資安長 (CISO) 為何該關心XDR 的發展?

  • 作者:Ed Cabrera (網路資安長)

過去 15 至 20 年來,趨勢科技一直在業界呼籲:一套多層式的防護才是最佳的資安實務作法,但對許多企業來說,這似乎是個遙不可及的理想。絕大多數的企業資安長 (CISO) 都面臨作業系統與應用程式老舊的困境以及經費不足的問題。

對一些資源較充裕的成熟產業來說 (如金融業與政府機關),其資安長可針對每一個防護層分別採購滿足其功能的產品,然後再增加一些人力來負責管理每一層的防護,希望各防護層之間能彼此偕同運作,進而有效防範及回應攻擊,並從攻擊當中迅速復原。

今日的挑戰

這樣的策略不能說沒有一定的效果,但絕非長久之計,而且對絕大多數 (90%) 那些資源不夠充裕的企業來說,也不可能採用這樣的作法。因為,今日的攻擊會刻意瞄準各防護層之間銜接不良的缺口,且其規模和範圍亦不斷擴大。

今天資安團隊之所以被大量的警示通知和事件記錄所淹沒,當然是某些因素所造成,但有一項因素對於資安方案的設計和營運特別重要,那就是過分專注於感染的程序。

當然,這麼做可以有效解釋並「單純化」攻擊在防護層之間的進展,但卻無法徹底掌握攻擊行動非線性的真實樣貌。此外,也忽略了發掘全球駭客使用手法、技巧和工具的重要性。

談到這,就不得不提 MITRE ATT&CK™,這是一個開放的全球知識庫,專門蒐集真實世界的駭客攻擊手法和技巧。ATT&CK 讓網路防禦者和網路威脅情報分析師經由一個開放的社群來彼此合作,不斷發掘全球 90 多個駭客團體所用的手法、技巧和工具,進而提升資安界的防護與偵測能力。

今日的防護

另一項與 ATT&CK 的發展息息相關的潮流就是從EDR 演變至 XDR。就如同專注於感染的程序已經是一種過時的觀念一樣,單靠端點裝置的輔助來提升威脅偵測及回應速度的 EDR 也開始顯得不符時宜。ATT&CK 讓您掌握威脅的完整樣貌,XDR 則可協調各防護層來全面防範威脅。

儘管端點依然重要,但有相當大量的惡意威脅是暗藏在網路、雲端和閘道上而未被發掘。XDR 正好彌補了這項缺口。

原文出處:Why Should CISOs Care About XDR