趨勢科技在一份全球調查中發現 50% 的資安團隊表示他們因零散不連貫的單一面向產品與 SIEM 系統所產生的大量警示通知而疲於奔命。看看 XDR 如何減少誤判並改善威脅偵測及回應。

警示通知過多所造成的壓力，是許多資安團隊的一項挑戰。根據趨勢科技一項針對 IT 資安與資安營運中心 (SOC) 決策者的全球調查指出，超過 50% 的受訪者表示他們的團隊因大量的警示通知而疲於奔命。另有 55% 坦承自己沒有十足的把握能判斷警示通知的優先次序並採取回應。

問題的核心來自於威脅偵測及回應解決方案零散不連貫且缺乏效率。許多資安人員會採用一套 SIEM 來將分散於各資安工具的記錄檔與警示通知蒐集在一起。這會產生兩個問題：第一，網路攻擊很少只透過一、兩種途徑；第二，SIEM 很會蒐集資料，但卻不會交叉關聯分析。不完整的可視性與情境資訊的缺乏，很容易因誤判而造成雜訊，進而拖慢調查工作的進度。此時，延伸式偵測及回應 (XDR) 就能派上用。

何謂 XDR？

XDR 是端點偵測及回應 (EDR) 的進一步延伸，它能超越單一面向，從各個不同的防護層即時蒐集並交叉關聯資料，例如：電子郵件、伺服器、雲端工作負載、網路，以及端點。如此可減少大量誤判，加快威脅偵測及回應的速度。

如何挑選一家 XDR 廠商

市面上有許多廠商都在兜售自己的 XDR 解決方案，但並非每家的解決方案都一樣。資安長 (CISO) 和資安領導人必須明智地挑選一家優良的 XDR 廠商才能充分享受 XDR 的效益。

不同的 XDR 作法

目前最常見的 XDR 作法有三種：

• 封閉式：這種以端點為主的作法，會從其他的來源擷取資料來驗證及強化端點偵測能力。
• 開放式：透過廠商之間的合作，不同防護層之間可彼此分享入侵指標 (IoC) 來強化掃描能力。
• 混合式：這種方法採用量身打造的架構，原生提供交叉關聯偵測、整合式調查、跨防護層回應能力，並與第三方 API 整合。

三者當中最好的混合式方法，因為封閉式方法會侷限在端點上，而開放式 XDR 則會引來第三方合作夥伴與雲端組態設定錯誤的風險。此外，不是您自己擁有的資料，對您來說也不容易理解。您雖然可以利用偵測資料來加以強化，但您幾乎不可能在您自己的平台內擷取並理解另一家公司的所有活動資料。反觀混合式作法則提供了一套技術基礎，並透過量身打造的架構為企業提供更強大的威脅偵測及回應。

超越端點層次

問題的關鍵就在於延伸至端點之外，在電子郵件、伺服器、雲端工作負載及網路層上部署感測器。超越端點層次的好處是能獲得以下兩項關鍵問題的情境資訊：威脅的源頭在哪？我的基礎架構還有哪些地方被威脅入侵？

並非所有的威脅都來自於端點。根據 Verizon 的「2022 年資料外洩調查報告」(Data Breach Investigations Report)，網站應用程式與電子郵件是資料外洩發生的前兩大途徑。XDR 能讓您偵測已遭駭客入侵並在內部散發網路釣魚郵件的帳號，反觀電子郵件內建的資安工具，通常只能監控來自外部的惡意郵件。此外，XDR 還能即時掃描信箱內部是否存在一些入侵指標 (IoC)。有了這些資訊，SOC 就能調查還有誰收到同一封信，並將信件隔離或刪除。

除此之外，網路層上的 XDR 可彌補 EDR 的盲點。有了關於網路流量與行為的即時活動資料，再加上邊界與內部橫向連線，就能協助分析師發掘威脅的通訊方式以及它們如何在網路內部擴散。有了這些知識，資安人員就能封鎖主機和網址，並且停用 Active Directory 帳號來抑制攻擊擴散。

雲端工作負載、伺服器以及容器對於企業的營運至關重要，因此這些層面的資安洞見對於降低資安風險非常必要。XDR 能蒐集並交叉關聯活動資料，例如：使用者帳號活動、電腦處理成序、已執行的指令、網路連線、已建立/已存取的檔案、系統登錄修改等等，如此就能掌握警示通知發生時的完整情境。資安團隊可深入追查雲端工作負載內部發生了什麼，以及當初攻擊是如何擴散。

其他 XDR 考量因素

儘管感測器的涵蓋範圍相當重要，但在挑選 XDR 廠商時還有許多其他的因素需要考量，以確保您能獲得最佳的威脅偵測及回應能力。您可詢問廠商以下幾個問題：

1.貴公司產品是否友善支援 API 整合？有些廠商無法完全支援 API，如此一來，整合上就會有困難。XDR 的整合能力越強，就越能蒐集和交叉關聯更多資料，這有助於進一步減少誤判。此外，提供 XDR 解決方案的廠商若能與一套網路資安平台整合，就能讓資安人員從單一窗口管理整個受攻擊面。

2.貴公司產品是否提供視覺化端對端攻擊檢視？有些 XDR 解決方案或許只提供了攻擊在某個時間點的狀況。但若要遏止攻擊擴散、提升資安狀況，資安團隊要能查看攻擊的源頭以及擴散情形。

3.使用者體驗如何？尋找 (並留住) 好人才一直是一項挑戰。請避免挑選那些學習曲線太過陡峭或技術支援不佳的資安解決方案。廠商如果希望您能夠成功 (而非只想賣您產品) 那就會將教學內容、線上學習中心、甚至面對面溝通與意見回饋功能內建在產品中。

4.警示通知是否可用來採取行動？正如前面提到，SIEM 可產生大量的警示通知，但它們通常毫無用處。XDR 一樣能擷取 SIEM 所收到的記錄檔，但卻不會產生一堆誤判，因為記錄檔只是用來提供參考。好的 XDR 解決方案會根據風險評分與衝擊的嚴重性來判斷警示通知的優先次序。

5.定價結構如何？有些廠商是根據套裝或訂閱數量來收費。比方說如果您訂閱的數量是 1,000 名員工，萬一您後來裁撤了 10% 的員工，您還是得支付 1,000 名員工的訂閱費用。如果採用其他授權方式，例如點數模式，您就可以視業務需求變化而將點數挪到其他防護層使用。

6.貴公司是否提供託管式服務？人員及預算是否充足，會影響偵測及回應能力的建置。託管式服務能藉由專家威脅追蹤、7 天 24 小時監控與偵測，以及快速的調查與防範來彌補現有團隊的不足。

7.貴公司是否榮獲任何產業分析機構好評？每家廠商都喜歡宣稱自己是第一，所以，記得查看一下知名產業分析報告 (如 Forrester、Gartner 和 IDC) 來驗證廠商的話。

讓董事會認同 XDR

儘管統計數字顯示網路資安支出不斷增加，但這不保證您的預算就會跟著成長，網路資安想要獲得預算不是一件容易的事，所以很關鍵的一點就是要從財務與風險的角度來闡述 XDR 的效益。以下是您可考慮的一些論點：

1.投資資安解決方案 = 投資業務。根據 IBM 的「2022 年資料外洩成本」(Cost of a Data Breach) 報告指出，採用 XDR 的企業，其資料外洩成本平均低 10% 左右，而且整起資料外洩事件時間也可縮短 29 天。更短的停機時間與更小的財務衝擊，這就是 CXX 管理階層最愛聽的。

2.符合法規遵循要求。XDR 能協助企業達成法規遵循要求，讓企業避免鉅額罰款。而且，當您符合法規要求，您的資安狀況自然也就更好。

3.降低資安險保費。採用優良的 XDR 廠商，您就能向保險公司證明您如何超越 EDR 層次來偵測及回應威脅，進而降低風險。

下一步

如需有關 XDR 以及資安風險管理的更多資訊，請參閱以下文章：

• XDR 防護對網路資安風險管理有何助益
• 零信任與 XDR 如何相輔相成
• ESG 經濟價值驗證

◉原文出處：Guide to Better Threat Detection and Response (XDR)