網路資安威脅
XDR 的效益:改善資安狀況
隨著延伸式偵測及回應 (XDR) 市場的不斷成長與演進,我們正好可以趁這個機會了解一下那些已經投資這項能力的企業所獲得的一些正面成果,例如資安狀況的改善。
根據 ESG 的一項調查,有超過半數的資安團隊表示今日的資安營運比兩年前更加艱困。這些團隊目前正面臨五項大環境趨勢所帶來的一波前所未有的改變:
- 大多數企業的受攻擊面都正在快速擴大,使得現有的工具顯得捉襟見肘,並帶來了更多的漏洞。
- 威脅情勢正在不斷演變,而威脅也日益精密。
- 雲端應用程式與服務的日益普及,讓現有資安工具面臨挑戰,跟不上這波趨勢。
- 移轉至雲端基礎架構,再加上持續性的資安縱深防禦策略,製造了大量的警報通知、監測資料以及雜訊。
- 資安團隊發覺自己正忙於各種被動反應的緊急救火行動。
為解決這樣的情況,現代化資安團隊需要一套能隨時搶先資安威脅一步的解決方案,而 XDR 正是企業的一個全新機會,讓企業擁有必要的能力來有效應付上述挑戰。
評估偵測及回應情勢
ESG 針對企業內負責偵測及回應策略、流程與技術的相關資安與 IT 專業人員做了一份廣泛的調查,受訪者全都位於北美地區 (美國和加拿大),並且任職員工 500 人 (含) 以上的公司。ESG 的研究採用了一種包含三大族群的分類架構,每一族群分別代表不同的 XDR 成熟度。被歸類為第三級 (Level-3) 的企業代表 XDR 成熟度最高的企業。
資料來源:Enterprise Strategy Group (TechTarget, Inc. 旗下機構)。
該研究假設那些 XDR 成熟度最高的企業在彙整、交叉關聯以及分析來自各種資安控管的資料方面,應該會明顯地較為完善,並且會採用一種高度自動化的方法。
何謂 XDR?
所謂的 XDR 就是將 EDR 延伸至多重攻擊管道,如:端點、伺服器、電子郵件、網路以及雲端工作負載,將威脅的偵測、調查、回應及追蹤最佳化,並結合端點偵測以及來自各種資安與業務工具的監測數據。XDR 是一套雲端原生平台,提供了彈性、擴充性、自動化。
儘管業界很多人都認為其主要功能在於進階威脅偵測,但 XDR 能為資安團隊帶來彈性、擴充性以及自動化的機會:
- 整合資安相關的端點偵測資料與來自資安和業務工具的監測數據。
- 藉由進階的交叉關聯與風險評估來監控和評估 XDR 偵測資料、帳號入侵、漏洞、異常狀況、雲端活動,以及威脅。
- 提供可化為行動的風險洞見,減少環境中的警報數量。
- 提供情報指引來綜合漏洞、風險、資安控管以及整體的狀態。
- 將威脅的即時偵測、調查、回應與追蹤最佳化。
ESG 列舉了七種使用方式 來說明企業在採用 XDR 時的優先考量。
資料來源:Enterprise Strategy Group (TechTarget, Inc. 旗下機構)。
有關 XDR 的誤解
儘管 XDR 在資安與 IT 人員之間越來越普遍,但有關它的真正用途還是有許多誤解。根據 ESG 指出,55% 的受訪者認為 XDR 是 EDR 的延伸,44% 認為 XDR 是以下兩者之一:
- 一種來自單一資安技術廠商的偵測及回應產品。
- 一種整合異質資安產品的架構,其設計是要互通及協調威脅的防範、偵測及回應。
像這樣有關其功能的誤解,導致了許多企業利用 SIEM 來做 XDR 的工作。 ESG 的研究指出 許多企業覺得他們的 SIEM 並未達到其預期。這有可能是因為企業試著將記錄檔和大量的資安監測數據匯入 SIEM 當中,然後套用一些規則來發掘、調查及回應威脅。然而,SIEM 經常無法有效交叉關聯事件,結果導致資安分析師必須手動拼湊攻擊的徵兆。
XDR 能改善資安狀況
正如原本所料,XDR 成熟度最高的第三級企業,很少被駭客攻擊得逞。 根據 ESG 表示,這些企業對於其偵測及回應威脅的能力感到自豪,並且資安上的壓力也比第一級 (Level-1) 和第二級 (Level-2) 企業來得輕微。此外,第三級企業在橫跨多種資安控管的資料交叉關聯也做得更好,在營運和資安上都獲得各種效益。
事實上,ESG 發現 XDR 成熟度較高的第三級企業幾乎在所有領域都擁有較佳的表現,「在威脅/資安事件分析、威脅優先次序判斷、警報疲乏、精密攻擊可視性,以及偵測與回應時間等方面都大幅改善。」
如下圖所示,第二級企業的表現較第一級企業來得好。
原文出處:Enterprise Strategy Group (TechTarget, Inc. 旗下機構)。
根據 ESG 調查的資料指出,更好的交叉關聯可以帶來更好的成果。XDR 成熟度較高的第三級企業有 61% 的機率比第一和第二級企業在交叉關聯不同資安控管的資料時成效顯著,其中有 50% 的第三級企業表示他們的成效顯著。
XDR = 改善營運
不過,有 63% 的 ESG 受訪者表示,整體而言,他們在資料交叉關聯方面還是有改善空間。這些改善可透過增加交叉關聯規則,甚至是藉由自動化來達成。為了彌補這樣的缺點,許多 XDR 解決方案都承諾提供持續自動化的規則改進,並運用來自解決方案廠商豐富且最新的威脅情報。ESG 偏好可動態、持續更新偵測規則與威脅情報的 XDR 解決方案。
正如這份報告指出,那些已投資跨防護層資料交叉關聯能力的企業,能更快偵測及回應威脅、處理更多警報、並改善整體的資安狀況。ESG 指出,XDR 成熟度較高的第三級企業有 46% 的機率比那些成熟度較低的企業更容易加快回應時間。
資料來源:Enterprise Strategy Group (TechTarget, Inc. 旗下機構)。
XDR 為所有資安團隊提供了高度相關的警報與可視性,使他們省去打造客製化基礎架構來支援他們的高昂成本與複雜性。
圖 15:成效良好的威脅資料交叉關聯如何改善營運。
事實上,在 XDR 成熟度高的第三級企業當中有 72% 會忽略不到 25% 的警報,反觀成熟度較低的企業有 65% 會忽略超過 25% 的警報。對於那些已經疲於奔命的企業,XDR 提供了一種加速提升可視性並更快回應威脅的途徑。
下一步
請閱讀我們的報告「XDR 的效益:改善資安狀況」(The XDR Payoff: Better Security Posture),或閱讀「延伸式偵測及回應 (XDR) 指南」(Guide to Extended Detection and Response [XDR]) 一文來了解採用 XDR 的企業獲得了哪些可量化的正面業務成果。
