利用MDR防止业务中断并构建网络弹性
鉴于导致业务停滞的事件带来的严重财务和声誉风险,组织需要优先考虑预防优先的网络安全策略。
威胁态势日益严峻
威胁行为者正处于活跃期。他们优化了供应链,由于降低了新兴网络犯罪分子门槛的预制服务,他们的队伍正在壮大。他们正在使用AI工具来提高社会工程、侦察、漏洞利用和其他工作的成功率,这最终使对手比以往任何时候都更容易发起攻击活动。他们更快、更有组织,更难阻止。
另一方面,由于长期的技能短缺和不断扩大的攻击面,防御者捉襟见肘,处于不利地位。许多人可能承认,在某种程度上,数据泄露是不可避免的。但要在造成任何损害之前迅速做出反应以阻止对手,往往超出了他们的能力范围。这已将托管检测与响应(MDR)推到了许多IT领导者优先事项列表的首位。
业务中断的危害及影响
数字革命改变了大多数组织的工作方式——使流程更高效、改善协作、增强决策能力,并减少人为辛劳和错误。得益于AI,这一趋势仍在继续。一项2024年的研究声称,生成式AI可以将编码员的生产力提高26%。
但对IT的依赖越大,遭受网络攻击的风险就越高。最严重的攻击通常涉及数据盗窃和/或勒索,可能导致重大中断。勒索软件是最明显的例子:通过加密关键数据,威胁行为者有效地使目标组织的运营陷入停滞。
即使对手未能加密所有内容,您的IT团队通常也不得不拔掉插头以遏制任何威胁的蔓延。随后将是一个漫长的清理和重建、测试和重新引入服务的过程——持续数天、数周甚至数月。
简而言之,严重的安全漏洞可能扰乱在线销售和其他面向客户的服务、车间生产流程、整个组织的员工生产力,甚至整个供应链。根据IBM的《2025年数据泄露成本报告》,在过去一年中遭受数据泄露的组织中,有86%经历了这种运营中断。
停机时间的影响
数据盗窃成为头条新闻,但运营停机也常常造成深重创伤,并附带可能巨大的账单。需要考虑销售损失和生产力的影响,以及法律和通知成本,还有通常数额巨大的恢复费用。例如,根据英国NHS的数据,WannaCry(WannaCryptor)勒索蠕虫活动造成的9200万英镑(1.24亿美元)损失中,78%用于恢复数据和系统的IT支持。在更近的例子中,玛莎百货(Marks & Spencer)可能因业务中断面临3亿英镑(4.03亿美元)的利润损失。
更难以量化的是长时间中断可能造成的长期声誉损害。如果客户因此转向竞争对手,则需要考虑两种成本:这些客户带来的销售损失和新客户获取成本。
今年早些时候英国零售商玛莎百货(M&S)发生的一次重大勒索软件泄露事件,估计使该公司损失了3亿英镑(4.03亿美元)的营业利润,并导致在线服务中断。但目前尚不清楚这是否会导致销售长期损失。
快速的MDR响应
所有这些都有助于解释为什么MDR日益被视为现代风险管理战略的基石——有助于保护收入、声誉以及不间断运营的能力。检测、遏制和响应的速度从未如此重要。正如IBM在其报告中指出的,泄露生命周期越短,威胁行为者能造成的损害(部署勒索软件或窃取数据)就越小,因此最终成本也越低。
构建主动弹性
当然,速度并非区分顶级MDR服务与其他的唯一方式。您还应寻找的其他相关要素包括24/7监控,以确保无论威胁行为者位于世界何处,都能阻止他们。通常,对手会在公共假期或周末发动攻击,以便趁内部IT团队不备。例如,M&S和Co-op的攻击就是在英国复活节银行假日长周末开始的。
由于攻击者总是在寻找新的方法潜入企业网络而不触发警报,威胁狩猎能力也变得越来越重要。通过主动搜索可能未触发警报的威胁,MDR团队可以确保坏人无法抢先一步。
IBM计算得出,威胁狩猎可以使典型数据泄露成本减少超过193,000美元。有效的威胁情报(通常由威胁狩猎团队运用以更好地理解对手行为)可以节省更多(212,000美元)。面对由AI驱动的勒索软件和其他此类恶意软件的前景进一步提高了风险,使得主动、自适应的安全策略对每个组织都成为绝对必要。
高质量的MDR服务还自动化跟踪和报告,以改善合规性并持续增强网络弹性,同时收集可用于预防未来类似泄露的信息。例如,取证数据可以输入漏洞和补丁管理解决方案,以构建前瞻性弹性。在这里速度至关重要,因为威胁行为者经常尝试多次攻击同一组织。
预防优先的安全始于此处
业务中断对某些组织来说可能是一个生存问题。诸如Travelex货币兑换公司等勒索软件受害者在严重事件后已进入管理程序,而包括National Public Data和KNP在内的其他公司则被迫完全关闭。幸运的是,此类情况相对罕见,但它们确实凸显了其中的利害关系。MDR有助于最大限度地减少这种情况发生在您组织上的可能性,并且实际上最好将其视为对业务连续性的投资。
总而言之,您的最佳防御是包含最佳实践防御措施(如终端和扩展检测与响应、补丁管理、身份管理等)以及网络安全专业人员团队专业知识的整体安全策略。并非所有MDR解决方案都是相同的,因此货比三家是值得的。