企業資安 - 資安趨勢部落格

XDR 正夯，它與 SIEM 及所謂的「平台」又有何不同?

2019 年 08 月 16 日2019 年 08 月 18 日趨勢科技 TrendMicro

作者：Greg Young (趨勢科技網路資安副總裁)

在趨勢科技部落格這篇文章中對於端點偵測及回應 (EDR) 如何邁向全面偵測及回應(XDR) 有相當詳盡的闡述。簡單來說，作者 Jon Clay 認為 EDR 固然很棒，但若有辦法加入端點以外的資訊來源，那應該會更好。「 XDR 」一詞中的「X」泛指為了提供更廣泛、更可靠的偵測及回應所能涵蓋的所有來源。

這就是XDR與 EDR 截然不同之處。

聽到這裡，很多人的第一個反應可能是：「這聽起來怎麼跟資安事件管理系統 (SIEM) 以及平台很像，因為同樣都是將眾多來源的資訊集中彙整」。在此請容我稍微解釋一下兩者之間的差異，以及為何這些差異會帶來巨大、真實且實際的影響。

我們先從 SIEM 來看。很多人都會苛責 SIEM，但考慮到人們對它的要求，其實 SIEM 已經很棒。將數十種甚至數百種廠商的產品記錄檔蒐集在一起，然後試圖從中發掘資安線索，進而發出有意義的警示通知。不過 SIEM 的問題是涵蓋範圍很廣，但卻深度不足。它的資訊來源很多，但蒐集的資訊卻很有限。

SIEM 無法迫使特定類型的產品 (如端點防護平台) 提供超出通用、標準格式以外的進一步資訊。當端點防護平台新增了一些獨家的偵查能力時，SIEM 能妥善運用這些最新資料來源的情況和能力都相當有限。很重要的原因是，SIEM 並未內建回應機制，它只是一項偵測工具，如同一個未與自動灑水器相連的消防警報器。不過，SIEM 可涵蓋的產品與廠牌非常廣泛，因此 SIEM 不管在當下或未來都其自己的價值定位，無法被 XDR 所取代。其實，SIEM 若能搭配 XDR 來運用，會更彰顯其價值。

下圖是我心目中的 SIEM：

繼續閱讀

企業用戶觀點：利用 EDR 和 MDR 逮住躲在網路暗處的竊賊

2019 年 08 月 15 日2019 年 08 月 18 日趨勢科技 TrendMicro

作者：Ian Loe（NTUC Enterprise Co-operative Limited網路安全資深副總）

先進的網路罪犯經過長時間的鍥而不捨加上自身的聰明機智，正在跨過傳統的安全防禦來入侵機密資料。認識到這一點後，我們NTUC Enterprise一直在研究新的安全技術來協助解決這些日益嚴重的問題。我們確認的關鍵之一是需要更好地保護端點系統，並且提高對這些裝置狀況的能見度。

能見度再提升

因為集團內有超過2萬個端點（個人電腦和物聯網設備）需要防護，而且在不久的將來可能會成長到3萬個，我們意識到事件偵測及回應變得至關緊要。由於有了這些考量，我們需要一種能夠持續監控的解決方案（就像是監控攝影機）來識別惡意分子在進行的可疑活動。

進入了可以在端點系統記錄和儲存查詢、行為和事件的端點偵測及回應（EDR）技術。想像一下：監控攝影機會捕捉建築物每個角落及入口的活動。如果有人偷偷地破壞門鎖、關掉安全警報或侵害了商業財產，安全人員會從這些監控攝影機收到警報。

繼續閱讀

回顧歷年針對未修補系統的攻擊

2019 年 08 月 08 日2019 年 07 月 30 日趨勢科技 TrendMicro

網路犯罪集團攻擊未修補的系統漏洞，依然是當前企業遭駭客入侵最常見的原因之一。隨著網路基礎架構和連網裝置的數量不斷成長，建立一套適當的修補管理程序可說是迫在眉睫。

儘管單單一次的系統修補就必須耗費企業數小時的時間來完成，但根據以往的事件來看，系統未隨時保持更新的代價反而更高。

以下快速回顧近幾年來所發生的一些最具破壞性的網路攻擊與資料外洩事件，從這些事件，我們不難看出未修補的漏洞對企業機構的傷害有多大。

2016-2017年: Petya/NotPetya

受害者:歐洲與美國的各種企業機構
漏洞攻擊手法/漏洞:EternalBlue、EternalRomance (2017 年 4 月已修補)
事件發生日期:2016 年 3 月 / 2017 年 6 月
估計損失:100億美元

歐洲及美國各種銀行、發電廠、交通運輸系統、海運、藥廠、石油、營建、醫療等機構的系統在感染之後離線了數個小時。據稱這些攻擊主要鎖定烏克蘭境內的關鍵基礎架構及系統 (事件發生在放假前夕)，但卻因為橫向擴散的原因而迅速蔓延至歐洲其他國家。

繼續閱讀

犯罪集團瞄準 Office 365 系統管理員，並利用預先駭入的帳號從事網路釣魚攻擊

2019 年 07 月 29 日2019 年 07 月 26 日趨勢科技 TrendMicro

雖然網路釣魚(Phishing)是一種相對單純的社交工程詐騙，但這並不表示網路犯罪集團不會持續加以改進並試驗各種新式手法。
最近，網路釣魚出現了兩種新的發展趨勢：

其一是專挑 Microsoft Office 365 系統管理員下手
其二是利用預先駭入的帳號來散發網路釣魚郵件。

這兩項技巧確實提高了網路釣魚的成功機率，因為在缺乏全方位機器學習(Machine learning,ML)資安技術的幫助下，受害者有時真的很難辨別真假。

繼續閱讀

為何漏洞修補會成為企業的一項挑戰？談虛擬修補( Virtual Patching)

2019 年 07 月 26 日2019 年 07 月 11 日趨勢科技 TrendMicro

當應用程式或企業 IT 基礎架構含有未修補漏洞會如何？以下說明虛擬修補如何協助企業解決漏洞與修補管理的困境。

Security 101: Virtual Patching — 檢視圖文解說：虛擬修補如何協助企業確保安全

從去集中化到導入雲端、行動裝置及物聯網 (IoT) 技術，隨著企業網路基礎架構日益複雜，修補管理的工作也更加耗時費事、消耗更多企業資源。

不過，應用程式的修補工作一旦有所延誤或甚至擱置，將為企業帶來莫大風險。2017 年 Equifax 資料外洩事件就是最好的例子，該事件洩漏了數百萬名客戶的個人身分識別資訊，而這起事件追根究柢的原因，就是該機構的某個網站應用程式含有未修補的漏洞。在一切都塵埃落定之後，Equifax 表示該事件造成了高達 4.39 億美元的財務損失，此外還要加上英國資訊委員會 (ICO) 針對該事件所做出的處分：50 萬英鎊 (約 66 萬美元) 的罰鍰。

[趨勢科技年度資安總評：Notable Vulnerabilities Disclosed and Exploited in 2018]

為何漏洞修補會成為企業的一項挑戰？

以下是企業在漏洞修補與修補管理上所面臨的一些挑戰：

影響業務永續性。儘管定期安裝修補更新是一項良好的資安實務原則，但許多企業卻覺得修補作業太過冗長，而且會中斷營運、耗費成本，因此選擇將這些工作延後 (或者乾脆捨棄) 以免影響業務。
需要修補的漏洞數量過多。這樣的情況對經常升級 IT 基礎架構的企業來說尤其如此，因為他們會有更多漏洞需要修補。根據趨勢科技 Zero Day Initiative (ZDI) 漏洞懸賞計畫 (目前有 3,500 多名外部獨立研究人員參加) 所累的資料顯示，從 2017 至 2018 年，該計畫所發現並通報的漏洞數量增加了 34%。
掌握度不夠。網路基礎架構越龐大，更新流程就越複雜。再加上如果 IT 基礎架構零散，包含各種不同作業系統或應用程式版本，甚至分散多個不同地理位置，那問題將更麻煩。
修補更新過於頻繁。這使得修補管理變得缺乏效率，特別是難以整理出哪些才是最重要、非修補不可的漏洞。
老舊及無法修補的系統。有些已經終止支援的系統和應用程式已無法再獲得更新，即使目前仍有一些營運關鍵作業可能會用到這類系統和應用程式。此外，還有一些內嵌式系統的軟體或元件通常也無法修補，例如：銷售櫃台系統 (POS) 終端機、IoT 裝置以及工業控制系統。

繼續閱讀