8 trends transforming the MDR market today
Feature
Jul 18, 2025 • 8 mins • Incident Response, Intrusion Detection Software, Managed IT Services
技能缺口、监管压力增加和数字转型仅是推动蓬勃发展的托管检测与响应(MDR)市场增长的几个因素。
托管检测与响应(MDR)市场正迎来关键时刻。
随着传统日志收集和关联工具难以跟上形势,且24×7人员覆盖始终是一项挑战,由专业安全提供商提供的MDR正成为越来越多组织确保有效防护的有吸引力选择。
根据Precedence Research的数据,全球MDR市场在2024年收入达29.5亿美元,预计到2034年将增至123亿美元——复合年增长率为15.3%。
市场情报公司Context认为,MDR是端点保护市场中增长最快的细分领域,同比增长率达34.4%。
在此,托管服务提供商、行业分析师和安全顾问揭示了推动当前及未来增长的关键网络安全趋势。
技能缺口刺激对外包专业知识的需求增长
安全专家和行业观察者表示,全球熟练网络安全专业人员的短缺正成为托管安全解决方案(包括MDR)的主要驱动力。
“企业确实难以建立内部安全运营中心(SOC),即使建成,保留人才也更加困难,”Context全球研究与发展总监Joe Turner告诉CSO。“因此,检测和响应越来越多地外包给MDR提供商。”
托管安全服务和事件响应公司CSIS的安全分析总监Simon Jonker指出:“构建自己的MDR/SOC能力非常昂贵,雇佣专家覆盖夜班并不吸引人,且要维持24/7运营,至少需要六到八人。运行[检测和响应]所需的专家应具备多样化的知识库和经验——仅雇佣应届毕业生无法实现。”
渗透测试和事件响应公司Sygnia的Velocity MDR副总裁Ori Naishtein对此表示同意。“有效的威胁监控需要高技能团队,能够开发和调整检测规则,并保持24/7警惕——这两点对许多组织来说都是重大的运营挑战,”他说。
数字转型使攻击面复杂化
专家表示,随着企业现代化其IT环境,保护混合和云原生基础设施的复杂性增加,使MDR成为可扩展、专家主导防护的有吸引力选择。
向混合工作模式的转变、物联网采用率增加以及云迁移的加速显著扩大了攻击面,而勒索软件和AI驱动的攻击不断要求更快、更智能的响应。
技术分销商Westcon-Comstor的EMEA网络安全和下一代解决方案解决方案架构总监Geert Busse表示:“数字转型正在扩大攻击面,云采用正在加速,网络威胁变得更加复杂和无情。”
Sygnia的Naishtein指出,虽然并非所有组织都将增加的网络安全风险与MDR采用增长直接关联,但那些“经历过重大漏洞的组织更可能优先考虑持续监控和快速响应能力”。
法规合规推动小型组织转向MDR
满足法规要求是一个主要关切点,尤其对高度监管行业的组织而言。“许多组织难以独立实现合规,并将MDR视为实用解决方案,”Naishtein说。
GDPR和CCPA等法规要求组织快速检测和报告漏洞——推动甚至中小型企业将MDR作为成本效益高的解决方案。
“监管压力正在增加,NIS2等框架要求更快的检测和响应能力,”Westcon-Comstor的Busse说。
Context报告称,MDR领域最大的增长见于11-50许可证包(增长67%)和1-10许可证包(增长52%),这些套餐仅适用于小型企业。
MDR + 零信任 + XDR推动
MDR服务正日益与零信任架构和扩展检测与响应(XDR)平台集成,以提供更 cohesive 和主动的安全态势。
“许多供应商正将其服务与零信任原则对齐,意味着将身份和访问控制嵌入检测和响应工作流,”Context的Turner解释。“同时,MDR服务正越来越多地构建在或集成到XDR平台上。……目标是将端点、网络、身份和云遥测结合,以实现更快、更情境化的威胁响应。”
Sygnia的Naishtein认为,MDR对零信任架构的拥抱增加了“人为驱动的威胁检测和响应层”。
“虽然零信任专注于身份验证和合规,MDR通过主动监控绕过预防控制的威胁来增强此模型,”他说。
随着零信任要求持续验证和最小权限访问,以及XDR统一端点、网络和云的遥测,“MDR充当运营层,将这些框架变为现实——关联数据、实时检测威胁并协调快速响应,”Westcon-Comstor的Busse说。
转向云原生MDR解决方案
随着企业IT策略日益以云为中心,如今几乎所有托管检测和响应解决方案都设计为云原生并通过SaaS交付。
“大多数现代MDR产品为云构建,支持快速部署、可扩展性和集中管理,”Sygnia的Naishtein说。“本地MDR解决方案现在罕见,通常仅限于高度专业化或受监管环境。”
除了更快部署、更大可扩展性和实时威胁检测外,云原生MDR还支持与现代DevOps工作流和云原生工具的无缝集成,Context的Turner说。
“云优先MDR平台正成为许多企业的首选,因为这提供了可扩展性、更快部署以及与AWS、Azure和Google Cloud等云提供商的更平滑集成,”他说。“推动此转变的另一个因素是对 tailored 云中心工作负载和DevSecOps实践的MDR服务需求增长。”
TDIR兴起
在许多情况下,MDR使用XDR平台交付,供应商提供托管服务以最大化其技术价值。但威胁检测、调查和响应(TDIR)平台正日益成为趋势,这更自然地与MDR的使命对齐。
“与常基于端点检测的XDR不同,TDIR平台设计为集成整个安全堆栈,提供更广泛的可见性和响应能力,”Sygnia的Naishtein说。
AI集成增强MDR能力
AI和机器学习(ML)能力正日益嵌入MDR平台,以增强检测准确性和运营效率。
这些技术通过实时分析海量数据、识别模式并标记人类分析师可能遗漏的异常,实现更快、更准确的威胁检测。它们还通过基于风险和上下文优先处理事件来帮助减少警报疲劳。
网络安全服务提供商Bridewell的CTO Martin Riley表示:“机器学习的持续发展允许组织对SOC otherwise 会看到的噪声洪流应用过滤器和上下文。”
常见用例包括警报摘要和分类、自动化调查和关联,以及报告和事件优先处理。
这一切有助于减少误报数量,同时提高调查效率。
一些提供商还利用代理AI协助分析师进行决策和响应推荐——例如,执行遏制——或自动化常规任务。
“尽管有这些进步,人类专业知识仍然 essential,尤其在处理需要情境理解和判断的复杂或新颖攻击技术时,”Sygnia的Naishtein说。
市场整合标志向端到端防护的转变
与许多其他网络安全领域一样,MDR市场正经历 significant 整合,大型安全供应商和私募股权公司收购较小MDR提供商。
根据Context,此M&A活动反映了平台化的更广泛趋势,供应商寻求提供端到端防护,不仅涵盖端点,还包括网络、身份、云甚至运营技术环境。
过去一年中 notable 的MDR M&A活动包括:
- Arctic Wolf收购Cylance。2024年12月的1.6亿美元交易将先进AI/EDR技术添加到供应商现有MDR堆栈。
- WatchGuard收购ActZero。2025年1月的交易为ActZero的MDR服务扩展Watchguard的24/7运营和AI驱动分类铺平道路。
- Sophos收购Secureworks。2025年2月的8.49亿美元收购为Sophos带来2000个企业账户,并扩展其XDR和SIEM资产的MDR能力。
- Zscaler收购Red Canary。2025年5月宣布的6.75亿美元交易将Red Canary的MDR和威胁情报能力与Zscaler通过代理AI的零信任和SOC自动化结合。
- LevelBlue签署协议收购Trustwave。2025年7月初,LevelBlue(前AT&T Cybersecurity)签署 definitive 协议收购全球网络安全和托管检测与响应(MDR)服务提供商。待定收购将创建行业最大的纯 play MSSP,据LevelBlue称。