网络安全的人才和技能短缺

关键要点

• 网络安全正面临人才和技能短缺问题，自动化未能解决此问题，攻击者不断改变策略。
• 如果缺乏合适的技能或安全专业人员，可以考虑管理检测与响应（MDR），近年来该领域有了新发展。
• MDR从端点检测与响应（EDR）起步，现在已经扩展到管理扩展检测与响应（MXDR）。
• MSSP与MDR的区别在于后者不仅仅是支持设备，还能主动防止网络风险。

网络安全的挑战日益严峻。Critical Start的首席技术官RandyWatkins指出，网络安全行业不仅面临人才不足，还存在技能短缺的问题。尽管有自动化技术，但因为攻击者的战术、技术和程序不断变化，专业人员的需求依然存在，这加剧了人才与技能之间的差距。

Watkins在RSA大会上与Living Security的产品副总裁MattAlderman交谈时表示，如果缺乏合适的技能或足够的安全专业人员，企业应考虑管理检测与响应（MDR）。MDR在近年来得到了发展。

最初，MDR着重于端点检测与响应（EDR）以及基本的修复和遏制能力，但随之而来的问题是如何处理所有触发的警报。身份识别也成为攻击者的另一个关注点，主要通过电子邮件进行。

“你会意识到，仅仅覆盖端点已不足够，”Watkins说道。这促使了管理扩展检测与响应（MXDR）的出现，它将端点外的附加信号整合进来，例如身份、邮件及来自SIEM的第三方信号，以便获得对攻击方法的更整体视角。

如何区分MXDR供应商与 MSSPs

Watkins将MSSP称为一种“传统”的方法，其提供的“最小增值”主要是24/7支持和警报升级，但并未主动追捕攻击者。他表示：“他们并没有真正处理所收集的数据。”

“回到今天，数据泄露的成本几乎超过了不合规的成本，”他观察到。因此，信息安全官(CISO)的思维方式发生了变化，他们需要MSSP提供更多的服务。MSSP的角色主要集中在控制台、防火墙和补丁管理上，而MDR则在网络威胁防范方面做得更多。

他补充道，一些MSSP确实在进行MDR工作，但“区分线”将始终是：你是管理设备或技术，还是在缓解和防止网络风险？

“任何检测与响应的措施都是被动的，”他说。“阻止泄露更具前瞻性。”

现在有了向左迁移的趋势，以加强安全态势。例如，Critical Start会验证其监视的所有产品的配置——"垃圾进，垃圾出，”Watkins说。

选择MDR服务供应商时要考虑哪些因素

在选择MDR供应商时，有多个考虑因素。Watkins指出，首先要考虑技术和战略方面的一致性。你要确保MDR系统能够支持你已经在使用的技术。

“他们在警报解决中的风险缓解水平是关键，”他说。CriticalStart看到的一个重要差异是服务水平协议（SLA）。有时使用的一个类似术语是服务水平目标（SLO），这意味着供应商会尽力进行缓解，但并没有合同义务来履行这一责任，也不会因为未能做到而受到惩罚。

“这是相当危险的，”Watkins说道。

他指出，这引发了对谁来决定什么是关键、高、中或低警报的讨论。因此，组织应该真正关注其MDR供应商解决了什么，解决的时间周期，以及他们是否会遏制威胁，或者只是建议进行遏制。

作者：Esther Shein