漏洞攻擊
網路偵測及回應:SOC 的洩壓閥
網路資安團隊已經有能力應付其管理的科技裝置所面臨的威脅,但「未受管理」的裝置卻成為了駭客藏匿的絕佳地點,因此網路偵測及回應就變得非常重要。
企業花費了數十億美元的經費在網路資安之後,卻還是遭到駭客的入侵,這有一部分原因是企業的攻擊面日益擴大,另一部分原因是網路上充斥著各種「未受管理」的裝置,成為駭客理想的攻擊目標。為了消除這些駭客藏身之處,頂尖的分析師都建議企業應該在網路資安防禦當中加入網路偵測及回應 (NDR,Network Detection Response) 功能。
電影情節裡經常出現高壓力又緊張刺激的工作場景,例如:核電廠和空中交通控制塔台。在電影裡,技術人員滿身大汗地控制著混亂的場面並與時間賽跑,但外面的世界卻渾然不知,依然過著平靜的日子。不過就現實來看,企業資安營運中心 (SOC) 的生活更顯得緊張刺激一點。
今日的 SOC 每天都頂著巨大的壓力對抗那些絕大多數企業員工從未聽過的威脅而不知,除非駭客得逞了。SOC 非常了解失敗的代價,所以無時無刻不在處理當下最迫切的風險,而且還得迅速行動。
所幸,SOC 有不少聰明又強大的工具可作為輔助。事實證明,端點偵測及回應 (EDR) 技術在攔截企業「受管理」裝置上的威脅非常好用。但問題是,有越來越多「未受管理」的裝置正在存取企業網路,為駭客製造了破口。所以企業需要觸及範圍更深更遠的網路偵測及回應 (NDR) 解決方案。
為何網路偵測及回應工具不可或缺
在所有連網的裝置中,僅有一小部分會存取企業網路,但隨著全球整體的裝置數量到 2025 年將上看 182 億台,就算是只有其中的「一小部分」連上企業網路而且不受管理,這對 SOC 人員來說也是一個令人頭痛的巨大資安問題。
未受管理的資產是駭客最佳的藏匿地點,這包括了形形色色的裝置:資安代理程式已過期的受管理裝置、個人自備裝置 (BYOD)、路由器和其他網路設備,以及恆溫控制系統與連網醫療設備等等。
由於這些資產並未受到管理,因此很難加以升級或修補,也無法掃描是否有漏洞存在。而且有些裝置「根本」不能管理,因為裝置本身的效能不夠強大所以無法安裝資安代理程式,或是因為法規的關係而無法加以掃描或修改,例如在加拿大的某些醫療裝置。
這些未受管理的資產設備,在企業 IT 環境當中越來越多,在此同時,網路本身的防護也越來越艱難。網路的邊界正在消失,尤其在遠端與混合上班模式竄紅之後。根據 McKinsey 指出,有 58% 的美國工作人口已經從遠端上班,網路的邊界已經不存在。
網路資安團隊再也無法期望只要將駭客「阻擋在外」就能安心過日子。EDR 可偵測受管理資產上的惡意活動,並觀察受管理裝置與未受管理裝置之間的異常交流,然而一旦威脅躲藏在未受管理的裝置上,基本上就無法追蹤。不僅如此,駭客還擅長躲藏在您的眼皮底下,使用一般正常的工具和應用程式在網路內部四處遊走。很多駭客在潛入企業之後都會低調地躲藏數個月而不被發現,等到最後一刻才發動攻擊。
儘管 SOC 團隊能監控可疑的橫向移動,但卻經常無法確切知道網路流量的內容,因為絕大多數的流量 (根據 Google 的說法,包括 95% 的網站流量) 都是加密的。
NDR 解決方案有助於彌補這個缺口,讓未受管理的裝置現形。
尋找潛伏的威脅
NDR 的作法是「即時」監控、偵測及回應網路上的威脅與異常情況,它採用精密的技術與方法來發掘並處理傳統資安措施可能無法偵測的潛在威脅。
NDR 所用的方法包括:可持續監控和分析流量的深層封包檢查、行為數據分析,以及使用機器學習威脅情報來發掘異常現象與可疑威脅。
至於企業需要何種 NDR 解決方案才能全面、且最有效地管理風險,產業分析機構已有不少討論。Forrester 提出了幾項重要的額外功能:可查看網路與網站流量的整合式解密功能、支援零信任方法,以及 (最重要的) 提供優先次序判斷的 SOC 分析師體驗,目的是要防止 SOC 人員被大量的資料和警報所淹沒。
Gartner 也指出,儘管 AI 和機器學習對於任何 NDR 解決方案來說都是必要的,但還需要威脅情報才能針對真實世界的風險進行資料分析。此外,也需要跨防護層的交叉關聯來減少整體的警報數量,提升威脅偵測的準確度。
SOC 的洩壓閥
結合即時監控與自動化回應功能,NDR 就能讓企業更全面地防範精密的駭客威脅,盡量降低資安事件的潛在衝擊。
有鑑於企業攻擊面的變化,NDR 是管理攻擊面風險的重要一環,它能將 XDR 功能融入網路防護當中,讓 SOC 團隊更輕鬆地做好自己的工作,進而減輕壓力。有了這樣的工具之後,SOC 的生活也許就不會再像好萊塢電影情節那般令人神經緊繃。
更多洞見
如需有關 NDR 及相關議題的更多資訊,請參閱以下資源: