EDR、XDR 与 MDR 之间有何区别？

 

 

多年前，传统的网络安全专注于保护企业及其周边的一切。当工作场所的计算机被限制在物理办公空间且数据中心保持在本地时，这项任务可以轻易实现，如企业防火墙就提供了重要的保护工作。然而，移动和云计算改变了企业的运营方式，这对基于边界的安全造成了致命打击。

 

在 2000 年代和 2010 年代，组织所依赖的许多应用程序都迁移到了云端。这使他们超出了本地 IT 团队的控制范围，同时与这些应用程序相关的数据通常也存储在云中，这进一步削弱了传统防火墙的有效性。同时移动办公和混合办公成为主流，当工作场所变成一个开放市场，拥有无数的设备、网络和用户——所有这些都与外部世界直接连接时，旧的安全模式开始失效。

 

允许专业人员在几乎任何位置使用多种设备工作，可以为生产力创造奇迹。然而，对于传统的网络安全来说，这是一场噩梦。一旦组织资源和设备移出防火墙，基于边界的防御时代也即将宣告结束。网络安全供应商看到了这种壁垒，并将重点从防火墙转移到端点安全。旨在在设备级别保护组织的端点检测和响应（EDR）占据了中心位置。

 

EDR 涉及的不仅仅是为每个设备添加额外的安全层。内部 EDR 安全操作集中在管理和监控每个端点的平台中。组织内的安全运维分析人员操作该平台，要求“由全天候工作的专家提供全天候保护”。

 

因此EDR在部署使用时也将面临挑战，一方面，EDR 面临的挑战是现在访问工作场所资源的非托管设备大量增，监控每台企业拥有的个人电脑、笔记本电脑、平板电脑和智能手机是一项巨大的挑战。另一方面对技术方面的要求决定负责职守的岗位专家薪资高昂，且他们可能还有更好的岗位以供选择，这也表现出传统岗位运维人员普遍的网络安全技能短缺。

 

大量 IT 和安全团队转向安全信息和事件管理（SIEM）解决方案来支持广泛的威胁检测；然而，他们经常发现重大挑战。这些包括数据摄取威胁检测和响应的问题。由于可见性有限、跨多个向量的威胁相关性有限或两者兼而有之，挑战可能会被放大。

 

 

网络安全在不断变化，因为威胁行为者会寻找新的、受保护程度较低的载体来实施他们的恶意行为。一旦 EDR 的局限性变得明显，安全厂商便开始向 XDR 迁移，通过聚合和分析一系列解决方案中的威胁遥测数据，构建一个更具凝聚力和整体性的响应平台。换言之，他们试图对即将到来的威胁信息进行组织和上下文化，而不是让几十个解决方案用独立、断开的警报轰炸安全运营中心（SOC）分析师。

 

虽然这是 EDR 的自然延伸，但 XDR 方法仍然需要一个由专门的 IT 或网络安全专业人员组成的内部团队才能成功的部署使用。如今，组织平均管理着76 种安全工具，对于负责操作这些工具的 IT 员工来说，这些工具可能不堪重负。所有这些都为网络安全的下一次发展奠定了基础。

 

 

托管检测和响应服务（MDR） 扩展了 SIEM 功能，并为组织提供了对 XDR 平台的全面保护，该平台具有识别和遏制攻击所需的人工专业知识和流程。借助 MDR，组织可以 24*7*365 全天候获得外部网络安全专家的协助，这些专家监控企业、关联跨设备的遥测数据并提供可操作的威胁情报从而获得快速安全响应服务。

 

MDR服务一般包含以下功能：

 

威胁狩猎：威胁狩猎力图在威胁访问关键数据之前发现威胁；

 

威胁情报：情报是了解攻击者及其攻击方式的关键。安全团队通过威胁情报可以更好地了解特定的攻击者及其常用的战术、技术和流程（TTP），从而更有效地防御威胁；

 

威胁响应：MDR服务提供商能够代表客户采取有针对性的行动来消除威胁。有效的MDR不仅可以在威胁潜伏时提供补救措施，还可以在攻击者发起攻击时提供事件响应措施；

 

全覆盖范围：24*7*365持续服务，分析师可以在白天或晚上的任何时间做出响应；

 

专业知识：MDR不仅提供基于安全工具产生的日志的检测服务，还提供专业的安全人员对相关事件进行快速调查和响应；

 

实时可见性：MDR产品需要精细的实时端点可见性来捕捉和阻止攻击者。

 

MDR 在投入产出比上极具优异，也是企业青睐该项服务的重要原因。在国内，360、深信服、奇安信、绿盟科技、安恒信息、腾讯安全等头部安全厂商均已提供MDR服务，该服务能在企业日常运营和重保期间不中断的肩负企业网络安全。