近年来，多云市场一直在经历着惊人的增长。根据IDC的数据，到2022年，90%的企业可能会依靠多种公有云、企业内部、专用私有云和传统平台的组合来满足他们的基础设施需求。新冠疫情大流行进一步加速了这一趋势，因为多云模式为企业提供了灵活性和可扩展性，使其得以继续实施基于消费的业务模式，并轻松适应动态业务需求。

由于多云生态系统涉及多家云服务供应商及多种应用程序和系统，且缺乏对主机、服务及非兼容性配置信息的可见性，其安全性问题势必将更加复杂。多云环境的威胁情势是高度动态的，因此，传统的托管检测和响应（MDR）服务无法提供端到端安全性。

以下是使用传统MDR会损害组织安全状况的五个原因。

• 可见性不足：传统的MDR解决方案在监控多云设置的日志方面有局限性，并且由于缺乏API和日志可访问性，无法提供托管资源和服务的全部可见性。
• 复杂性：传统的安全信息和事件管理（SIEM）涉及多个组件，如收集、存储和分析组件等，该等组件对服务器配置要求较高，且需予以及时修补和更新。这无疑会使安全团队难以集中精力来实时检测威胁。
• 人才匮乏：由于威胁环境的动态本质，网络安全专业知识和技术正得以快速演进。如何利用熟练劳动力来跟进最新的网络威胁信息，并配置MDR解决方案，以检测高级威胁，正成为摆在我们面前的一个巨大挑战。
• 云兼容性不足：传统MDR解决方案需利用不同的组件、服务器和第三方解决方案来实现基于AI和ML技术主动监控用户行为的新功能。该等解决方案还缺乏可用于摄取基于云和SaaS（软件即服务）的服务事件的连接器。
• 响应分散：传统MDR更重视检测，响应能力则非常有限。事故响应和补救过程较为耗时，需对安全运营中心（SOC）专家进行不同级别的验证。传统MDR解决方案自动化程度不高，且缺乏协调性，无法加速事件响应。

为提高网络弹性，下一代MDR解决方案须能监控多个数据源，以确保提前发现事件并预防潜在攻击。

下一代MDR基本构成要素

• 覆盖范围：下一代MDR解决方案须能确保对来自公共和私有云以及内部服务器的数据和日志源的端到端可见性，以使解析需求最小化。覆盖范围经扩展后，该解决方案须能将所有安全产品和源自从内部部署或公共云的关键数据源集成在一起，且应可实现与基础设施即服务（IaaS）、平台即服务（PaaS）、软件即服务（SaaS）应用程序、IoT和操作转换（OT）环境之间基于事件的简单集成。
• 合规性：企业需在数据保留（在线和离线数据可用性）、数据驻留和数据访问等方面遵守监管要求。应制定适用于客户所在区域的MDR云原生解决方案，并确保其可为数据保留和访问的合规性提供支持。
• 构成：除功能丰富和简单直观外，MDR解决方案还应可快速运行且易于部署。该方案应能整合与威胁检测、威胁捕获和数据可视化等相关的开箱即用内容。
• 能力：MDR解决方案须能实时处理数据，且可对任何泄露或可能性破坏或攻击发出警报。除基于签名的检测外，该解决方案还应能通过基于AI和ML技术的行为监控来识别偏差。协调和自动化技术可帮助MDR团队更快地解决安全问题，并节省时间来关注风险和威胁。

在数字世界中，所有组织都面临着日益严峻的威胁情势。采用以上四个核心原则可帮助组织构建强大的MDR解决方案。该解决方案可利用AI、分析和ML等技术来改进威胁检测、捕获，并进行全天候（24X7）的监控。该等技术允许采用基于行为的检测方式，并可在组织安全防御方面化被动为主动，进而改善组织安全态势。