市场预测托管威胁检测响应服务（MDR）将迎来大规模应用

如今，降低数字化风险、增强安全防御能力依然是众多企业组织数字化发展中的重要需求和目标，观察国内外各安全研究机构及安全厂商对2023年威胁态势和安全技术趋势的预测展望，MDR（托管式威胁检测和响应服务）正在得到越来越多的关注和重视。比如美国电信公司AT&T指出，2023年可能是MDR大规模应用的元年。

过去很长时间，企业组织的绝大部分安全预算都用于反病毒和防火墙等预防技术上，很少有投资是针对无法预防的威胁检测和响应能力。但是根据IBM《2022 年数据泄露成本报告》，数据泄露事件给企业组织造成平均高达435万美元的损失，在识别和控制数据泄漏方面的平均用时为280天，创历史新高。威胁背后的攻击者可能遍布全球跨时区工作，技能纯熟且多变，对企业的威胁检测和响应能力提出较高要求。

然而，建立一个具备对抗能力、基础设施和流程的全天候服务团队是非常耗资且耗时的，并非所有企业都能自建现代化安全运营中心（SOC），近年来备受推崇的扩展检测和响应（XDR）技术应用对企业的安全运营能力同样有较高的要求。因此很多企业目前是难以快速检测和响应各种安全威胁的。

受制于在时间、技能、资金、流程等方面的缺失，越来越多的企业转向选择MDR，由此获得最大化的投入产出效果。Orange Cyberdefense曾总结过倾向于采用MDR的企业的几种情形：

MDR具有现代安全运营中心远程交付的能力，专注于精准检测、调查分析、积极遏制事件，旨在通过持续运营以减少威胁发现和威胁响应之间的时间。其最明显的优势在于，设置于云端的统一威胁检测和响应平台可以帮助企业实现威胁事件调查和处置的自动化，包括情报收集、分析、分类和响应等，而不是依赖传统的人工处置模式，大大降低对自身安全团队的专业性要求。此外，MDR还充分利用客户侧已部署的终端、边界、流量等防护设备，通过行为分析、流量分析、威胁情报以及与多级专家的组合，为企业提供更加快速和全面的威胁监视、检测和响应服务。

在中国的网络安全市场环境下，Gartner的《中国托管检测和响应服务市场指南》报告指出中国的MDR服务有别于全球市场，更倾向于远程和现场服务团队相结合的混合交付模式。中国的MDR服务提供商可提供7X24H全天候威胁监控、检测和响应结果。同时，服务购买方也希望MDR服务不仅能监测和应对威胁，同时还要提供知识和能力来帮助组织提升流程的成熟度，形成一个预防－检测－反应－预测的闭环。

并且，不同规模的组织对MDR诉求也不尽相同：

● 小型组织安全设施匮乏，需借助MDR服务快速形成基本的检测和响应能力，同时满足法律法规和标准（如等保2.0体系）的安全基线要求，并响应小概率安全事件或应对小范围影响。

● 大型组织通常具备较为成熟的安全防护体系，但在安全告警和事件响应及处置方面存在效率低下和误报率高的问题，亟需利用MDR服务提高深度威胁检测能力，并关注高价值资产防护，形成闭环的安全告警自动化响应和处置，针对关键信息安全事件投入更多的专家力量。

报告分析MDR服务市场在中国处于扩张状态，预计到2026年，中国60%拥有安全运营中心的组织都将会使用MDR服务增强安全运营能力。根据推荐，我们梳理多家有代表性的MDR提供商为企业选型做出一定的参考：