主動式 vs 被動式 MDR：5 個關鍵差異決定資安成敗？

為什麼討論「主動式 vs 被動式 MDR」時，回應速度才是核心？

多數企業在評估 MDR（Managed Detection and Response）服務時，常會問：

• 有沒有 24 小時監控？

• 能不能偵測勒索軟體？

• 報告做得夠不夠完整？

但真正決定資安成敗的關鍵，其實只有一個：

你多久發現攻擊？

根據多家資安研究機構統計，攻擊者從入侵到擴散，平均潛伏時間（Dwell Time）可能長達數天甚至數週。這段時間，企業往往毫無察覺。

這也是為什麼「主動式 vs 被動式 MDR」的差異，本質上不是功能多寡，而是——

多數企業不是不知道被攻擊，而是發現得太晚

讓我們看看幾個知名企業的實際案例。

案例一：Equifax 資料外洩事件（2017）

美國徵信公司 Equifax 遭駭客入侵，影響超過 1.47 億人個資。事後調查顯示：

• 攻擊者早在 5 月就成功入侵

• 直到 7 月才被發現

• 中間潛伏時間超過 70 天

這 70 天內，駭客持續橫向移動與資料竊取。

如果企業能在早期異常階段即時發現，是否能避免這麼大規模的外洩？這正是「主動式 vs 被動式 MDR」討論的核心問題。

案例二：Colonial Pipeline 勒索事件（2021）

美國最大燃油管線營運商 Colonial Pipeline 因勒索軟體攻擊，導致：

• 美國東岸燃油供應中斷

• 停機數日

• 支付約 440 萬美元贖金

事件關鍵在於：

• 攻擊發生於週末

• 初期未即時偵測

• 系統被迫全面關閉

如果有即時 SOC 監控與主動式威脅分析，是否能在加密前就阻斷？

這些案例都說明：

停機 1 小時的營運成本有多高？

許多企業直到發生資安事件後，才真正計算停機成本。

以下為常見產業平均估算：

（依據多家國際顧問公司公開資料整理）

當回應時間從 30 分鐘延長到 6 小時，損失可能呈倍數成長。

因此，在評估「主動式 vs 被動式 MDR」時，企業應該問的是：

主動式 vs 被動式 MDR 的第一個差異：威脅偵測時間（Detection Time）

偵測時間，是整場資安戰役的起點。

如果偵測延遲，後續所有回應都會慢半拍。

被動式 MDR 的偵測邏輯

被動式 MDR 通常依賴：

• 已知攻擊特徵碼（Signature）

• 日誌分析

• 事件通報後人工檢查

也就是說：

這種模式在傳統病毒時代有效，但在 AI 攻擊與變種勒索軟體環境下，往往已經落後。

主動式 MDR 的偵測機制

主動式 MDR 則強調：

• 24/7 SOC 即時監控

• 行為異常分析（Behavior Analytics）

• 威脅情資整合

• AI 模型預測

例如：

• 帳號異常登入時間

• 橫向移動行為

• 異常流量暴增

• 檔案批量加密行為

這些都能在攻擊尚未造成重大破壞前被偵測。

AI 行為分析如何縮短偵測時間？

在「主動式 vs 被動式 MDR」比較中，AI 是近年最大變化因素。

AI 能做到：

1. 即時關聯數百萬筆日誌

2. 建立正常行為基準線

3. 偵測微小異常偏移

4. 自動標記高風險事件

例如：

當員工帳號突然在凌晨 3 點大量下載資料，AI 系統可立即標記為異常。

傳統被動式監控可能只記錄下來，等待隔天人工審查。

偵測時間差異比較表

主動式 vs 被動式 MDR 的第二個差異：通報與升級流程（Escalation Time）

偵測只是第一步，真正決定損失的是——

案例三：Target 資料外洩事件（2013）

美國零售商 Target 遭駭客入侵，影響 4,000 萬張信用卡資料。

調查顯示：

• 監控系統早已發出警告

• 但未即時升級處理

• 最終導致大規模資料外洩

這說明：

即使有偵測，如果通報流程緩慢，仍然無法避免災難。

被動式 MDR 的通報模式

通常流程如下：

1. 系統記錄異常

2. 排程人工分析

3. 發送報告

4. 等待企業 IT 團隊回應

這樣的流程，在非上班時間可能延遲數小時甚至隔天。

主動式 MDR 的即時升級機制

主動式 MDR 通常具備：

• 即時高風險告警

• 自動分級處理

• 自動封鎖或隔離端點

• 緊急通報專線

這裡會整合 SOAR（Security Orchestration Automation and Response）平台。

AI 可自動判斷風險等級並執行：

• 停用帳號

• 隔離感染電腦

• 阻斷可疑 IP

MTTA（平均回應時間）比較

當勒索軟體開始加密時，你還有多少時間？

根據多份資安報告：

• 勒索軟體從啟動到大量加密，可能只需 15–30 分鐘

• 部分變種甚至低於 10 分鐘

如果回應流程超過 1 小時，通常已經太晚。

這也是為什麼「主動式 vs 被動式 MDR」在現代企業環境中差距越來越明顯。

主動式 vs 被動式 MDR 的第3個差異：處置時間（Response Time）

即使偵測與通報即時，若處置緩慢，損失仍會擴大。

事件發生後的黃金 60 分鐘

資安界常稱為：

在這段時間內：

• 是否能隔離受感染設備

• 是否能阻止橫向移動

• 是否能保留鑑識證據

都會影響最終損失。

被動式 MDR 是否只提供報告？

許多被動式 MDR 服務僅提供：

• 事件報告

• 攻擊分析

• 建議改善措施

但不一定包含：

• 即時端點隔離

• 帳號停用

• 自動阻斷

企業仍需自行操作。

主動式 MDR 的處置能力

主動式 MDR 可：

• 即時封鎖異常帳號

• 隔離端點

• 切斷網路連線

• 保留證據進行鑑識

並搭配 AI 威脅模型判斷是否為誤報。

案例四：Maersk 勒索攻擊（NotPetya，2017）

全球航運巨頭 Maersk 因 NotPetya 攻擊：

• IT 系統全面停擺

• 全球港口作業受影響

• 損失超過 3 億美元

攻擊初期即快速橫向擴散。

若能在早期隔離感染端點，損失是否可降低？

這再次回到主題：

主動式 vs 被動式 MDR 的第4個差異：橫向移動阻斷能力

在討論「主動式 vs 被動式 MDR」時，很多企業只關注「是否會被駭」。但真正造成巨大損失的，往往不是第一台電腦被入侵，而是——

什麼是橫向移動？

橫向移動指的是駭客在取得一個端點或帳號後：

• 嘗試存取其他主機

• 取得更高權限

• 存取資料庫

• 控制核心系統

攻擊者通常會：

1. 掃描內部網路

2. 嘗試共享憑證

3. 提權（Privilege Escalation）

4. 橫向滲透

這個過程可能只需數十分鐘到數小時。

案例五：Sony Pictures 攻擊事件（2014）

Sony Pictures 在 2014 年遭駭客入侵，導致：

• 內部機密文件外洩

• 尚未上映電影被公開

• 員工個資曝光

調查指出：

• 攻擊者並非一開始就掌握所有系統

• 而是在內部長時間橫向移動

如果當時能在第一時間阻斷橫向連線，損害規模可能截然不同。

被動式 MDR 對橫向移動的限制

被動式 MDR 通常：

• 依賴已知攻擊特徵

• 針對明確惡意行為才告警

• 不一定主動監測內部流量異常

因此，攻擊者可能：

• 使用合法帳號

• 模擬正常員工行為

• 慢速滲透避免被察覺

主動式 MDR 如何提前阻斷橫向移動？

主動式 MDR 結合：

• AI 行為分析（UEBA）

• 零信任模型（Zero Trust）

• 威脅情資整合

• 即時端點隔離

例如：

• 員工帳號突然嘗試存取未曾接觸的資料庫

• 伺服器間出現異常 RDP 連線

• 權限變更次數異常增加

AI 能即時比對基準線，發現微小偏移。

橫向移動阻斷能力比較表

主動式 vs 被動式 MDR 的第5個差異：假日與深夜的風險

資安攻擊有一個明顯特徵：

原因很簡單——

• IT 團隊人力不足

• 回應流程緩慢

• 管理層不在現場

案例六：Garmin 勒索事件（2020）

Garmin 在 2020 年遭勒索軟體攻擊，導致：

• 服務全球停擺數日

• 使用者無法同步資料

• 客服全面癱瘓

攻擊發生於週末期間。

若具備 24/7 即時監控與主動阻斷能力，是否能降低停機時間？

被動式 MDR 的夜間限制

部分被動式 MDR：

• 非全天候人工監控

• 夜間僅記錄事件

• 等待隔天人工審查

這樣的模式，在現代 24 小時營運環境中風險極高。

主動式 MDR 的 24/7 SOC 與 AI 自動化

主動式 MDR 通常具備：

• 全天候安全營運中心（SOC）

• AI 自動判斷與處置

• 即時通知與升級

即使在凌晨：

• 可自動隔離感染設備

• 可暫停異常帳號

• 可封鎖惡意 IP

這種分鐘級反應能力，是「主動式 vs 被動式 MDR」差異的核心。

AI 趨勢下，主動式 vs 被動式 MDR 正在發生什麼變化？

近年資安攻擊進入「AI 對抗 AI」時代。

AI 攻擊正在成為主流

現代攻擊已使用：

• AI 生成釣魚郵件

• 自動化掃描弱點

• 動態變種勒索軟體

• 自動化滲透工具

這代表：

AI 防禦的核心能力

主動式 MDR 結合 AI 可：

1. 即時關聯數億筆事件

2. 建立行為模型

3. 預測潛在攻擊路徑

4. 自動化處置流程

例如：

當系統偵測到一組帳號權限異常升高，AI 可：

• 分析是否與歷史行為一致

• 判斷是否為潛在提權攻擊

• 即時啟動阻斷流程

傳統被動監控是否會被淘汰？

未必完全淘汰，但會逐漸：

• 僅作為基礎層防護

• 無法應對進階攻擊

• 需要與 AI 系統整合

因此在未來 3–5 年內：

企業該如何評估：你的組織能承受多長回應時間？

在評估「主動式 vs 被動式 MDR」前，企業應先問自己：

停機成本計算公式

停機成本 =(每小時營收損失) + (員工閒置成本) + (品牌信任損失) + (法律風險)

例如：

若電商公司每小時營收 300 萬台幣，停機 5 小時＝ 1,500 萬直接營收損失。

若回應時間差距為 30 分鐘 vs 6 小時，損失可能相差數千萬。

主動式 vs 被動式 MDR 比較總整理（回應速度版）

選擇 MDR 時，你應該問供應商的 7 個問題

1. 是否提供 24/7 SOC？

2. 平均 MTTR 是多少？

3. 是否整合 AI 行為分析？

4. 是否可自動隔離端點？

5. 是否提供完整鑑識報告？

6. 是否整合威脅情資？

7. 是否協助事後復原？

這些問題，比價格更重要。

總結：主動式 vs 被動式 MDR 的真正差異在於「時間」

如果用一句話總結：

在 AI 攻擊快速演進的今天，分鐘級反應能力，正在成為企業標準配備。

企業如何透過專業資安服務縮短回應時間？

在實務上，單靠內部 IT 團隊往往難以建立即時監控體系。

透過整合式資安服務，可以：

• 建立即時威脅偵測與回應機制（EDR / MDR）

• 透過滲透測試發現潛在弱點

• 進行弱點掃描與持續修補

• 強化源碼掃描，降低應用層風險

WeWinCloud 雲端科技提供：

• EDR / MDR

• 滲透測試

• 弱點掃描

• 源碼掃描

協助企業從預防、偵測到回應，全面提升資安韌性，在關鍵時刻縮短回應時間，降低營運風險。