具備進階偵測能力的 XDR,可交叉關聯分析橫跨多重領域的資料,發現一些原本不會注意到的事件。
歹徒在某個領域的工作完成之後,就會刪除相關的痕跡,因此,能夠蒐集並留下相關的情報,將有助於釐清問題的根源 ……
正如我們先前部落格文章提到全面偵測及回應(XDR)是一種更能有效偵測網路內部駭客活動的方法,因為它可協調整合多重攻擊管道上的威脅情報和資料,全面涵蓋端點 (行動及IIoT 裝置)、伺服器、網路、郵件、網站以及雲端。這篇文章的目的,是要藉由探討駭客攻擊程序中的一個環節,也就是「橫向移動」,來讓企業知道該如何有效偵測駭客攻擊。
繼續閱讀網路犯罪集團和駭客會不斷變換攻擊手法、技巧及程序來提高其入侵企業並躲過資安人員及防護產品偵測的機率。改用針對性攻擊,儼然是當今網路犯罪集團之間最新的流行趨勢。企業必須提升掌握駭客攻擊完整生命週期的能力,因為,以端點裝置為唯一攻擊目標的時代已經過去,因此一套環環相扣的威脅防禦至關重要。
今日,許多企業機構皆已採用所謂的 EDR (Endpoint Detection & Response)端點偵測及回應 來深入了解端點所遭受的攻擊。但正如我們所見,就連勒索病毒近來也越來越少將端點裝置當成唯一攻擊目標,它們會在企業內部橫向移動,試圖發掘並挾持企業的關鍵系統來提高企業支付贖金的機率。
繼續閱讀作者:Greg Young (趨勢科技網路資安副總裁)
在趨勢科技部落格這篇文章中對於端點偵測及回應 (EDR) 如何邁向全面偵測及回應(XDR) 有相當詳盡的闡述。簡單來說,作者 Jon Clay 認為 EDR 固然很棒,但若有辦法加入端點以外的資訊來源,那應該會更好。「 XDR 」一詞中的「X」泛指為了提供更廣泛、更可靠的偵測及回應所能涵蓋的所有來源。
聽到這裡,很多人的第一個反應可能是:「這聽起來怎麼跟資安事件管理系統 (SIEM) 以及平台很像,因為同樣都是將眾多來源的資訊集中彙整」。在此請容我稍微解釋一下兩者之間的差異,以及為何這些差異會帶來巨大、真實且實際的影響。
我們先從 SIEM 來看。很多人都會苛責 SIEM,但考慮到人們對它的要求,其實 SIEM 已經很棒。將數十種甚至數百種廠商的產品記錄檔蒐集在一起,然後試圖從中發掘資安線索,進而發出有意義的警示通知。不過 SIEM 的問題是涵蓋範圍很廣,但卻深度不足。它的資訊來源很多,但蒐集的資訊卻很有限。
SIEM 無法迫使特定類型的產品 (如端點防護平台) 提供超出通用、標準格式以外的進一步資訊。當端點防護平台新增了一些獨家的偵查能力時,SIEM 能妥善運用這些最新資料來源的情況和能力都相當有限。很重要的原因是,SIEM 並未內建回應機制,它只是一項偵測工具,如同一個未與自動灑水器相連的消防警報器。不過,SIEM 可涵蓋的產品與廠牌非常廣泛,因此 SIEM 不管在當下或未來都其自己的價值定位,無法被 XDR 所取代。其實,SIEM 若能搭配 XDR 來運用,會更彰顯其價值。
下圖是我心目中的 SIEM:
繼續閱讀