国际知名咨询机构Gartner近期首次发布《Market Guide for Managed Detection and Response Services, China》(中国托管检测与响应服务市场指南,以下简称“指南”),包含阿里云、腾讯安全、360、奇安信、深信服、新华三、华为、绿盟、微步在线、青藤云安全、安全狗在内的多家厂商进入代表性厂商名录。《指南》对中国MDR服务市场特点与差异性进行了归纳与提炼,不仅一窥当前中国MDR服务市场玩家,对甲方企业也有诸多值得关注的洞察。
图/Gartner
国内MDR厂商命名差异大,服务内容更丰富
Gartner将为企业提供远程交付的现代安全运营中心功能、帮助企业快速进行威胁发现、分析、调查、主动缓解与遏制的服务,称之为MDR。2016年Gartner首次发布全球范围内的MDR市场指南,六年之后Gartner基于中国MDR服务市场发展情况,发布首个国内MDR市场指南报告。本次入选《指南》的国内代表性MDR厂商共计22家,包括综合型与专业型安全厂商两大类。从名称来看,针对MDR服务,国内厂商各自关注的重点各不一样,大致可以分为三类:
类型一,强调为企业提供托管式安全服务,如360数字安全集团MSS托管安全运营服务、 奇安信安全托管服务、腾讯安全的安全托管服务等;
类型二,强调对安全事件处置能力的检测与响应服务,如新华三的威胁检测与响应服务、微步在线的MDR检测及响应服等;
类型三,强调安全运营的安全服务,如天融信安全运营服务、绿盟的一体化安全运营服务、安天的常态化安全运营服务等。
不同的命名背后,本质上体现了各家厂商对于市场需求的理解与投入不同。而服务内容上,因为政府与行业监管情况、专业安全人才资源和成熟度不同等情况,国内MDR服务厂商与国际同样差别较大。除了提供7x24威胁监控、事件检测与响应、威胁情报、威胁狩猎这些核心MDR服务外,国内MDR厂商也会提供资产、漏洞、可用性验证等服务,来保证企业安全运营流程更加成熟,帮助企业形成预防-检测-响应-预测的运营闭环。
MDR市场将持续快速增长,供需双方各有调整空间
《指南》指出,到2026年,中国当前拥有安全运营中心(SOC)的企业,60%都将利用MDR服务来提升企业自身安全能力,市场将持续快速增长。不过,目前国内MDR服务并非严格的MDR,而是一种通用的安全服务,在交付方式、交付质量标准等存在较大调整空间。
交付方式上,相比国外MDR厂商以平台共享提供一个交钥匙技术堆栈,国内则基于技术堆栈构成与交付地理位置不同,交付模式更加灵活。如厂商完全使用自身技术提供服务的“厂商完全技术堆栈”交付,或是使用企业已部署安全工具或按需采购或租借其他安全工具的“BYO技术堆栈”交付,以及企业通过API或其他集成手段将自身安全运营平台与MDR厂商提供平台结合起来的“混合技术堆栈”交付。甲方企业需找到适合自身交付模式的MDR厂商与技术环境。针对技术环境复杂企业而言,在选择MDR服务时,还需验证服务可视化与兼容性能力,以及易于在不同环境部署,能快速启动与运行的能力。
交付质量标准上,国家目前面并未发布满足市场需求的MDR服务评估标准,企业采购MDR服务大多依靠品牌认知,对服务质量或交付结果没有量化认识。不过国内MDR厂商也在主动提供如MTTD、MTTR/C等以时间为唯一衡量指标的SLA,但可能存在牺牲质量、转移压力的弊端。《指南》则推荐甲方企业以关键业务应用从安全事件中恢复的恢复时间目标(RTOs)与恢复点目标(RPOs)作为质量的衡量指标。而对于很多国内MDR服务更集中检测与分析,响应服务交付有限的情况,厂商需储备更多经验丰富的安全专家,提供更多有针对性的响应建议、远程自动化响应服务,甲方企业在筛选MDR服务商时,也需通过RFP、POC测试、交付样本等方式,验证MDR厂商响应能力,并进行充分正式责任与内部相关系统授权。
当前网络安全受到前所未有的关注,但对企业更为迫切的问题是,内部目前普遍缺少网络安全专家。虽然外部MDR服务无法替代内部安全团队的角色,但在接下来的一个阶段内,国内MDR服务商都需要基于目前企业缺乏的能力,快速提供相关关键服务,企业也需要更加关注结果与质量,与MDR厂商合作更加紧密。
郑重声明:此文内容为本网站转载企业宣传资讯,目的在于传播更多信息,与本站立场无关。仅供读者参考,并请自行核实相关内容。