隨著延伸式偵測及回應 (XDR) 市場的不斷成長與演進,我們正好可以趁這個機會了解一下那些已經投資這項能力的企業所獲得的一些正面成果,例如資安狀況的改善。
根據 ESG 的一項調查,有超過半數的資安團隊表示今日的資安營運比兩年前更加艱困。這些團隊目前正面臨五項大環境趨勢所帶來的一波前所未有的改變:
為解決這樣的情況,現代化資安團隊需要一套能隨時搶先資安威脅一步的解決方案,而 XDR 正是企業的一個全新機會,讓企業擁有必要的能力來有效應付上述挑戰。
繼續閱讀趨勢科技在一份全球調查中發現 50% 的資安團隊表示他們因零散不連貫的單一面向產品與 SIEM 系統所產生的大量警報通知而疲於奔命。看看 XDR 如何提升威脅偵測及回應來改善 SecOps 團隊的效率及成效。
資安團隊正面臨許多迫切的挑戰,警報通知氾濫就是其中之一:根據趨勢科技一項針對 IT 資安與資安營運中心 (SOC) 決策者的全球調查指出,超過 50% 的受訪者表示他們的團隊因大量的警報通知而疲於奔命。另有 55% 坦承自己沒有十足的把握能判斷警報通知的優先次序並採取回應。
此問題的核心來自於威脅偵測及回應解決方案零散不連貫且缺乏效率。許多資安人員會採用一套 SIEM 來將分散於各資安工具的記錄檔與警報通知蒐集在一起。
這會產生兩個問題:第一,網路攻擊很少只透過一、兩種途徑;第二,SIEM 很會蒐集資料,但並非所有 SIEM 都能有效地交叉關聯分析這些資料。不完整的可視性與情境資訊的缺乏,很容易因誤判而造成雜訊,進而拖慢調查工作的進度。Trend Micro Research 發現,資安分析師有 27% 的時間是浪費在調查一些低可信度的警報,結果這些警報大多是誤判。
此時,延伸式偵測及回應 (XDR) 就能派上用。
IDPS、IDS、IPS… 它們的差別在哪裡?探討入侵偵測及防護系統之間的關鍵差異,以及 9 個您在挑選廠商時該詢問的技術與非技術問題。
一眨眼,世界似乎又冒出了一個新的嚴重漏洞。也許企業已經習慣緊盯著那些最新、最受矚目的威脅,但企業仍須留意那些已知的 N-Day 漏洞 以及無法修補的老舊系統。由於不同威脅之間的差異極大,因此企業需要多管齊下來涵蓋整體 IT 基礎架構,包括 私有雲和公有雲。
入侵偵測及防護系統 (Intrusion Detection and Prevention System,簡稱 IDPS) 對於提供全方位的威脅防護來防範已知及未公開的漏洞至關重要。本文討論入侵偵測系統 (Intrusion Detection System,簡稱 IDS) 與入侵防護系統 (Intrusion Prevention System,簡稱 IPS) 之間的差異,以及企業該如何做出明智抉擇來改善資安狀況、降低資安風險。
IDS 與 IPS 之間最根本的差異,就在於它們偵測到入侵時所採取的動作。
IDS 只會發出警報來通知企業有潛在的入侵事件正在發生,接下來就交由資安營運中心 (SOC) 分析師來深入調查並判斷是否需要採取進一步行動。
1. 網路入侵偵測系統 (Network Intrusion Detection System,簡稱 NIDS):藉由部署在網路上的各種感測器來監控流量。
2. 主機入侵偵測系統 (Host Intrusion Detection System,簡稱 HIDS):直接部署在裝置上來監控流量,提供網路系統管理員更多控管能力。
3. 通訊協定入侵偵測系統 (Protocol-based Intrusion Detection System,簡稱 PIDS):部署在伺服器前端來監控進出裝置的流量。
4. 應用程式通訊協定入侵偵測系統 (Application Protocol-based Intrusion Detection System,簡稱 APIDS):監控一群伺服器的流量。
5. 混合式 IDS:結合上述不同類型的入侵偵測系統。
IPS 是專為攔截或矯正 (視掃描後續設定而定) 偵測到的入侵活動而設計。
1. 網路入侵防護系統 (Network-based Intrusion Prevention System,簡稱 NIPS):監控及保護整個網路。
2. 無線入侵防護系統 (Wireless Intrusion Prevention System,簡稱 WIPS):監控企業持有的任何無線網路。
3. 主機入侵防護系統 (Host-based Intrusion Prevention System,簡稱 HIPS):部署在關鍵裝置或主機上。
4. 網路行為分析 (Network Behavioral Analysis,簡稱 NBA):根據網路內的流量模式來監控異常行為。
您不必只能在兩者之間選擇一個,理想的情況下,您會希望尋找一種可同時結合 IDS 和 IPS 的解決方案 (也就是 IDPS) 來提供完整的偵測及回應能力。IDS 可以讓您深入掌握自己的網路流量狀況,而 IPS 則提供了主動的網路防護來防範及矯正偵測到的狀況。
並非每家資安廠商的解決方案都具備相同實力,某些廠商非常擅長行銷,很會在市場上製造聲量,但他們的產品實際上卻不怎麼樣。首先,您必須評估及判斷您企業風險的優先次序,如此才能完全了解您對解決方案有何期待,然後才能夠聰明地採購。想要做出明智判斷,挑選一套適合您的入侵偵測及防護產品,您可詢問以下幾個技術及非技術問題:
1. 採用什麼技術來偵測威脅?請尋找一些結合深層封包檢查、威脅信譽評等、網址信譽評等、內建 SSL 加密流量檢查,以及根據個別流量分析進階惡意程式的技術,以便主動偵測威脅。如此有助於減少誤判,節省資安團隊的時間好讓他們執行其他任務。
2. 採用什麼技術來防範威脅?在資安團隊超時工作、人員短缺的情況下,一套具備自動化能力的解決方案非常重要。客製化的掃描後續動作和政策,以及虛擬修補,都應該自動化才可有效率保護含有漏洞的關鍵系統。
3. 是否能延伸到雲端?由於絕大多數企業都採用混合雲環境,因此能夠同時涵蓋企業內及雲端環境的防護至關重要。請確定同一套企業內防護也能夠延伸至雲端 (如虛擬修補) 來防範漏洞、攔截漏洞攻擊、防範已知及 零時差攻擊。
4. 是否能與其他資安產品整合?您最不想做的一件事就是在現有的資安防護組合當中再增加更多單一面向產品。單一面向產品不僅有礙可視性,而且威脅很少會乖乖待著不動。為了正確調查威脅並限制其擴散範圍,您需要能涵蓋整個受攻擊面的完整可視性。一家能提供全方位網路資安平台的廠商,將可簡化防護、減輕資安團隊原本就已沉重的負擔,提供單一窗口來檢視企業的基礎架構。請小心那些將單一面向產品用優惠價購包裝在一起的廠商,一套真正的平台不僅要能整合廠商自己的生態系,還要能與第三方解決方案流暢整合。
5. 是否可擴充?雲端讓企業能隨時建立新的專案,因此您需要一套靈活、可擴充的解決方案來提供立即的防護。
1. 定價結構如何?別被那些從未用到的訂閱額度綁死。一套按用量付費的方案,以及能輕鬆重新分配的彈性授權方式,可以讓您永遠不必多花冤枉錢。
2. 廠商提供什麼支援來解決部署方面與未來的問題?許多廠商在產品賣出之後就撒手不管,造成許多軟體被束之高閣 ,也使得採用率遲遲無法提升。好的廠商會像合作夥伴一樣協助您完成部署,確保所有必要功能都發揮作用,並且會盡速回應任何的疑問或問題,提供持續的教育訓練來強化您團隊的技能。
3. 廠商是否擁有一套威脅情報蒐集計畫?威脅情勢隨時瞬息萬變,因此您的解決方案也要跟著演變。一套全球威脅情報蒐集計畫 (重點在於「全球」二字),可確保您的解決方案隨時擁有最新的過濾規則,完整涵蓋整個漏洞來防止攻擊可能發生的突變,而非只防範特定攻擊手法。為了應付零時差漏洞,請尋找一家擁有 零時差漏洞揭露優良傳統以及 非限定廠商獨立漏洞懸賞計畫的資安廠商來協助您預防性地保護系統,限縮攻擊的擴散範圍。
4. 廠商是否榮獲市場或業界評測肯定?人人都能宣稱自己是第一名,但重點是能不能提出證明?請參閱知名產業分析機構 (如 Gartner、Forrester、IDC、Omdia 及 MITRE) 的客觀報告。此外,擁有龐大客戶基礎的廠商,也會不吝分享業界評測來協助您進一步了解他們的解決方案如何滿足您的資安及業務需求。
如需有關受攻擊面風險管理的更多資訊,請參閱以下文章:
趨勢科技在一份全球調查中發現 50% 的資安團隊表示他們因零散不連貫的單一面向產品與 SIEM 系統所產生的大量警示通知而疲於奔命。看看 XDR 如何減少誤判並改善威脅偵測及回應。
警示通知過多所造成的壓力,是許多資安團隊的一項挑戰。根據趨勢科技一項針對 IT 資安與資安營運中心 (SOC) 決策者的全球調查指出,超過 50% 的受訪者表示他們的團隊因大量的警示通知而疲於奔命。另有 55% 坦承自己沒有十足的把握能判斷警示通知的優先次序並採取回應。
問題的核心來自於威脅偵測及回應解決方案零散不連貫且缺乏效率。許多資安人員會採用一套 SIEM 來將分散於各資安工具的記錄檔與警示通知蒐集在一起。這會產生兩個問題:第一,網路攻擊很少只透過一、兩種途徑;第二,SIEM 很會蒐集資料,但卻不會交叉關聯分析。不完整的可視性與情境資訊的缺乏,很容易因誤判而造成雜訊,進而拖慢調查工作的進度。此時,延伸式偵測及回應 (XDR) 就能派上用。
何謂 XDR?
XDR 是端點偵測及回應 (EDR) 的進一步延伸,它能超越單一面向,從各個不同的防護層即時蒐集並交叉關聯資料,例如:電子郵件、伺服器、雲端工作負載、網路,以及端點。如此可減少大量誤判,加快威脅偵測及回應的速度。
如何挑選一家 XDR 廠商
市面上有許多廠商都在兜售自己的 XDR 解決方案,但並非每家的解決方案都一樣。資安長 (CISO) 和資安領導人必須明智地挑選一家優良的 XDR 廠商才能充分享受 XDR 的效益。
不同的 XDR 作法
目前最常見的 XDR 作法有三種:
三者當中最好的混合式方法,因為封閉式方法會侷限在端點上,而開放式 XDR 則會引來第三方合作夥伴與雲端組態設定錯誤的風險。此外,不是您自己擁有的資料,對您來說也不容易理解。您雖然可以利用偵測資料來加以強化,但您幾乎不可能在您自己的平台內擷取並理解另一家公司的所有活動資料。反觀混合式作法則提供了一套技術基礎,並透過量身打造的架構為企業提供更強大的威脅偵測及回應。
超越端點層次
問題的關鍵就在於延伸至端點之外,在電子郵件、伺服器、雲端工作負載及網路層上部署感測器。超越端點層次的好處是能獲得以下兩項關鍵問題的情境資訊:威脅的源頭在哪?我的基礎架構還有哪些地方被威脅入侵?
並非所有的威脅都來自於端點。根據 Verizon 的「2022 年資料外洩調查報告」(Data Breach Investigations Report),網站應用程式與電子郵件是資料外洩發生的前兩大途徑。XDR 能讓您偵測已遭駭客入侵並在內部散發網路釣魚郵件的帳號,反觀電子郵件內建的資安工具,通常只能監控來自外部的惡意郵件。此外,XDR 還能即時掃描信箱內部是否存在一些入侵指標 (IoC)。有了這些資訊,SOC 就能調查還有誰收到同一封信,並將信件隔離或刪除。
除此之外,網路層上的 XDR 可彌補 EDR 的盲點。有了關於網路流量與行為的即時活動資料,再加上邊界與內部橫向連線,就能協助分析師發掘威脅的通訊方式以及它們如何在網路內部擴散。有了這些知識,資安人員就能封鎖主機和網址,並且停用 Active Directory 帳號來抑制攻擊擴散。
雲端工作負載、伺服器以及容器對於企業的營運至關重要,因此這些層面的資安洞見對於降低資安風險非常必要。XDR 能蒐集並交叉關聯活動資料,例如:使用者帳號活動、電腦處理成序、已執行的指令、網路連線、已建立/已存取的檔案、系統登錄修改等等,如此就能掌握警示通知發生時的完整情境。資安團隊可深入追查雲端工作負載內部發生了什麼,以及當初攻擊是如何擴散。
其他 XDR 考量因素
儘管感測器的涵蓋範圍相當重要,但在挑選 XDR 廠商時還有許多其他的因素需要考量,以確保您能獲得最佳的威脅偵測及回應能力。您可詢問廠商以下幾個問題:
1.貴公司產品是否友善支援 API 整合?有些廠商無法完全支援 API,如此一來,整合上就會有困難。XDR 的整合能力越強,就越能蒐集和交叉關聯更多資料,這有助於進一步減少誤判。此外,提供 XDR 解決方案的廠商若能與一套網路資安平台整合,就能讓資安人員從單一窗口管理整個受攻擊面。
2.貴公司產品是否提供視覺化端對端攻擊檢視?有些 XDR 解決方案或許只提供了攻擊在某個時間點的狀況。但若要遏止攻擊擴散、提升資安狀況,資安團隊要能查看攻擊的源頭以及擴散情形。
3.使用者體驗如何?尋找 (並留住) 好人才一直是一項挑戰。請避免挑選那些學習曲線太過陡峭或技術支援不佳的資安解決方案。廠商如果希望您能夠成功 (而非只想賣您產品) 那就會將教學內容、線上學習中心、甚至面對面溝通與意見回饋功能內建在產品中。
4.警示通知是否可用來採取行動?正如前面提到,SIEM 可產生大量的警示通知,但它們通常毫無用處。XDR 一樣能擷取 SIEM 所收到的記錄檔,但卻不會產生一堆誤判,因為記錄檔只是用來提供參考。好的 XDR 解決方案會根據風險評分與衝擊的嚴重性來判斷警示通知的優先次序。
5.定價結構如何?有些廠商是根據套裝或訂閱數量來收費。比方說如果您訂閱的數量是 1,000 名員工,萬一您後來裁撤了 10% 的員工,您還是得支付 1,000 名員工的訂閱費用。如果採用其他授權方式,例如點數模式,您就可以視業務需求變化而將點數挪到其他防護層使用。
6.貴公司是否提供託管式服務?人員及預算是否充足,會影響偵測及回應能力的建置。託管式服務能藉由專家威脅追蹤、7 天 24 小時監控與偵測,以及快速的調查與防範來彌補現有團隊的不足。
7.貴公司是否榮獲任何產業分析機構好評?每家廠商都喜歡宣稱自己是第一,所以,記得查看一下知名產業分析報告 (如 Forrester、Gartner 和 IDC) 來驗證廠商的話。
讓董事會認同 XDR
儘管統計數字顯示網路資安支出不斷增加,但這不保證您的預算就會跟著成長,網路資安想要獲得預算不是一件容易的事,所以很關鍵的一點就是要從財務與風險的角度來闡述 XDR 的效益。以下是您可考慮的一些論點:
1.投資資安解決方案 = 投資業務。根據 IBM 的「2022 年資料外洩成本」(Cost of a Data Breach) 報告指出,採用 XDR 的企業,其資料外洩成本平均低 10% 左右,而且整起資料外洩事件時間也可縮短 29 天。更短的停機時間與更小的財務衝擊,這就是 CXX 管理階層最愛聽的。
2.符合法規遵循要求。XDR 能協助企業達成法規遵循要求,讓企業避免鉅額罰款。而且,當您符合法規要求,您的資安狀況自然也就更好。
3.降低資安險保費。採用優良的 XDR 廠商,您就能向保險公司證明您如何超越 EDR 層次來偵測及回應威脅,進而降低風險。
下一步
如需有關 XDR 以及資安風險管理的更多資訊,請參閱以下文章:
