR 的自主性較高,企業自主權高,也可以依照自己的網路架構與環境,自訂配置。另一方面,EDR 主要針對端點進行防護,MDR 的偵測和應變服務除了端點外,也可能還蓋更大的範疇,例如整體資訊系統或端點和電腦網路等。
不同的供應商提供的 MDR 服務則可能會有不同內容。EDR 可以進行的安全防護措施,MDR 都有包含在內。除此之外,通常 MDR 服務可能還會包括:
-
由資安專家使用工具在範圍內,進行人工威脅搜捕(Threat Hunting),主動尋找可能的資安威脅。相較於被動偵測異常活動,威脅搜捕屬於主動式的資安防禦作法。
-
定期提供網路安全性報告。
-
深入調查個別資安事件,提供事件發生根本原因的分析報告,協助防止再次遭受相同類型的網路攻擊。
-
將資安威脅與警告依嚴重程度排序。
-
提供資安威脅應變指引。
下表整理了 EDR 和 MDR 的優缺點差異;也可以看出 EDR 適合小型、資源有限的組織,進行端點監控與威脅響應,而 MDR 更適用於大型組織提升整體網路安全性。
|
EDR |
MDR |
|
|
優點 |
|
|
|
缺點 |
|
|
使用 MDR 的 2 大好處
面對猖獗的網路惡意攻擊,MDR 服務可以提供企業兩大好處:提升資訊全與減輕資安人力負擔。
一、全面提升資訊安全
-
全年無休 24/7 的持續監控,並即時分析情報與數據。
-
主動搜尋資安威脅。
-
即時進行漏洞修補,同時提供資安事件的深度調查報告,協助企業提高事件處理效率。
-
應變速度提升,也降低資安事件帶來的損害。
二、減輕資安人力負擔
-
由外部供應商提供專業資訊安全技術支援,深入分析數據,企業無需自行雇用高階資安人員、管理內部的資安團隊。
-
網路惡意攻擊手法變化多端、不停推陳出新,企業內部的資安人員也可透過外部廠商的技術支援,短時間內快速獲取最新的專業知識。
-
外部廠商提供24小時全年無休的系統監控服務,讓企業內部人力進行其他重要工作。
晟崴科技的 MDR 威脅偵測應變服務由專業認證的技術團隊主導,提供全方位的安全防護,加快資安事件的反應速度,可協助各產業的企業降低資安威脅帶來的損害、保持營運及業務穩定運作、不中斷。無論是傳統製造業、醫療保健產業、金融機構,都可以協助您保護機敏資料,規劃專屬您的 MDR 服務。歡迎與我們聯絡!
立即聯絡晟崴科技規劃專屬您的 MDR 服務!
