隨著企業(yè)數(shù)字化轉(zhuǎn)型進程不斷加快，CSO需要更加準確深入地了解組織的網(wǎng)絡(luò)風險，進而為整個組織制定更有效的威脅管理計劃。但是，由于很多企業(yè)的安全運營能力和專業(yè)安全人才有限，因此難以快速檢測和響應各種安全威脅。在此情況下，托管式威脅檢測和響應服務（MDR）開始得到企業(yè)組織的大量關(guān)注。

據(jù)美國電信公司（AT&T）預測，2023年可能是MDR服務大規(guī)模應用的元年，其設(shè)置于云端的統(tǒng)一威脅檢測和響應平臺可以幫助企業(yè)實現(xiàn)威脅事件調(diào)查和處置的自動化，包括情報收集、分析、分類和響應等，而不是依賴傳統(tǒng)的人工處置模式，大大降低對自身安全團隊的專業(yè)性要求。

Emerging Researchi最新研究報告也表示：從2023年開始，將有更多的企業(yè)組織會通過采購MDR服務，實現(xiàn)7*24的威脅態(tài)勢監(jiān)控、事件警報、調(diào)查分析和專家團隊支持等安全能力建設(shè)。預計到2030年，MDR服務應用的年市場增長率將保持在18%以上。

某種意義上說，MDR可被理解為被托管的XDR，因為如果沒有足夠的專業(yè)人才持續(xù)運營，那么XDR永遠只是一種工具。而通過采用托管服務模型，企業(yè)能夠獲得更多的技術(shù)功能和專家服務。當企業(yè)從傳統(tǒng)威脅檢測方案轉(zhuǎn)向MDR服務時，企業(yè)的IT領(lǐng)導者必須首先從兩種MDR服務模式中做出選擇，即完全外包服務模式或部分外包服務模式。

完全外包模式是指由第三方服務商獨立負責應用環(huán)境評估、插件安裝以及處理流程配置等。這種模式對企業(yè)的資源消耗非常小，不足是MDR服務商往往不了解組織內(nèi)部的具體情況，由此可能會產(chǎn)生決策偏差。部分外包模式是指MDR服務商的安全專家與企業(yè)IT人員之間共同協(xié)作。服務商負責監(jiān)視組織的安全態(tài)勢并對威脅進行預警，而內(nèi)部IT人員則負責管理這些資源并參與威脅事件的響應和處置。這種模式的安全可控性更好。但缺點是需要投入更多的人員和時間。

當企業(yè)確定好MDR應用模式之后，接下來的重要步驟就是根據(jù)自身的實際應用需求，選型最適合的MDR服務商。在此過程中，企業(yè)不僅要準確了解MDR服務在其整體安全計劃中的定位，還必須考慮如何與MDR服務商團隊保持協(xié)同，避免產(chǎn)生“倦怠”情緒，影響實際的工作效率。為了確保MDR服務商擁有穩(wěn)定、可靠的威脅檢測和響應能力，企業(yè)在選型MDR服務時，應該重點關(guān)注以下10個因素：

圖片

參考鏈接：https://www.itprotoday.com/vulnerabilities-and-threats/how-get-most-value-mdr-services