MDR服务揭秘

MDR服务全称为Managed Detection and Response Service，中文名为可管理的威胁检测与响应服务，由国际知名机构Gartner定义，是一种集安全威胁检测设备、安全威胁分析平台、安全专家服务于一体的一站式安全运营服务。

与单一的安全防护设备相比，MDR服务可以在设备提供的威胁预防能力的基础之上，进一步提供威胁源及安全事故的检测与处置能力，形成事前主动预防、事中积极对抗、事后及时响应的威胁管理解决方案。

同时，MDR服务是一种端到端的安全运营服务，与传统安全产品与服务相比，MDR服务具备投资风险低、一次性投入少的特点，是未来安全产品与服务融合发展的方向和趋势。

MDR服务主体由威胁检测设备、威胁分析平台、安全分析专家和应急响应专家构成，分别用于攻击行为检测、攻击事件分析、事件取证分析和事件应急响应几个环节。

 （攻陷事件处置流程示意图）

为了更好地揭示MDR服务，我们以“矿机”发现与处置展示MDR服务过程。矿机是一种用于赚取比特币的主机，攻击者利用漏洞、钓鱼等方式将加密货币挖矿程序植入受害主机，让受害主机作为矿工长时间满负荷运行，占用大量CPU资源，影响正常业务运行。MDR服务将通过以下几个环节完成事件的检测与响应：

当企业内网主机被攻陷并植入挖矿木马后，威胁检测设备会根据矿机连接矿池的特征发现存在的安全威胁。

 （绿盟入侵检测与防御系统威胁告警界面截图）

2

威胁分析平台通过大数据分析与机器学习技术搜集分析“矿机”相关的信息与安全告警，确认攻击链及受害主机被攻陷的过程（如下图），并向安全专家派发任务。

  （绿盟态势感知平台攻击链界面截图）

3

安全分析专家根据威胁分析平台提供的线索，进一步分析受害主机关键流量与会话，通过流量中的协议格式（如下图）最终确认受害主机正在通过挖矿程序与矿池通讯。

（绿盟云端安全运营支撑平台攻陷事件分析任务界面截图 ）

4

应急响应专家通过本地排查和攻击溯源，确认攻击路径及企业存在的安全隐患，并提供处置建议。

（绿盟应急响应报告截图）

点击“阅读原文”！了解绿盟安全态势感知解决方案

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP