作者:Ian Loe(NTUC Enterprise Co-operative Limited網路安全資深副總)
先進的網路罪犯經過長時間的鍥而不捨加上自身的聰明機智,正在跨過傳統的安全防禦來入侵機密資料。認識到這一點後,我們NTUC Enterprise一直在研究新的安全技術來協助解決這些日益嚴重的問題。我們確認的關鍵之一是需要更好地保護端點系統,並且提高對這些裝置狀況的能見度。
能見度再提升
因為集團內有超過2萬個端點(個人電腦和物聯網設備)需要防護,而且在不久的將來可能會成長到3萬個,我們意識到事件偵測及回應變得至關緊要。由於有了這些考量,我們需要一種能夠持續監控的解決方案(就像是監控攝影機)來識別惡意分子在進行的可疑活動。
進入了可以在端點系統記錄和儲存查詢、行為和事件的端點偵測及回應(EDR)技術。想像一下:監控攝影機會捕捉建築物每個角落及入口的活動。如果有人偷偷地破壞門鎖、關掉安全警報或侵害了商業財產,安全人員會從這些監控攝影機收到警報。
現在讓我們套用到EDR。IT團隊獲得的不只是入侵指標,還能夠對正在發生的細節有著高度的了解。EDR還可以協助IT團隊了解各種不同的威脅和攻擊類型,讓團隊能夠及時有效地關聯資訊並做出回應。
比方說,EDR能夠協助團隊確認組織內有多少裝置使用某款有漏洞的軟體,或曾經連過惡意網域。EDR會將這些事件儲存在內部資料庫,並且能夠識別犯罪者足跡的確切起點以重建整個攻擊過程。
在端點進行快速檢測以及移除威脅,或是在大型網路裡隔離有問題的端點,這些做法都有可能防止大規模的網路感染。這也是我一開始會被EDR吸引的原因。通過與趨勢科技的合作,我的團隊現在能夠了解進階威脅的來源、影響和散播途徑。
但產品技術只是這整體問題的部分解答。
網路安全專家在哪?
在網路世界裡,偵測及回應是需要專業技能和多年經驗來處理的流程。我想我們都同意這樣一個事實:對網路安全專家來說,每天能夠預期的事情只有一件,那就是發生非預期的事件。
我們這領域裡的大多數人都沒有完全相同的兩天,也不得不同時去扮演防禦者和攻擊者的角色。安全產品如果沒有熟練的能力操作也無法發揮全力。事實上ESG的一份調查顯示有83%的組織認為要有效地使用EDR需要進階的安全分析能力。而缺乏合格候選人來填補這些職缺,代表了組織就算提供了正式職缺也很難找到人。
簡言之,大量的脆弱企業加上缺乏熟練的網路安全人員也為攻擊者開啟了大門,而且可以輕易地通過。
也因為這樣,有託管式偵測及回應(MDR)的出現來幫助像我們這樣的組織,提供經驗豐富的網路安全專家以及24/7警報監控和威脅狩獵等功能來紓解人才缺乏的問題,同時藉由大數據及人工智慧等技術支援來更快地偵測異常狀況。
對NTUC Enterprise這樣規模的組織來說,當務之急是達到有效的安全控制態勢,確保合規性並且縮小已知的安全間隙。有了趨勢科技熟練的MDR團隊來分擔工作,我的團隊能夠專注於業務關鍵的安全項目並克服人力短缺的問題。
比方說,我可以為企業環境內的重要資產定製警報來提示惡意或可疑活動的發生。無論是在哪個時區,各個區域或美國境內都能夠全天候地進行監測,因此能夠提高反應速度並減少延遲。
還有端點資料能夠提供洞察力來進行根本原因分析 – 找出威脅最初進入端點的路徑(如電子郵件、網頁、隨身碟、應用程式)以及它如何被執行。
資料 – 能見度背後的大腦
當一天結束時,組織希望對自身的IT架構有更多的能見度。而什麼能夠增強能見度?資料。產業正在朝向全面偵測及回應(XDR),這是種資料驅動的防禦形式,可以提供對攻擊無所不在、細微的能見度。
比起其他的犯罪類型,我們更有可能成為網路犯罪的受害者 – 讓我們做好準備!
@原文出處:Customer Perspective: Catching the thief lurking in the shadows with EDR and MDR
《延伸閱讀》