延伸式偵測及回應 (XDR) 從多個防護層廣泛彙整各式各樣的資料來源以支援威脅的偵測、調查及回應。XDR 能打破資安藩籬,發掘攻擊的完整樣貌並呈現在單一檢視當中。
XDR:呈現完整樣貌
就威脅偵測而言,資安營運中心 (SOC) 分析師的工作就是要拼湊出攻擊的完整樣貌:從駭客突破防線、橫向移動,到最後可能發生的資料外傳,如此才能更快速掌握企業所遭受到的衝擊,並採取必要的回應。
因此,當 XDR 這個單一整合平台所接收的資料來源越多、涵蓋的防護層越廣,就越能透過交叉關聯分析獲得更全面的調查結果與更妥善的回應。
例如,今日某位分析師可能使用某種端點偵測及回應 (EDR) 工具來詳細查看所有監控中端點的可疑活動,但卻使用另一個不同的工具來檢視網路資安警報與流量分析。至於雲端工作負載上的可疑活動,分析師能夠掌握的可能就很有限。
環境中的所有環節都有可能產生許多無關緊要的警報,而這些可能通通都會傳送至一套資安事件管理 (SIEM) 系統。分析師可以看到這些警報,但卻無法掌握不同警報之間所發生的詳細活動記錄。若無進一步的交叉關聯分析,分析師將因缺乏情境資訊和方法來找出事件之間的關聯而錯失警報當中所隱藏的重要攻擊線索。
XDR 能夠串聯所有的防護層,讓資安分析師更完整掌握全貌,快速解讀企業內所發生的狀況,包括:使用者如何遭到感染、攻擊的首次入侵點、還有哪些系統或人員也遭到同一攻擊。
端點
高效率的端點活動記錄,對於分析威脅如何入侵、演變、並擴散至各個端點非常重要。有了 XDR,您就能掃描是否有入侵指標 (IoC),並根據攻擊指標 (IoA) 來搜尋威脅。
偵測:搜尋並發掘可疑和危險的端點事件。
調查:端點上發生了什麼? 事件的來源為何? 威脅如何擴散至其他端點?
回應:隔離事件、終止處理程序,刪除/復原檔案。
許多企業機構都會先從端點裝置下手,導入 EDR 工具。雖然 EDR 是個好的開始,但卻無法掌握攻擊過程的開始與結束。在它進入端點之前發生了什麼? 它是經由電子郵件入侵的嗎?是否有其他人也收到了同一封信? 在它進入端點之後發生了什麼? 它是否藉由橫向移動擴散至某台伺服器或某個容器? 它是否擴散至未受管理的裝置?
電子郵件
有鑑於 94% 的駭客入侵都是經由電子郵件開始[1],因此,發掘已遭駭入的郵件帳號並清除惡意電子郵件中的威脅,是企業整體威脅偵測能力最關鍵的一環。
偵測:搜尋並發掘電子郵件威脅、已遭駭入的帳號、很可能已遭攻擊的使用者,以及電子郵件攻擊模式。
調查:誰在進行滲透? 還有誰也收到同樣的惡意郵件?
回應:隔離電子郵件、封鎖電子郵件寄件人、將被駭的帳號重設。
由於電子郵件是駭客攻擊的首要途徑,因此應該列為跨層次偵測及回應優先涵蓋的重點。在使用者點選郵件附件檔案或郵件內的連結之前,電子郵件威脅通常不會影響到端點裝置。所以,很多電子郵件收件匣內可能還隱藏著許多未爆彈。因此,若能將端點偵測與電子郵件來源做連結,就能自動搜尋郵件收件匣,看看還有哪些人也收到同樣的惡意郵件,以及這些惡意附件或網址是否也出現在其他使用者的信箱內。如此,您就能隔離電子郵件並將威脅移除,以防止威脅進一步擴散或造成損害。
網路
網路數據分析是發掘是否有針對性攻擊正在網路內擴散或與幕後操縱 (CC) 伺服器通訊的絕佳方法。網路數據分析有助於過濾事件中的雜訊、減少資安上的死角,如 IoT 裝置或未受管理的裝置。
偵測:搜尋並發掘威脅擴散時會出現的異常行為。
調查:威脅的通訊方式為何? 它們如何在企業內四處遊走?
回應:釐清攻擊的範圍。
網路記錄檔可提供完整的資料來源,讓您了解攻擊的範圍,但這些記錄檔若未與其他資安警報進行交叉關聯分析,就很難獲得必要的情境資訊來判斷哪些是相關及重要的。所以,若網路與端點的資訊能夠結合,將非常有用。藉由兩種情報的交叉關聯,原本看似無害的端點活動 (如 PowerShell 執行記錄),一旦對照 CC 通訊記錄之後,很可能就變成了高嚴重性的警報。
伺服器和雲端工作負載
如同端點一樣,這也需要高效率的活動記錄才能分析威脅如何入侵、如何擴散至各個伺服器與雲端工作負載。您可掃描是否有入侵指標 (IoC),並根據攻擊指標 (IoA) 來搜尋威脅。
偵測:搜尋並發掘專門針對伺服器、雲端工作負載以及容器的威脅。
調查:工作負載內部發生了什麼? 威脅如何散布?
回應:隔離伺服器、終止處理程序。
企業或許會用 EDR 工具來處理伺服器和雲端工作負載的問題,但這麼做效果將大打折扣。單靠 EDR 並無法有效應付新的雲端模式,也無法提供所需的資料類型和可視性。如同其他管道一樣,交叉關聯分析伺服器環境的資訊,有助於釐清可疑的活動是否為惡意活動 (例如伺服器正與某個國家境內的 IP 進行通訊,而以前從未有過與該國通訊的記錄),所以可以利用來自其他防護層的資料來找出關聯性 (不論是端點或網路)。