在網路資安軍備競賽當中,XDR 將成為企業對抗隱匿性威脅的新一代武器
- 作者:Greg Young (趨勢科技網路資安副總裁)
真實的企業環境通常並非井然有序,一個很現實的情況是:企業無法將所有端點都全部列管。而我也在一位同事的聰明勸說下,將企業端點與伺服器的列管率視為一項重要的資安指標。
處於光譜這端的是像大學校園的這類環境,整個網路可能只有 10% 的端點是列管的。處於光譜另一端的則是像大型銀行與科技研發公司,端點的列管率約 98% 或 99%。那些投入數百萬美元資金試圖從 96% 提升至 98% 的金融服務機構,他們的想法是希望能藉此解決半數以上的資安問題,而非少少的 2% 而已。
所以,即使是最優秀的企業,也可能會有一些未列管的端點,這些端點將比已部署資安代理程式的端點更容易受到攻擊。這幾年來,我們一直在不斷推出新的進階防護,就是為了解決這項問題。
其中, EDR 就是一個比傳統端點防護更能有效發掘隱匿攻擊的一個方案。 EDR 對於其所在的端點來說效果良好,在這篇文章當中作者對於EDR 和 MDR 如何發掘駭客的隱匿攻擊提供了一個非常棒的案例。
不過,EDR的大部分功能都只針對其所在的端點有效,也就是列管的端點。毫無疑問地,EDR 肯定會帶來一定的群體免疫力,也就是列管的端點數量越多,駭客就更難在企業內橫向移動或深入企業內部。不過,一些更有能力、耐心且更會躲藏的駭客,在知道企業可能會部署 EDR 的情況下,也會不斷精進其隱藏技巧。在這篇文章當中對於駭客如何橫向移動有非常詳細的解說。
EDR 若要獨力偵測駭客的活動,會面臨一些先天上的限制,尤其是面對極有耐心又低調、緩慢的攻擊,或是在端點並未列管的情況下。端點防護必須跳脫端點的層次才能跟上進階駭客的步伐。面對四處移動的駭客攻擊,企業可從列管的端點、IoT 裝置、電子郵件、網路元件以及容器和雲端伺服器所蒐集到的數個月資料當中發掘駭客移動的軌跡。此外,駭客的通訊和偵察活動很可能結合了多種不同的通訊協定、電子郵件、檔案與登入憑證。因此,想要掌握這些細微又稍縱即逝的蓄意攻擊跡象,企業需要更現代化的工具,而非期待哪天能夠擁有技術高超的威脅追蹤人才。
全面偵測及回應(XDR)所扮演的角色是企業的資料湖泊 (data lake),負責匯集比過去單一情報池所能蒐集更深入的基礎架構與資安情報,並針對威脅追蹤分析師的需求而設計。在XDR 正夯,它與 SIEM 及所謂的「平台」又有何不同? 和XDR 如何有效偵測在企業網路內「橫向移動」的攻擊? 文章當中,我們詳細說明了什麼是 XDR,以及 XDR 如何能匯集更多情報來源 (如網路資料)。
在今日及明日的網路資安軍備競賽當中,XDR 將成為企業對抗隱匿性威脅的新一代武器。