MDR 盲點：關鍵警報為何仍被忽略，以及這對 CISO 造成的損失

託管偵測與回應 (MDR) 的承諾很明確：24/7 專家監控組織的安全態勢，減輕建立和配備內部安全運營中心 (SOC) 的巨大負擔。然而，一個令人擔憂的事件模式已經出現，揭示即使對 MDR 進行了大量投資，關鍵警報仍被錯過，導致多日入侵並帶來嚴重後果。這不是一個孤立的缺陷；這是一個源於現代威脅環境的龐大數量和複雜性所帶來的系統性挑戰。

發生了什麼

重複出現的場景驚人地一致：一個組織與 MDR 供應商簽訂合同，以獲取全面的威脅偵測和回應服務。初始攻擊開始，並在安全基礎設施內生成警報。然而，這些關鍵警報（表明入侵的早期階段或持續活動）卻未被升級、被降級優先級，或者根本未經審查。攻擊者不受阻礙地繼續他們的行動數天，有時甚至數週，直到入侵最終被偵測到，這往往是由外部方或通過災難性影響發現的。這種模式突顯了 MDR 服務預期的 24/7 警惕性方面的關鍵差距。

一些分析表明，在大型企業中，很大一部分警報可能未經審查。這表明一個重大的潛在問題——海量的安全遙測數據甚至可以壓倒複雜的人工操作。當旨在發出入侵信號的警報持續被忽略時，整個偵測和回應框架的效能將受到嚴重損害。

為什麼這種模式不斷重複

錯過警報，特別是那些導致多日入侵的警報，這種現象主要歸因於警報疲勞。這不僅僅是人的問題；這是一個架構問題。警報疲勞是由幾個相互關聯的因素引起的。首先是工具蔓延：組織通常部署多種安全工具，每個工具都會生成自己的警報流，並且通常帶有重疊或矛盾的信息。這產生了一連串的通知，安全分析師必須對其進行篩選。

其次是未經過濾的遙測數據和警報：許多系統配置為廣撒網，捕獲大量數據而沒有足夠的預處理或優先級排序。這導致大量低保真警報淹沒了真正關鍵的信號。此外，高誤報率使問題更加複雜，合法的系統行為被標記為可疑，進一步降低了分析師對實際威脅的敏感度。人為因素雖然至關重要，但在面對無法管理的通知隊列時可能會成為瓶頸，導致錯過關鍵警報和延遲事件回應。由於這種無情的壓力，安全分析師的倦怠和人員流失增加，進一步加劇了問題。

攻擊者的逐步策略

攻擊者敏銳地意識到這些漏洞，並系統地利用它們。他們的策略通常始於初始訪問，利用網絡釣魚、未修補的漏洞或被盜用的憑證。一旦進入內部，他們會緩慢而謹慎地移動。他們的初始行動——偵察、權限提升或建立持久性——可能會生成少量或模棱兩可的警報，這些警報單獨來看並不會發出「入侵」的尖叫。然而，這些看似無害的警報，當它們被關聯起來時，會描繪出更清晰的惡意意圖圖景。

由於知道很大一部分警報可能未經審查，攻擊者可以相當自信地操作，他們的初始探測和橫向移動可能不會觸發即時、高優先級的人工回應。他們利用警報生成和審查之間的延遲，利用這個窗口來加深他們的立足點，逐步竊取數據，或者為更具影響力的階段做準備，例如勒索軟件部署。多日入侵並非偶然；這通常是攻擊者耐心地駕馭許多企業安全環境中固有的噪音和警報過載的結果。

防禦者錯過了什麼

防禦者，或者更確切地說，他們所依賴的 MDR 服務，往往見樹不見林。主要的失敗不一定是缺乏偵測技術，而是缺乏有效的優先級排序和關聯。單個警報可能存在於系統中，但由於警報疲勞而負擔過重的人工分析師要麼忽略它們，要麼誤解它們的綜合重要性。這導致錯過關鍵警報，進而延遲事件回應。這裡的危險是深遠的：延遲回應可以成倍地增加入侵的損害和成本，將一個受控事件變成一場全面危機。

核心問題在於無法在大規模和高速的情況下始終區分良性噪音和真正的威脅指標。雖然 MDR 結合了偵測技術、威脅情報和人工分析師，但人為因素可能會被巨大的數量壓垮。重點往往停留在對單個警報的被動分析，而不是主動尋找可能持續數天或數週的惡意活動的微妙、相關模式。這使得攻擊者能夠在較長時間內保持隱秘並實現其目標。

大量的安全警報，通常未經優先級排序且誤報率高，無意中為耐心的攻擊者創造了戰略優勢，將 MDR 的 24/7 承諾在實踐中轉變為延遲反應。

實用的防禦清單

為減輕錯過警報和多日入侵的風險，CISO 和安全工程師應實施多管齊下的策略：

• 優化警報閾值和規則： 持續審查和微調安全工具配置，以減少誤報並提高警報的訊噪比。專注於高保真的入侵指標。
• 實施強大的警報優先級框架： 開發並執行清晰、自動化的優先級方案，根據上下文、資產關鍵性和威脅情報升級真正關鍵的警報。
• 整合和集成安全遙測數據： 致力於實現安全數據的統一視圖，將來自各種工具的警報整合到中央 SIEM 或數據湖中，以實現跨平台關聯。
• 定期測試 MDR 效能： 進行定期、現實的滲透測試和紅隊演練，專門設計用於觸發警報並評估 MDR 供應商的偵測和回應能力。
• 專注於行為分析： 超越基於簽名的偵測，利用行為分析來識別異常的用戶或系統活動，這些活動可能表明存在高級威脅，即使警報量很小。
• 增強威脅狩獵能力： 通過主動、人工主導的威脅狩獵來補充自動偵測，以發現可能逃脫自動系統的微妙入侵指標。
• 與 MDR 建立清晰的溝通協議： 為警報審查和回應定義嚴格的服務水平協議 (SLA)，確保關鍵事件的快速升級路徑和持續改進的清晰反饋循環。

現代攻擊性測試本可以如何發現這一點

警報錯失的持續問題突顯了對安全控制進行主動驗證的關鍵需求。這正是現代攻擊性測試，特別是帶有可執行概念驗證 (PoC) 的自主攻擊性測試變得不可或缺的原因。傳統的滲透測試雖然有價值，但只提供了一個時間點的快照。需要的是持續、適應性強的測試，以反映真實世界的攻擊者方法。

執行帶有可執行 PoC 的自主攻擊性測試的平台可以直接解決這個問題。它們不僅僅是模擬攻擊，而是針對組織的防禦（包括其 MDR 服務）執行真實世界的攻擊技術。這種持續驗證過程將生成攻擊者通常會觸發的警報。通過觀察 MDR 供應商是否在可接受的時間範圍內偵測、優先處理並對這些由可執行 PoC 生成的警報採取行動，組織可以實時了解潛在的盲點。這種方法有效地壓力測試了整個偵測和回應鏈，在真正的對手利用這些弱點之前，識別出警報被錯過或處理不當的地方。

接下來要關注什麼

網絡安全環境正在迅速發展，攻擊者和防禦者都在擁抱人工智能。這場軍備競賽無疑將影響 MDR 服務。最近行業討論強調了「隨著攻擊者和防禦者擁抱人工智能，重新思考 MDR」的必要性。隨著人工智能工具在攻擊和防禦中變得越來越普遍，警報的數量和複雜性只會增加。MDR 供應商已經在整合人工智能支持以增強其能力，但篩選大量數據並識別真正威脅的基本挑戰仍然存在。

CISO 應密切關注 MDR 供應商如何整合人工智能，不僅用於警報生成，還用於智能警報關聯、優先級排序和自動初始回應。有效的 MDR 的未來可能取決於其利用人工智能消除噪音的能力，使人工分析師能夠專注於最關鍵、高保真的威脅。通過自主攻擊性測試進行持續驗證將變得更加重要，以確保這些不斷發展的人工智能驅動的防禦措施在同樣不斷發展的威脅環境中真正有效。