笔者在上一篇文章《趋势 | 2022年网络安全5大创新服务》中谈到MSS和MDR这两项网络安全创新服务后，收到了一些读者的后台留言，咨询MSS（托管安全服务）和MDR（托管检测与响应）有什么区别。基于这个问题，本文将重点解读MSS和MDR的联系与差异，以及企业应该如何选择适合自己的方案等问题。

关于中国托管安全服务的整体发展情况，国际权威研究机构IDC咨询发布的《IDC MarketScape 中国托管安全服务市场厂商评估，2021》报告指出：在政策、市场需求的推动下，中国网络安全服务市场正快速发展。其中，上云后的安全托管需求和远程设备托管的需求，以及智慧城市场景下的安全运营需求直接推动了中国托管安全服务市场规模的快速增长。基于更高质量的安全服务诉求，各个企业开始将托管安全服务MSS和托管检测与响应MDR纳入考虑范围。

MSS与MDR的联系及区别

MSS与MDR作为安全服务领域的热门方向，两者既有联系也有区别。

1、什么是MSS？

MSS是将安全服务外包给安全服务商，这些服务商具有专业的安全工具和人才，通过对企业的安全工具和流程加以监督和管理，保证企业的安全态势处于可接受范围。托管安全服务提供商可以在内部或通过云远程使用该服务。

Gartner对MSS的定义是：

• 以共享服务模式提供IT安全功能的远程监测与管理；
• 通过远程安全运营中心（SOC）提供24/7安全服务，而非驻场人员的线下一对一服务；
• 通过检测企业的安全工具及日志，发现威胁并做出告警。

MSS除了帮助企业减少需要雇用、培训和保留的运营安全人员数量以节省成本之外，还可以让企业获得他们不具备的深厚经验和同类最佳技术，常见服务除了对安全设备和系统的外包监控和管理，还包括托管防火墙、入侵检测、虚拟专用网络、漏洞扫描和抗病毒服务。

2、什么是MDR？

MDR通常可以看作“Advanced MSS（进阶版MSS）”，Gartner将其描述为通过7x24小时全天候不间断的监控和覆盖，建立起快速威胁检测与有效响应的服务。绝大多数MDR服务是通过主机层与网络层的技术，生成、收集安全事件以及上下文数据，支持威胁检测与事件分析。

^{图1. MDR服务流程}

MDR服务一般包含以下功能：

• 威胁狩猎：威胁狩猎力图在威胁访问关键数据之前发现威胁；
• 威胁情报：情报是了解攻击者及其攻击方式的关键。安全团队通过威胁情报可以更好地了解特定的攻击者及其常用的战术、技术和流程 (TTP)，从而更有效地防御威胁；
• 威胁响应：MDR服务提供商能够代表客户采取有针对性的行动来消除威胁。有效的MDR不仅可以在威胁潜伏时提供补救措施，还可以在攻击者发起攻击时提供事件响应措施；
• 全覆盖范围：24/7/365持续服务，分析师可以在白天或晚上的任何时间做出响应；
• 专业知识：MDR不仅提供基于用户安全工具产生的日志的检测服务，还提供专业的安全人员对相关事件进行快速调查和响应；
• 实时可见性：MDR产品需要精细的实时端点可见性来捕捉和阻止攻击者。

MDR服务不仅限于更强的检测和响应能力，它还可以为不堪重负的安全团队提供主动防御情报和高级威胁洞察。企业还可以使用MDR服务来应对合规挑战，因为它提供有关各种法规和标准的完整报告和日志保留。

3、MSS与MDR的区别

虽然MDR和MSS都有助于企业的安全建设，但它们的功能有一些关键差异会影响管理层的决定。

^{表1. MDR与MSS的关键差异}

基于上表，MDR和MSS之间的主要区别如下：

• MSS侧重于预防。MSS解决方案通常包括防火墙、Web网关、入侵防御系统和许多其他防病毒工具，可将威胁排除在网络之外。MDR服务专注于检测、响应和威胁追踪全流程，而不仅仅是安全警报监控。
• MDR由安全专家驱动。MDR服务拥有一支随时待命的24/7全球安全运营中心(SOC)的网络安全专业人员团队，专注于检测和响应，并能够主动监控用户网络并在需要时采取行动。MSS更多地依赖自动化来监控网络，并且通常不会进行网络安全的响应，只会通知用户存在威胁。
• MDR提供了更多取证工具。MSS具有基本级别的安全取证，足以满足中小型公司的需求，但MDR通常包含可以揭示隐藏在网络最黑暗角落的问题的取证工具。
• MDR服务依赖于更直接的通信，例如与分析师的语音或电子邮件，而不是门户。MSS主要界面是门户和电子邮件，具有辅助聊天和电话访问分析师的权限。
• MSS更便宜。由于MSS提供的服务没有大多数MDR解决方案深入，因此它们的价格通常较低。

^{图2. MDR与MSS在功能上的差别}

总体上看，MSS的服务宽且浅，MDR的服务窄且深，两者之间最大的区别在于，MSS服务在发现威胁或告警的时候，会通知企业自行处置，而MDR则会利用自身的技术去完成对威胁的检测，帮助企业完成响应和处置的工作。不过，随着托管安全服务的发展，这两种服务之间的界限越来越模糊，MSS和MDR服务还可以互相配合，MSS发现异常后交给MDR做深入分析和响应，很多MSS厂商也开始提供MDR服务。

企业如何选择适合的方案？

由于公司有不同的需求和不同水平的现有安全专业知识和解决方案，MDR与MSS的决定可能很困难。这里有一些提示可以帮助企业权衡选项，并选择最佳解决方案以实现想要的结果。

1、哪些企业适合MSS

MSS包含范围广泛的服务，涉及网络安全的许多方面，但仅限于安全能力较高的企业。例如，他们可能专注于一组活动或事情，例如Web内容过滤、修补系统、管理防火墙设置等。但是，这些事情不需要深厚的安全专业知识，也不会提供检测和响应。当MSS能够利用和集成第三方工具进行安全管理和响应时，企业一般能够借此实现安全目标。

如果企业面临以下情况，仍应考虑使用此解决方案：

• 本身具备较高水平的安全能力。MSS的服务重点在于对威胁的检测和监控，MSS的部署方式中，需要企业提供自己的技术，从而识别关键事件来源，将日志转发到中央采集设备。
• 拥有对安全事件做出快速响应的能力。MSS侧重于依靠企业现有的安全工具生成的日志对威胁进行告警，但不会自动对威胁做出处置，需要企业在接到警报后自行处理响应的警报。
• 公司内拥有管理安全工具的技能。每个MSSP都有自己特定的产品工具包，专注于安全管理与监控，将端口作为与客户之间的通信连接接口，进行高度自动化的交互，整体侧重于接收受托管设备的告警与失陷指标。

2、哪些企业适合MDR

MDR服务利用尖端的安全工具和最新的全球数据库，为大多数企业在有限预算、技能水平和资源的成本效益下提供更高技能水平的分析师。因此，有助于企业跟上不断发展的技术的步伐。具体来说，MDR服务主要适用于这四类企业：

• 检测与响应能力较弱，MDR就是企业主要的安全能力。团队中没有或有极少的安全专家，一般安全工作都由IT运维兼职。公司倾向于在防护上投入更多的技术，比如多功能防火墙、终端保护平台等，传统的7/24时监控或安全运营已无法支撑其响应能力。
• 已经在检测技术上进行投入，但无法建立起内部团队或流程能力，来支撑企业安全运营目标的企业。此类企业可以通过MDR服务支持与补充检测技术能力。
• 想升级当前的外包网络安全工具以覆盖24/7监控和智能响应，但企业资源有限。通过MDR服务，企业能够在安全分析、事件响应等不同环节的能力得到弥补。
• 有维持高水平安全性的法规要求。企业不仅能通过MDR来提高威胁检测与响应能力，还能使用它来应对合规挑战，MDR提供有关各种法规和标准的完整利益相关者报告和日志保留。

MSS、MDR能为企业带来完整的安全防护能力与更快的安全事件响应速度。对于中小企业来说，MSS、MDR之类的托管型安全服务不仅提供了可负担的优质安全防护水平，还解决了他们在安全建设方面预算不足的问题，因为这些用户很难像大企业一样建设按照自身业务贴身定制的安全体系，难以支付高水平安全人才的培养与维持费用，因此必须采购通用的安全防护产品与服务。

托管式安全服务在国内的探索与实践

虽然托管式安全服务在国内被归为安全服务领域的新兴赛道，但实际上，它并不是一个新概念。在欧美等市场，托管式安全服务起源于90年代末互联网刚兴起之时，威胁的加剧，迫使企业寻找能够快速拓展安全能力的解决方案。而托管式安全服务让企业能够利用安全厂商在云端构建的SOC（安全运营中心），快速扩展自身的安全能力，实现预期的安全效果。经过二十多年的发展，如今的托管安全服务在国外早已成为保障各类型企业网络安全的重要手段。

在国内，托管安全服务的发展受到种种因素的制约，其发展虽然相对落后于欧美等国家，但对国内的安全厂商来说，它也不是一个全新的概念。

近几年，陆续有安全厂商提出了“托管式安全服务”的概念，通过建立云端SOC为不同地区的客户提供“本地+远程”的一体化安全服务，把传统一对一驻场的服务模式转变为“安全即服务”的SaaS交付模式，将全天候的在线实时策略更新和以服务形式交付的安全能力覆盖企业安全工作的核心场景，比如日常安全运营、实战攻防运营、等保合规运营等等，通过持续监控、线上线下专家支持、机器学习和人工智能分析、自动化监测与响应，让本身缺乏技术或人员的中小企业也能拥有业内TOP级的安全能力，帮助企业实现安全投资效益最大化。

^{图3. 青藤安全服务体系}

青藤云安全作为国内典型的技术创新型安全厂商，在开创了国内主机安全领域先河的基础上，不断探索安全服务创新模式。新落地的MDR服务不仅能为企业提供合适的安全工具，更重要的是利用行业专家知识和经验，采用产品+服务的模式进一步提高中小企业的安全防护水平，促使中小企业可以最大程度地把有限的资源和时间投入到关键业务中，从而有效提高生产力。

青藤安全服务团队由一批深耕网络安全攻防一线的专家组成，具有深厚的红队评估、渗透测试、主机安全运营、XDR深度检测分析、威胁狩猎分析、重保服务经验。

七年来，累计支持国家级、省级重保项目100+；为客户提供应急响应服务500+；为企业提供安全服务1000+；运营漏洞40000+。并在建党100周年、进博会、全运会、大型攻防实战演习等重保项目中成绩突出，持续为政府、金融、国央企等行业提供贯穿信息系统完整生命周期的安全保障。

广东省建党100周年网络安保活动“优秀技术支撑单位”

2021年西安全运会安保活动

2021年广交会安保活动

2021CNCERT外设漏洞挖掘比赛第一

2021年中国外汇交易中心重保安全攻防演练第一名

2021广东“粤盾-2021”网络安全攻防演练三等奖

广东省2020网络安全攻防演练优秀支撑单位

……

青藤安全服务

新技术•新安全•新服务