託管式偵測與回應(Managed Detection and Response, MDR),是由專業的資安團隊提供深度與廣度兼具的代管服務,有效協助企業妥善保護其系統環境和機密資訊。對於想要建立資安監控中心,卻無法聘請到專業資安人員的企業是很好的選擇。
然而,如同《企業端點完美防禦》19說到,自從EDR、MDR後,開始冒出許多廠商,然而有些廠商的功力就是有警報則提醒客戶、沒有警報則不提醒,沒有分析遙測資料與逆向工程的能力,更沒有強大的威脅情資做後盾,能夠做的調查有限,也就很難偵測、並阻止APT攻擊。
卡巴斯基託管式偵測與回應可與卡巴斯基端點防護、以及opentip的回報連動,在訂閱進階版的情況下,如果系統管理員第一時間發現異常,也可以請原廠安全中心協助調查;卡巴斯基安全中心的人員有能力找出隱藏的威脅,並由端點防護阻止威脅擴散。
需要注意,如果卡巴斯基管理主控台的端點防護設定,勾選「當KSN代理伺服器不可用時使用卡巴斯基安全網路伺服器」時,就算電腦不在公司內,遙測資料也會直接傳到KSN。
有些人會質疑卡巴斯基的遙測資料放在俄羅斯會不會有問題?在AV-Comparative的透明度測試中,卡巴斯基獲得4.5顆星,並在世界各地建立透明中心;天天指責中國、俄羅斯不透明的美國,如微軟、趨勢科技只獲得1顆星。做技術我們必須排除意識型態,以客觀的數據挑選方案。
當上面的設定完成以後,就可以在首頁看到所有資料。
台灣買到的是進階版,如果自行發現公司內部可疑活動可以建立案件與卡巴斯基分析師溝通,可以說英文或俄文;每個月也會發送兩個公司內的重大資安事件供管理員檢視。
事件面板可以管理需要處理、以及結案事件。上半部是偵測時間、有問題的電腦、對應到的MITRE ATT&CK攻擊矩陣,下半部是被感染的路徑,以及建議方法,若有需要,可以點選溝通與卡巴斯基安全團隊溝通進行深入調查。
有時如果有卡巴斯基遺漏的樣本,也可以上傳到opentip後再和他們說明你的發現,確認沒問題會加入病毒碼。樣本來源:https://app.any.run/tasks/ef7033a0-e78b-425a-bcc0-2872bf46e417/
