MDR盲区：为何关键警报仍被忽略，以及这对CISO的代价是什么

托管检测与响应（MDR）的承诺是明确的：对组织的安全态势进行24/7的专家监控，从而减轻构建和配置内部安全运营中心（SOC）的巨大负担。然而，一个令人担忧的事件模式已经浮出水面，揭示即使对MDR进行了大量投资，关键警报仍被遗漏，导致多日入侵并带来严重后果。这并非孤立的缺陷；它是一个系统性挑战，根源在于现代威胁环境的巨大数量和复杂性。

发生了什么

反复出现的场景惊人地一致：一个组织与MDR提供商签订合同，以获得全面的威胁检测和响应。最初的攻击开始，在安全基础设施内生成警报。然而，这些关键警报（指示妥协的早期阶段或持续活动）要么未被上报，要么被降级，要么干脆未被审查。攻击者不受阻碍地继续他们的操作，持续数天，有时数周，直到入侵最终被检测到，通常是由外部方或通过灾难性影响。这种模式突显了MDR服务预期24/7警惕性方面的一个关键差距。

一些分析表明，在大型企业中，很大一部分警报可能未被审查。这表明存在一个重大的潜在问题——安全遥测数据洪流，即使是复杂的人工操作也会不堪重负。当旨在发出入侵信号的警报被持续忽视时，整个检测和响应框架的效力就会受到严重损害。

为什么这种模式会不断重复

警报遗漏现象，特别是那些导致多日入侵的警报，主要归因于警报疲劳。这不仅仅是人的问题；它是一个架构问题。警报疲劳产生于几个相互关联的因素。首先是工具蔓延：组织通常部署大量安全工具，每个工具都生成自己的警报流，并且通常信息重叠或相互矛盾。这造成了安全分析师必须筛选的通知噪音。

其次是未经筛选的遥测数据和警报：许多系统被配置为撒下大网，捕获大量数据，而没有进行足够的预处理或优先级排序。这导致大量低保真警报淹没了真正关键的信号。更糟糕的是高误报率，合法的系统行为被标记为可疑，进一步降低了分析师对实际威胁的敏感度。当面对无法管理的通知队列时，作为关键环节的人为因素可能成为瓶颈，导致关键警报遗漏和事件响应延迟。由于这种无情的压力，安全分析师的倦怠和离职率增加，进一步加剧了问题。

攻击者的操作手册（分步）

攻击者敏锐地意识到这些漏洞，并系统地加以利用。他们的操作手册通常从初始访问开始，利用网络钓鱼、未打补丁的漏洞或被盗用的凭据。一旦进入内部，他们会缓慢而有意识地行动。他们的初始行动——侦察、权限提升或建立持久性——可能会产生少量或模糊的警报，这些警报单独来看并不会大声喊出“入侵”。然而，当这些看似无害的警报被关联起来时，会描绘出更清晰的恶意意图。

攻击者知道很大一部分警报可能未被审查，因此他们可以在一定程度上自信地操作，即他们的初步探测和横向移动可能不会触发即时、高优先级的人工响应。他们利用警报生成和审查之间的延迟，利用这个窗口来加深立足点，逐步窃取数据，或为更具影响力的阶段（例如勒索软件部署）做准备。多日入侵并非偶然；它通常是攻击者耐心驾驭许多企业安全环境中固有的噪音和警报过载的结果。

防御者错过了什么

防御者，或者更确切地说，他们所依赖的MDR服务，常常只见树木不见森林。主要的失败不一定是缺乏检测技术，而是缺乏有效的优先级排序和关联。单个警报可能存在于系统中，但受警报疲劳困扰的人工分析师要么忽视它们，要么误解了它们的聚合意义。这导致了关键警报的遗漏，从而导致事件响应的延迟。这里的危险是深远的：延迟的响应会成倍地增加入侵的损害和成本，将一个受控事件变成一场全面的危机。

核心问题在于无法大规模、快速地持续区分良性噪音和真正的威胁指标。虽然MDR结合了检测技术、威胁情报和人工分析师，但人为因素可能会被巨大的工作量所压垮。重点往往停留在对单个警报的被动分析，而不是主动寻找可能持续数天或数周的微妙、关联的恶意活动模式。这使得攻击者能够长时间保持隐蔽并实现其目标。

大量的安全警报，通常未经优先排序且误报率高，无意中为耐心的攻击者创造了战略优势，将MDR的24/7承诺在实践中变成了延迟反应。

实用的防御清单

为了降低警报遗漏和多日入侵的风险，CISO和安全工程师应实施多管齐下的策略：

• 优化警报阈值和规则： 持续审查和微调安全工具配置，以减少误报并提高警报的信噪比。重点关注高保真度的入侵指标。
• 实施强大的警报优先级框架： 开发并执行清晰、自动化的优先级方案，根据上下文、资产关键性和威胁情报升级真正关键的警报。
• 整合和集成安全遥测数据： 努力实现安全数据的统一视图，将来自各种工具的警报集成到中央SIEM或数据湖中，以实现跨平台关联。
• 定期测试MDR效力： 定期进行真实渗透测试和红队演习，专门设计用于触发警报并评估MDR提供商的检测和响应能力。
• 关注行为分析： 超越基于签名的检测，利用行为分析来识别异常的用户或系统活动，即使是少量警报也能指示高级威胁。
• 增强威胁搜寻能力： 用主动的、人工主导的威胁搜寻来补充自动化检测，以发现可能逃脱自动化系统的微妙入侵指标。
• 与MDR建立清晰的沟通协议： 为警报审查和响应定义严格的SLA，确保关键事件的快速升级路径和持续改进的清晰反馈循环。

现代攻击性测试如何能发现这一点

警报遗漏的持续问题凸显了对安全控制进行主动验证的关键需求。这就是现代攻击性测试，特别是使用可执行概念验证（PoC）的自主攻击性测试变得不可或缺的地方。传统的渗透测试虽然有价值，但提供的是瞬时快照。我们需要的是持续的、适应性的测试，能够反映真实的攻击者方法。

使用可执行PoC进行自主攻击性测试的平台可以直接解决这个问题。它们不仅仅是模拟攻击，而是针对组织防御（包括其MDR服务）执行真实世界的攻击技术。这种持续的验证过程将生成攻击者通常会触发的警报。通过观察这些由可执行PoC生成的警报是否在可接受的时间范围内被MDR提供商检测、优先排序和采取行动，组织可以实时了解潜在的盲点。这种方法有效地对整个检测和响应链进行了压力测试，在真正的对手利用这些弱点之前，识别出警报被遗漏或处理不当的地方。

接下来关注什么

网络安全格局正在迅速演变，攻击者和防御者都在拥抱人工智能。这场军备竞赛无疑将影响MDR服务。业界最近的讨论强调了“在攻击者和防御者拥抱人工智能时重新思考MDR”的必要性。随着人工智能驱动的工具在攻击和防御中变得越来越普遍，警报的数量和复杂性只会增加。MDR提供商已经在整合人工智能支持以增强其能力，但筛选大量数据并识别真实威胁的基本挑战仍然存在。

CISO应密切关注MDR提供商如何整合人工智能，不仅用于警报生成，还用于智能警报关联、优先级排序和自动初始响应。未来有效的MDR可能取决于其利用人工智能消除噪音的能力，从而使人工分析师能够专注于最关键、高保真度的威胁。通过自主攻击性测试进行持续验证将变得更加关键，以确保这些不断发展的人工智能驱动的防御措施能够真正有效地对抗同样不断演变的威胁格局。