吳耿宏／中芯數據股份有限公司 CTO

2018 年立法院正式通過資通安全管理辦法，明確規範除平常具備的防禦性資安設備的建置，更必須背負通報與處理的責任。談到通報，必然要考慮到分析與評估受影響範圍，以及後續的改善方式。如何從偵測、分析，乃至於後續的所以事件處理，都可以一次到位。這就是現今我們一定要考量的資安防護策略。

當攻擊者成功躲過閘道端的設備，後續要進行處理就變得非常困難。

當建設到一定數量的資安防護設備後，考慮到管理與後續處理的效率，很多組織會開始導入 SIME 這種類型的方案，透過集中收集每個資安設備的紀錄，再加上 SIME 本身的關聯分析，以求可以做到集中管理與分析資安風險的目標，但，一旦發出對應的資安事件通報，關於後續協助處理的機制，大多需要依賴使用者自行處理。

Gartner 提出新的 MDR (Managed Detection and Response)，強調持續性的威脅偵測與監控機制，就是要改善傳統 MSS 服務的一些盲點，同時提供客戶完善的資安事件處理能力。讓使用者不需要對於排山倒海而來的大量警報疲於奔命。透過MDR服務提供偵測、分析及處理一次到位的服務方案。

為此我們要仔細反思，如何處理當內部可能已經遭到入侵時，我們如何快速的找出可能的潛在後門。傳統的事件處理，有著很大的缺陷，讓傳統事件處理方式無法成為被廣泛採用的一項服務，最主要的原因就是“人力”。透過人力處理的方式，導致這項服務費用非常高昂，所以最後往往只能在資安事件發生後才會使用？！

即時的自動化分析。持續性的威脅偵測與監控機制。

那麼如果可以擷取人力資安事件處理的優點，例如：一旦發現疑似惡意活動，就立刻發出警報，事件處理人員就可以立刻介入分析，發揮人力分析的優勢。這個過程只需要數十分鐘，就可以即刻阻斷後續的攻擊，搶在損失發生前，就完成資安事件的處置。這樣的概念其實就是 Gartner 為何要提出 MDR 這樣的市場報告，因為未來一定是需要這樣的資安服務才能更有效的防止損失造成。

中芯數據是國內目前唯一可提供，從偵測、分析、及包含後續處理的MDR廠商。服務內容可以提供在合約期限內不限次數的資安事件處理與報告，更可以協助客戶進行惡意程式分析，主要特色包含： 端點威脅即時檢測，持續性的檢測、監控及分析，資安事件回應及遠端處理。