Gartner发布中国MDR托管检测和响应服务市场指南：中国不同类型的机构对MDR的需求对比

中国企业正越来越多地受益于提供现代安全运营中心功能的托管检测和响应服务。中国首席信息官和安全领导者应利用这项研究来了解中国的托管检测和响应市场及其动态。

主要发现

根据 CYBERSECURITY REVIEWS 的《2023 年中国网络安全运营市场研究报告》，超过 97%的中国组织没有资源和能力来构建完全内部的安全运营中心 (SOC )。传统上，他们依赖托管安全服务 (MSS)，该服务提供定制化，但通常需要比托管检测和响应( MDR) 服务更长的实施时间和更高的成本。
中国的商业环境、法规和文化差异影响MDR服务的要求，例如所使用的国内技术、现场交付偏好以及服务提供商对中国威胁形势的理解。
越来越多的中国 MDR 买家要求供应商将其产品扩展到威胁检测和调查与响应 (TDIR) 之外，包括风险暴露管理和云计算覆盖。
国内部分MDR服务商在营销中以采用新技术作为卖点，但采用新技术并不一定能保证优质的服务。

建议

当现有的内部安全运营能力缺失或需要增强时，使用 MDR 服务可获得全天候、远程交付、自动化增强和人工主导的安全运营能力。
优先考虑能够熟练使用中文、了解中国机构的常见结构和内部流程、熟悉中国法规和技术环境的MDR服务提供商。
计划在提供 TDIR 的基础上使用 MDR 服务。根据组织的要求仅购买所需的相关服务，以避免过度投资。
详细定义您最需要的交付成果。通过预期结果而不是供应商采用的新技术来评估服务效果。

战略规划假设

到2028 年，被调查的中国 MDR 提供商中 50% 将集中于威胁暴露，或包含有关威胁暴露的详细信息，而目前这一比例仅为 10%。

市场定义

Gartner 将托管检测和响应 (MDR) 服务定义为为客户提供远程交付的安全运营中心 (SOC) 功能的服务。这些功能允许组织通过威胁破坏和遏制来执行快速检测、分析、调查和响应。它们使用预定义的技术堆栈提供交钥匙体验，该堆栈通常涵盖终端、网络、日志和云。使用一系列技术在提供商的平台内分析遥测数据。然后，MDR 提供商的分析师团队执行威胁狩猎和事件管理，以向其客户提供建议的行动。

MDR 提供结果驱动的安全事件管理，该管理以对潜在有影响的安全事件的检测、分析和调查以及采取主动威胁破坏和遏制行动以应对和减轻网络漏洞的影响为前提。

必备能力

该市场必须具备的能力包括：

远程交付、提供商托管和运营的共享技术堆栈，用于实现和协调实时威胁检测、调查和主动缓解响应。该技术堆栈可以由 MDR 提供商开发，也可以是使用现代技术（如 API）交换数据和指令的一套集成商业技术。此功能也可以通过两种方法的组合来实现。
全天候工作人员可识别特定于客户的网络风险用例，每天处理单个客户数据，并具备威胁监控、检测和狩猎、威胁情报 (TI) 和远程响应方面的技能和专业知识。
除告警和通知之外，还可以立即采取远程缓解响应、调查和遏制活动（如隔离主机），这些活动由服务提供商的工作人员提供和协调，并由最终用户预先批准。

标准功能

该市场的标准能力包括：

交钥匙交付，具有预定义和预调整的流程以及定期更新的检测内容。它包括工作流程、程序和分析的标准剧本，需要一组最低限度可行的监控来提供服务，并提供与供应商拥有的技术之外的第三方检测和响应技术的集成。
对所有发现的威胁进行分类、调查和管理响应，无论其优先级如何，并提供“事件单” ，其中包括攻击的可能目标、成功程度、对业务的影响以及客户必须采取的补救措施。发现和调查过程所花费的时间和数量不得有任何限制。

可选功能

该市场的可选功能包括：

其他上下文数据源提供安全暴露的详细信息，例如漏洞、攻击面可见性以及品牌和声誉分析，以及安全评估和验证功能，例如入侵和攻击模拟 (BAS)，可分析安全控制和响应过程的有效性，并为客户提供如何改善防御态势和修复配置错误的安全控制的指导。
数字取证和事件响应(DFIR)保留功能可调用远程或可部署人员进行深入事件和根本原因分析。
事件管理功能可跟踪、衡量并建议响应工作流程中涉及的补救措施的改进和自动化机会。
假设驱动的威胁狩猎，客户能够识别特定的威胁狩猎目标，以确定是否是威胁行为者所为。重点将放在感兴趣的用户或已知特权数据已进入公共流通的地方。此功能与威胁狩猎不同，威胁狩猎是 MDR 的一部分，用于搜寻已知的威胁技术。
监控覆盖身份和电子邮件/协作工具以及物联网 (IoT) 和运营技术 ( OT) 设备监控、云服务，特别是来自一系列常见身份和访问管理( IAM ) 提供商的 SaaS 和身份数据。

市场描述

MDR 服务从客户专用网络和基于云的基础设施中的各种设备和安全工具收集监控数据。安全分析师全天候监控安全数据和告警，通过检测异常行为和已知策略、技术和程序来识别安全威胁。MDR 服务还应能够在适当的情况下代表客户执行自动或手动遏制或补救措施，支持客户采取建议的补救措施。

在中国市场，MDR 服务具有一些独特的特点，因为本地买家可以提出定制要求和特定限制：

灵活的交付模式：许多 MDR 买家，尤其是大型组织，已经具备一定的安全运营基础。他们希望能够灵活地选择交付模式，无论是利用现有的技术堆栈还是选择现场交付。集中式全天候监控和分析始终由 MDR 服务提供商完成，并且在大多数情况下是远程完成。
大多数供应商提供一系列服务并提供深入分析：各种相邻服务可供选择，通常与核心 MDR 服务合作。在中国，围绕暴露评估、网络安全验证和事件响应的相邻服务非常普遍。
能够管理复杂的环境并整合报告：拥有复杂 IT 基础设施环境的中国企业需要一个集中视图，用于安全管理和监管报告。根据 2024 年 Gartner CIO 和技术高管调查的中国受访者，42% 的受访者已经部署了分布式云（全球所有受访者的比例为 35%），18% 的受访者将在未来 12 个月内部署（全球所有受访者的比例为 13%）。MDR 服务提供商监控和处理不同环境中的安全事件并生成整合报告的能力是一个重要的区别因素。

市场方向

MDR 服务在中国企业的安全运营中扮演着越来越重要的角色。当企业面临安全预算紧张的困境时，MDR 服务是一种非常有效的方法，可以确保企业在不购买大量安全工具的情况下仍能抵御威胁。

不同类型的中国企业对MDR服务的需求有所不同，如表1所示。

表1 ：中国企业类型 MDR 服务需求

组织类型	要求
缺乏足够的安全资源、技能和技术部署的中小型企业	快速交付基本监控和响应功能帮助满足法规和标准（如等保2.0）的安全基线通过标准流程响应安全事件
安全成熟度较低的大型组织	提高安全监控的效率和效果提供知识和能力以完善其流程并形成完整的“预防、检测、响应和预测”机制
具有高安全成熟度的大型组织	整合并简化大量安全工具中的安全数据，以更快地检测威胁优先保护最有价值的资产通过自动化增强响应和缓解能力

来源：Gartner

过去，全套交钥匙和远程 MDR 服务在中国尚未得到广泛接受，尤其是对于大型组织而言。在过去两年中，越来越多的MDR 服务被设计为以远程交付、共享模式提供“开箱即用”的运营效率，尽量减少定制化，便于使用。买家应关注服务是否以标准和快速部署的方式提供 MDR 的核心功能。

随着中国企业采取更加积极主动的安全运营方式，本地 MDR 市场也出现了新的领域，例如威胁狩猎和暴露管理：

建立威胁狩猎实践：威胁狩猎通过搜寻逃避现有安全控制的入侵迹象和潜在威胁，提供了额外的防御层。尽管威胁狩猎是 MDR 的核心能力之一，但中国 MDR 服务提供商过去并未将其纳入服务范围或作为需要改进的能力。现在，越来越多的买家意识到威胁狩猎纳入常规 MDR 服务的采购范围，并评估服务提供商在这方面的能力。
扩展到风险暴露管理，超越传统的漏洞分析：组织不断发展的 IT 环境使所有潜在风险的识别和管理变得复杂。风险暴露管理功能有助于通过提高对攻击面的认识、在客户环境、用户帐户和云应用程序中有效地确定风险暴露优先级以及进行真正的风险验证来防止攻击。
与中国其他较为成熟的安全服务类型（例如安全风险评估、认证、红队测试）相比，MDR 服务市场仍在发展中。中国有多家供应商提供 MDR 服务（截至本研究估计有 60 多家供应商）。这些供应商可归纳为三类：
专业提供商：专注于 MDR 市场机会并致力于提供检测和响应服务的提供商。
扩展 MDR 提供商：提供检测和响应以及更广泛的 IT 安全特定服务的提供商。
MSS 提供商：MDR 服务也可通过一般 MSS 获得，其中 MDR 是托管技术、安全和风险管理服务或咨询的更大目录的一部分。

市场分析

利用中国的 MDR 服务弥补安全运营差距

对于缺乏资源和能力建立完全内部 SOC 的组织来说，MDR 服务提供了一个极具吸引力的替代方案。根据目前的观察，中国组织（极少数大型组织除外）没有专门的事件响应团队以及先进的威胁情报和威胁狩猎技能。通过与 MDR 提供商合作，各种规模的组织都可以从熟练的安全专业人员提供的专业知识、技术和全天候监控中受益。这种获取专业知识的途径具有成本效益，并消除了招聘、培训和留任的负担。

此外，MDR 服务还为组织提供了根据其特定需求扩展安全运营的灵活性。随着业务需求的变化或安全预算的波动，组织可以轻松调整所需的 MDR 服务级别。这种可扩展性可确保组织能够保持最佳安全态势，而不受内部资源限制的约束。MDR 服务可以根据组织独特的行业、合规性要求和风险状况进行定制，提供定制的综合安全解决方案。

威胁和安全事件响应是中国 MDR 服务改进的关键领域。MDR买家应优先考虑了解其业务重点、提供补救措施并能帮助遏制威胁和从事件中恢复的服务提供商。最终，CIO 应该意识到，最终责任始终在于其组织，不能外包。即使内部员工短缺，组织也应该至少有一名正式授权的内部员工作为 MDR 服务提供商、业务部门、IT 部门和其他 IT 服务提供商之间的桥梁。组织应确定哪些场景（事件级别、缓解措施类型、影响等）可以由 MDR 服务提供商代表其内部安全运营团队处理。在此之后，他们可以在职责和所需系统的访问权限方面全面正式地授权 MDR 服务提供商。组织还可以建立一些简单的批准和启动机制，并在日常运营中保持更高的灵活性。这需要更成熟的事件处理流程。

中国大多数安全托管安全服务提供商 (MSSP) 提供托管安全服务已有数年。虽然这些服务可以提供定制输出，但它们通常需要更长的时间来实施，成本更高，并且需要买家在范围和发展方面提供更多指导。买家必须彻底评估这些服务，以确保它们符合他们的需求和期望。此评估将帮助买家确定这些服务是否真正提供了真正的 MDR 产品所期望的全面和主动的威胁检测、调查和响应能力。图 1 突出显示了中国MSS P 提供的 MDR 和托管 SOC 之间的差异。

图 1：中国 MDR 与 MSSP 管理的 SOC 对比

优先考虑具有本地经验和了解中国商业环境的MDR 供应商

中国的商业环境、法规和文化差异对 MDR 服务提出了特定的挑战和要求。为了确保有效实施并满足当地需求，流利的中文交流、熟悉中国组织的常见结构和内部流程以及遵守当地法规是 MDR 买家需要考虑的重要因素。

语言和文化理解在组织与 MDR 服务提供商之间的有效协作和沟通中发挥着重要作用。中国组织应优先考虑能够说流利中文的 MDR 服务提供商，以确保清晰高效的沟通。这对于理解特定的安全要求、协调事件响应和有效缓解威胁至关重要。语言障碍会阻碍及时准确的信息交换，从而可能影响事件响应时间和整体安全效率。

在中国市场，买家完全有能力实现定制化需求。尽管共享平台上的交钥匙技术堆栈是 MDR 服务的一个关键特性，但中国许多组织都希望 MDR 服务提供商采用组织现有的安全技术堆栈。然而，组织需要了解额外的定制化和灵活性是否包含在服务费中，还是需要额外收费。

为了确保成功的合作，MDR 买家应与潜在服务提供商进行详细讨论，以了解他们的能力、服务交付模式以及他们可以提供的支持水平。MDR 买家应继续探索满足组织需求的弹性、灵活、远程 MDR 服务。

中国的监管环境是另一个需要考虑的重要方面。遵守当地法规对于避免法律和运营风险至关重要。对中国法规有透彻了解的 MDR 服务提供商可以帮助组织应对复杂的合规环境。他们可以确保 MDR 服务符合监管要求，例如数据隐私和日志留存。这确保组织可以放心地利用 MDR 服务，而不会损害其合规义务。

在 MDR 选择中平衡核心需求和相邻服务

中国客户受到国家政府和行业监管机构的更严格监督，而且国内威胁形势和数字化轨迹也有所不同。因此，买家越来越要求 MDR 服务产品能够超越传统的 TDIR 功能，扩展到与风险暴露管理相关的其他服务，例如资产发现、风险暴露评估和验证。虽然这种服务扩展可以为组织的安全态势提供有价值的见解，但对于 MDR 买家来说，重要的是要战略性地规划其参与并避免过度投资。

MDR 买家应优先选择在主动威胁检测、高效调查安全事件和及时响应以减轻潜在威胁方面表现出色的服务提供商。随着组织在安全运营方面的成熟，他们可能会发现将 MDR 参与扩展到包括风险管理服务很有价值。这些服务可以帮助识别漏洞、评估资产的安全状况并验证现有安全控制的有效性。通过了解潜在的弱点和风险，组织可以主动解决这些问题并加强其整体安全防御。表 2 是中国市场常见 MDR 服务项目的示例。

表2 ：MDR 服务项目示例

类型	服务项目
核心 MDR 服务	24/7 监控事件检测事件调查事件遏制威胁情报威胁狩猎
邻近服务	暴露评估 o 资产发现和库存维护 o 漏洞评估 o 不可修补的安全问题发现和评估 o 曝光优先级对抗性暴露验证 o 红队 o 渗透测试即服务（PTaaS） o 入侵和攻击模拟 ( BAS ) 事件响应 o 取证 o 事故根本原因分析 o 补救措施

类型

服务项目

核心 MDR 服务

24/7 监控
事件检测
事件调查
事件遏制
威胁情报
威胁狩猎

邻近服务

暴露评估

o 资产发现和库存维护

o 漏洞评估

o 不可修补的安全问题发现和评估

o 曝光优先级

对抗性暴露验证

o 红队

o 渗透测试即服务（PTaaS）

o 入侵和攻击模拟 ( BAS )

事件响应

o 取证

o 事故根本原因分析

o 补救措施

来源：Gartner

当组织选择 MDR 服务时，由于所使用的术语不同以及每个供应商独特的营销语言，他们对服务的看法不同是可以理解的。为了避免过度投资，MDR 买家应仔细评估其组织的具体要求，并优先考虑必要的相关服务，而不要对可能不直接相关或无益的服务进行不必要的支出。

MDR 买家应评估服务提供商在 TDIR 和相邻服务方面的专业知识和能力。MDR买家应寻找提供灵活服务包的提供商，以便他们根据业务需求和预算限制扩展或减少相邻服务。

对于拥有复杂技术环境的组织，重要的是检查 MDR 服务是否能够提供不仅仅是监控不同环境的功能，还能全面了解数据中心、云和运营技术 (OT)/物联网 (IoT) 环境。MDR买家应调查服务提供商整合和收集不同环境数据的能力，以及有效关联数据以提供跨所有环境的整体可见性和威胁检测的能力。

最大限度地发挥中国MDR服务的成果

新技术炒作正在影响中国的网络安全市场。第一波网络安全生成式人工智能推广中，超过三分之一与安全运营活动有关。宣传的功能范围从基本的交互式帮助提示到威胁检测和事件响应。然而，值得注意的是，威胁检测、告警分类和事件响应的完全自动化是许多 TDIR 计划的理想目标。MDR 服务提供商采用这些技术并不能保证服务质量或效率的提高。

MDR 买家不应仅仅评估供应商对新技术的采用，而应根据其定义的交付成果来评估服务效果。目前在中国，尚无针对市场普遍需求的通用MDR 服务评估标准。因此，MDR 买家主要依靠品牌认知、通用安全认证和同行经验。组织很难在采购和服务交付过程中量化 MDR 服务的质量和交付结果。

目前，中国市场上不少MDR服务提供商已经开始主动提供服务水平协议（SLA ）建议，但目前多数SLA指标都以时间作为唯一衡量标准，例如平均检测时间（MTTD）和平均遏制/响应时间（MTTC/R）。这些SLA很重要，但如果只使用它们也有弊端。MDR买家应考虑诸多因素，例如供应商及时检测和应对威胁的能力、威胁识别的准确性、事件调查和响应的效率，以及对降低组织风险敞口的总体影响。一种好的做法是使用结果驱动指标（ODM）将MDR服务交付与SOC目标并最终与业务目标相联系。

代表供应商

表3 ：代表性供应商

服务商	服务名称	总部
360	MSS托管安全运营服务	北京
埃森哲（中国）	托管安全服务	上海
阿里云	安全管理家服务	杭州
安天	常态化安全运营服务	哈尔滨
亚信安全	MSS托管安全运营	南京
源讯 (中国)	MSS安全托管服务	北京
凯捷（中国）	安全运营中心服务	上海
云纷科技	托管检测和请求	上海
安恒信息	安全托管运营服务	杭州
德勤（中国）	MSS安全托管服务	上海
迪普科技	威胁检测与服务	杭州
新华三	威胁检测与服务	北京
华为	安全云服务	深圳
绿盟科技	一体化安全运营服务	北京
普华永道（中国）	安全托管服务	上海
奇安信	安全托管服务	北京
日志易	安全托管运营服务	深圳
深信服科技	托管检测与请求服务	深圳
腾讯安全	安全托管服务	深圳
微步在线	托管检测与请求服务	北京
天融信	安全运营服务	北京
新钛云服	安全运营服务	上海
启明星辰	安全托管业务	北京

来源：Gartner（2024 年 7 月）

市场建议

通过确定组织是否会受益于 MDR 内部和外部的服务功能组合（包括共同管理、SOC 即服务参与或内部 DIY 方法）来定义安全投资路线图。
制定并执行自己的内部事件响应政策和程序，以确保能够获得 MDR 服务的全部价值。建立并不断微调 MDR 服务提供商与其内部团队之间的协作模型，以进行事件报告、处理和补救。
优先考虑能够说流利中文的MDR服务提供商，以便进行有效沟通并了解中国用户的需求。
验证 MDR 提供商是否符合中国合规性要求。重点关注中国的 MDR 提供商或使用符合数据驻留要求的数据收集架构的提供商。任何 MDR 服务可能都需要单独的日志留存，以确保符合监管要求。
评估 MDR 服务时，不是根据品牌或新技术的采用，而是根据组织的独特需求，然后从服务菜单中选择可以增强或增强 SOC 功能的服务。
在采购 MDR 服务之前，通过审查现有技术投资、内部能力和合规限制，为组织定义最合适的服务模式。
在评估 MDR 服务交付时，应结合业务背景和定量指标。在与提供商合作之前，定义特定所需输出（事件单结构、报告）和解决已定义用例的目标。