具備進階偵測能力的 XDR,可交叉關聯分析橫跨多重領域的資料,發現一些原本不會注意到的事件。
歹徒在某個領域的工作完成之後,就會刪除相關的痕跡,因此,能夠蒐集並留下相關的情報,將有助於釐清問題的根源 ……
正如我們先前部落格文章提到全面偵測及回應(XDR)是一種更能有效偵測網路內部駭客活動的方法,因為它可協調整合多重攻擊管道上的威脅情報和資料,全面涵蓋端點 (行動及IIoT 裝置)、伺服器、網路、郵件、網站以及雲端。這篇文章的目的,是要藉由探討駭客攻擊程序中的一個環節,也就是「橫向移動」,來讓企業知道該如何有效偵測駭客攻擊。
繼續閱讀網路犯罪集團和駭客會不斷變換攻擊手法、技巧及程序來提高其入侵企業並躲過資安人員及防護產品偵測的機率。改用針對性攻擊,儼然是當今網路犯罪集團之間最新的流行趨勢。企業必須提升掌握駭客攻擊完整生命週期的能力,因為,以端點裝置為唯一攻擊目標的時代已經過去,因此一套環環相扣的威脅防禦至關重要。
今日,許多企業機構皆已採用所謂的 EDR (Endpoint Detection & Response)端點偵測及回應 來深入了解端點所遭受的攻擊。但正如我們所見,就連勒索病毒近來也越來越少將端點裝置當成唯一攻擊目標,它們會在企業內部橫向移動,試圖發掘並挾持企業的關鍵系統來提高企業支付贖金的機率。
繼續閱讀作者:Greg Young (趨勢科技網路資安副總裁)
在趨勢科技部落格這篇文章中對於端點偵測及回應 (EDR) 如何邁向全面偵測及回應(XDR) 有相當詳盡的闡述。簡單來說,作者 Jon Clay 認為 EDR 固然很棒,但若有辦法加入端點以外的資訊來源,那應該會更好。「 XDR 」一詞中的「X」泛指為了提供更廣泛、更可靠的偵測及回應所能涵蓋的所有來源。
聽到這裡,很多人的第一個反應可能是:「這聽起來怎麼跟資安事件管理系統 (SIEM) 以及平台很像,因為同樣都是將眾多來源的資訊集中彙整」。在此請容我稍微解釋一下兩者之間的差異,以及為何這些差異會帶來巨大、真實且實際的影響。
我們先從 SIEM 來看。很多人都會苛責 SIEM,但考慮到人們對它的要求,其實 SIEM 已經很棒。將數十種甚至數百種廠商的產品記錄檔蒐集在一起,然後試圖從中發掘資安線索,進而發出有意義的警示通知。不過 SIEM 的問題是涵蓋範圍很廣,但卻深度不足。它的資訊來源很多,但蒐集的資訊卻很有限。
SIEM 無法迫使特定類型的產品 (如端點防護平台) 提供超出通用、標準格式以外的進一步資訊。當端點防護平台新增了一些獨家的偵查能力時,SIEM 能妥善運用這些最新資料來源的情況和能力都相當有限。很重要的原因是,SIEM 並未內建回應機制,它只是一項偵測工具,如同一個未與自動灑水器相連的消防警報器。不過,SIEM 可涵蓋的產品與廠牌非常廣泛,因此 SIEM 不管在當下或未來都其自己的價值定位,無法被 XDR 所取代。其實,SIEM 若能搭配 XDR 來運用,會更彰顯其價值。
下圖是我心目中的 SIEM:
繼續閱讀
作者:Ian Loe(NTUC Enterprise Co-operative Limited網路安全資深副總)
先進的網路罪犯經過長時間的鍥而不捨加上自身的聰明機智,正在跨過傳統的安全防禦來入侵機密資料。認識到這一點後,我們NTUC Enterprise一直在研究新的安全技術來協助解決這些日益嚴重的問題。我們確認的關鍵之一是需要更好地保護端點系統,並且提高對這些裝置狀況的能見度。
因為集團內有超過2萬個端點(個人電腦和物聯網設備)需要防護,而且在不久的將來可能會成長到3萬個,我們意識到事件偵測及回應變得至關緊要。由於有了這些考量,我們需要一種能夠持續監控的解決方案(就像是監控攝影機)來識別惡意分子在進行的可疑活動。
進入了可以在端點系統記錄和儲存查詢、行為和事件的端點偵測及回應(EDR)技術。想像一下:監控攝影機會捕捉建築物每個角落及入口的活動。如果有人偷偷地破壞門鎖、關掉安全警報或侵害了商業財產,安全人員會從這些監控攝影機收到警報。
繼續閱讀
雖然網路釣魚(Phishing)是一種相對單純的社交工程詐騙,但這並不表示網路犯罪集團不會持續加以改進並試驗各種新式手法。
最近,網路釣魚出現了兩種新的發展趨勢:
這兩項技巧確實提高了網路釣魚的成功機率,因為在缺乏全方位機器學習(Machine learning,ML)資安技術的幫助下,受害者有時真的很難辨別真假。
