端點裝置
是時候升級您的 EDR 解決方案了
您也許已經建置了 EDR,但您知道嗎?您可以增加更多的威脅偵測及回應功能來改善資安營運 (SecOps) 團隊的效率與成果,請繼續往下閱讀。
資安團隊正面臨許多迫切的挑戰,就以警報通知疲勞轟炸為例:根據 2023 年企業數位鑑識分析與事件回應 (DFIR) 現況調查 (2023 State of Enterprise DFIR survey),64% 的受訪者表示警報與調查疲勞讓他們覺得備感壓力。這項數據一點也不令人意外,因為,資安營運 (SOC) 團隊平均每天收到 4,484 次警報通知 (換句話說,在一天 8 小時的上班日,每 6.42 秒就有一次)。
此問題的核心來自於威脅偵測及回應解決方案零散不連貫且缺乏效率。許多資安人員會採用一套 SIEM 來將分散於各資安工具的記錄檔與警報通知蒐集在一起。
這會產生兩個問題:第一,網路攻擊很少只透過一、兩種途徑;第二,SIEM 很會蒐集資料,但並非所有 SIEM 都能有效地交叉關聯分析這些資料。不完整的可視性與情境資訊的缺乏,很容易因誤判而造成雜訊,進而拖慢調查工作的進度。根據 Help Net Security 發現,SOC 團隊幾乎要花費三小時的時間手動進行警報的分類。
此時,延伸式偵測及回應 (XDR) 就能派上用場。
何謂 XDR?XDR 是端點偵測及回應 (EDR) 的進一步延伸,它能超越單一防護層的侷限,從各個不同的防護層即時蒐集並交叉關聯資料,例如:電子郵件、伺服器、雲端工作負載、網路,以及端點。
藉由交叉關聯相關的活動來產生高可信度的偵測事件,消除大量的誤判,加快威脅偵測及回應速度。ESG 發現,採用 XDR 的企業都能體驗到其整體的資安狀況、進階威脅的偵測能力、威脅的調查時間,以及應付大量警報的能力都有大幅改善。導入及微調 XDR 功能可改善資安效率,簡化資安營運,並提升員工生產力。
探索更多 SOC 最佳實務策略:避開資安的盲點
採用適當的 XDR 方法您所採用的 XDR 方法將取決於您企業的需求,實現 XDR 功能的方法並非只有一種,而且並非所有 XDR 解決方案或方法都一樣。目前最常見的 XDR 方法有三種:
- 原生式 (完整):這種方法是以自家產品的資料來源為基礎,並在單一平台當中管理整個 XDR 流程。
- 開放式:經由與第三方整合來提供一定程度的 XDR 功能。
- 混合式:使用原生來源再搭配第三方及 API 整合來提供交叉關聯偵測、整合調查以及多層式回應。
請在這三者當中挑選一家以強大的原生監測資料為基礎的廠商 (也就是監測資料來自他們自家的工具),並與您現有的監測資料來源整合。原生式 XDR 的最大優勢在於能運用深度的活動資料來建立最佳化的分析模型以進行交叉關聯偵測。開放式 XDR 具備原生式 XDR 所沒有的優點,可從更廣泛的來源蒐集資料,但在很多情況下卻只會用到警報資料,因此能提供的情境以及可做的分析都有限。除此之外,一家在各個防護層都原生內建強大偵測模型的廠商,能讓資安團隊更容易上手,不像一套極度仰賴第三方整合的產品需要複雜的組態設定。
將調查整合在一起來提升偵測成效
重點就在於將第三方或 API 整合與電子郵件、伺服器、雲端工作負載及網路層的感測器結合。交叉關聯偵測的好處是能獲得回答以下關鍵問題的情境資訊:
- 使用者或主機如何遭到入侵?
- 攻擊的第一個入侵點在哪裡?
- 還有哪些其他裝置或使用者也遭到同一起攻擊?
- 威脅的源頭在哪?
- 威脅如何擴散?
- 還有多少其他使用者也可能會被同一威脅入侵?
並非所有的威脅都來自於端點。根據 IBM 2023 年資料外洩成本報告 (Cost of a Data Breach Report 2023),網路釣魚和失竊或外洩的登入憑證是駭客初步攻擊最常使用的兩大途徑。XDR 應該要能讓您偵測電子郵件威脅,包括已遭駭客入侵並在內部散發網路釣魚郵件的帳號。當偵測到威脅時,XDR 應該也要掃描電子郵件信箱來發掘還有誰也收到同樣的電子郵件,如此一來才能將威脅隔離或刪除以防止擴散。
此外還有網路偵測及回應 (NDR) 也可彌補 EDR 的盲點。有了關於網路流量與行為的即時活動資料,再加上邊界與內部橫向連線,就能協助分析師發掘威脅的通訊方式以及它們如何在網路內部擴散。有了這些知識,資安人員就能封鎖主機和網址,並且停用 Active Directory 帳號來抑制攻擊擴散。
雲端工作負載、伺服器以及容器對於企業的營運至關重要,所以,監控這些層面的活動對於減少重大資安事件非常重要。XDR 能蒐集並交叉關聯活動資料,例如:使用者帳號活動、電腦處理程序、已執行的指令、網路連線、已建立/已存取的檔案、系統登錄修改等等,如此就能掌握警報通知發生時的完整情境。資安團隊可深入追查雲端工作負載內部發生了什麼,以及當初攻擊是如何擴散。
將來自 XDR 的情報營運化
根據 ESG 的一份報告:「SOC 現代化與 XDR 的角色」(SOC Modernization and the Role of XDR),SOC 在 2022 年最重要的工作就是「加強威脅情報的營運化」。面對日益精密且成功的網路攻擊,將威脅情報融入營運當中是 SOC 一項不可或缺的功能。您對駭客的行動和目標了解越多,您企業的韌性和應變能力就越強。
MITRE ATT&CK 框架在分析攻擊行動、駭客團體以及個別活動時非常有用。儘管這套框架已經無所不在,但許多企業依然還在設法了解如何一致地運用這套框架。
從 XDR 解決方案的角度來看,您可以利用該框架中所列的攻擊手法、技巧與程序 (TTP) 來開發偵測規則和模型,確保威脅情報能直接融入到事件調查當中。如此就能辨識攻擊行動對應的 TTP,進而掌握攻擊的完整生命週期。
TTP 也可以用來建立威脅追蹤條件,或主動查看環境內找到的 TTP,並以它為起點開始實施針對性調查。
最後,MITRE ATT&CK 框架還可用來發掘資安上的漏洞,並安排該優先處理哪些活動以降低風險並提升韌性。
挑選 XDR 時的關鍵考量
儘管感測器的涵蓋範圍相當重要,但在挑選 XDR 廠商時還有許多其他的因素需要考量,以確保您能獲得最佳的威脅偵測及回應能力。您可詢問廠商以下幾個問題:
1. 產品是否友善支援 API 整合?有些廠商並未將其 API 與 SIEM 和 SOAR 整合。XDR 的整合能力越強,就越能自動化作業並協調整個生態系的工作流程。此外,提供 XDR 解決方案的廠商若能與一套網路資安平台整合,就能讓資安人員從單一窗口管理整個攻擊面。
2. 產品是否提供視覺化端對端攻擊檢視?有些 XDR 解決方案或許只提供了攻擊在某個時間點的狀況。資安團隊須掌握受管理與未受管理資產以及加密網路流量的可視性,才能了解攻擊源自於何處,以及如何擴散開來。透過 NDR 來擴展網路監測數據,並與網路事件進行交叉關聯,資安團隊就能描繪出完整的攻擊過程,並強化您的資安狀況。
3. 使用者體驗如何? 尋找 (並留住) 好人才一直是一項挑戰。請避免挑選那些學習曲線太過陡峭或技術支援不佳的資安解決方案。廠商如果希望您能夠成功 (而非只想賣您產品) 那就會將教學內容、線上學習中心、甚至面對面溝通與意見回饋功能內建在產品中。
4. 他們是否放眼於未來?確保廠商會致力改善其產品,不但要因應持續演變的威脅情勢,還要讓您的團隊更容易工作。他們是否擁有強大的策略知道如何運用 AI 來大幅減輕您資安團隊的負擔? 不要害怕提出艱難的問題,這樣才能確認廠商不是虛張聲勢。若廠商已經具備一套策略來為您使用的 AI 工具提供適當的保護,也可以加分。
5. 警報通知是否可用來採取行動?正如前面提到,舊式的 SIEM 可產生大量的警報通知,但這些警報通常毫無用處。您必須手動執行很多偵查工作才能讓舊式的 SIEM 成為您的幫手。適當的 XDR 解決方案能提供可化為行動的警報,這要歸功於它原生具備了跨防護層交叉關聯與偵測模型。不僅如此,它還必須根據風險評分與衝擊的嚴重性來判斷警報的優先次序,這樣才能加快回應速度。
6. 定價結構如何?請尋找定價結構對企業營運有利的廠商。大多數廠商通常會依照套數或基座來計算訂閱數量,但假使您的員工離職或解雇,這會導致您支付了一些沒用到的感測器。請考慮採用一些更彈性的授權選項,讓您隨需求而調整數量,並且消除固定成本以及未用到的授權所帶來的損失。
7. 是否提供託管式服務?人員短缺或預算不足,都會影響偵測及回應能力的建置。廠商若能提供託管式服務來彌補您既有團隊的不足,由專家來幫您執行威脅追蹤、7 天 24 小時監控和偵測,以及快速調查及防範威脅,那是將無比的優勢。您既可獲得資安專業與能力,又能減輕您團隊的沉重負擔,好讓他們有時間執行更重要的計畫。
8. 產品是否榮獲產業分析機構好評? 每家廠商都喜歡宣稱自己是第一,所以,記得查看一下信譽優良的產業分析機構報告來驗證廠商的話。順便宣傳一下,您可參考一下趨勢科技在業界的評價。
讓董事會認同 XDR儘管統計數字顯示網路資安支出不斷增加,但這不保證您的預算就會跟著成長,網路資安想要獲得預算不是一件容易的事,所以很關鍵的一點就是要從財務與風險的角度來闡述 XDR 的效益。以下是您在說服董事會採用 XDR 時可考慮的一些論點:
投資資安解決方案 = 投資業務。根據 IBM 的「2022 年資料外洩成本」(Cost of a Data Breach 2022) 報告指出,採用 XDR 的企業,其資料外洩成本平均低 10% 左右,而且整起資料外洩事件的時間也可縮短 29 天。更短的停機時間與更小的財務衝擊,這就是 CXX 管理階層最愛聽的。
降低資安險保費。保險公司通常會看您有沒有 EDR,但若您展示您已經超越了端點層次,採用 XDR 來降低資安風險的話,將有助您獲得更低的資安險保費。
下一步該怎麼做
如需有關 XDR 與資安風險管理的更多資訊,請參閱以下系列文章,或點選此連結來看看 Trend Vision One(TM) – XDR 如何確保駭客無處躲藏。