威脅偵測與回應(TDR)是一套全方位的網絡資訊保安方案,採用進階工具、技巧和技術來協助企業即時偵測、評估及回應資訊科技基礎架構的潛在網絡威脅。
目錄
威脅偵測與回應結合進階工具與創新的最佳實務守則來尋找、發掘及消除網絡資訊保安威脅,不讓威脅對企業造成傷害。
威脅偵測與回應能即時監控網絡流量、分析活動模式以偵測異常情況,並且發掘並消除企業資訊科技基礎架構的風險,防範所有形式的網絡威脅,包括:
- 資料外洩
- 勒索程式、惡意程式、間諜程式。
- 網絡釣魚活動
- 虛擬加密貨幣挖礦
- 殭屍網絡攻擊
- 身份威脅
- 分散式阻斷服務攻擊
- SQL 程式碼注入攻擊
- 跨網站腳本(XSS)
- 來自現任和前任員工的內部威脅
TDR 利用入侵偵測系統以及 SIEM (威脅情報及保安資訊及事件管理)等各種工具及策略,強化保安團隊在企業環境回應威脅的能力,配合主動的網絡風險曝險管理 (CREM)方案,持續管理及減低風險。
威脅偵測與回應為何重要?
企業隨時面臨各種精密的網絡威脅,可能滲透系統、入侵資產,並且影響網絡。這些威脅對企業帶來重大風險,從財務損失、法規懲處,到造成長期商譽損失。
威脅偵測與回應能提升企業的資訊保安狀況,提供即時掌握實際及潛在威脅的狀況。如此一來,企業的資訊保安團隊就能主動採取行動,盡可能迅速對應潛在威脅,防止黑客造成無法修補的損害。
此外,由於威脅偵測與回應更難讓黑客潛入系統,因此有助於確保企業擁有適當的資料安全與私隱保護措施來符合歐盟通用資料保護法規、HIPAA 和 CCPA 等相關規範。
威脅偵測與回應如何運作?
絕大多數的威脅偵測與回應平台都採用五個主要的防禦階段:監控與分析、威脅偵測、威脅評估、威脅回應,以及持續改進。
步驟 1:監控與分析
首先,TDR 會全天候持續監察及評估機構的整個網絡,以尋找潛在風險或漏洞。它會學習平常的模式和活動,並建立正常經營方式的基準。
步驟 2:威脅偵測
威脅偵測與回應在學會認清典型的資訊科技和網絡行為後,會隨時實時分析整個企業環境,尋找任何可能成為網絡資訊保安威脅徵兆的異常情況。包括異常大的檔案傳輸或未經授權的登入嘗試,以及未經授權的裝置使用,或是網絡流量意外變動。
步驟 3:威脅評估
一旦發現潛在威脅,TDR 會利用最新的業界威脅情報來將真實攻擊與誤判分開,並標記任何看似異常的可疑活動。
步驟 4:威脅回應
接下來,威脅偵測與回應平台會執行一系列的自動操作、警示及策略來迅速果斷地回應威脅。包括隔離受影響的系統、隔離惡意檔案、攔截未經授權的存取嘗試,以及發送警示給負責保護網絡的人員,告知他們可能需要採取其他行動。
步驟 5:持續改進
最後,威脅偵測與回應平台會運用從威脅中學到的知識來持續改進企業的資訊保安。由此可降低類似攻擊再次發生的機率,同時確保企業安全,防範當前和未來的威脅。
威脅偵測及回應成功的關鍵要素之一,就是能夠利用自動化回應來盡快偵測及防範威脅。此外,威脅偵測與回應還可與現有的網絡、端點及雲端防護框架密切整合。如此一來,企業就能建立一套多層式的資訊保安方法,徹底利用威脅偵測與回應的進階功能,同時又不犧牲現有網絡資訊保安基礎架構的完整性。
威脅偵測與回應的關鍵要素為何?
顧名思義,威脅偵測與回應的主要元素就是威脅偵測與威脅回應。但這些元件可分成三個不同部分:威脅情報與分析、自動化偵測工具,以及事件回應。
威脅情報與分析
首先,TDR 從可信賴的業界來源收集有關當前及新興威脅的最新情報。讓用戶隨時掌握新的攻擊技巧,並搶先一步防範黑客攻擊。
自動化偵測工具
接著,威脅偵測與回應會運用各種自動化偵測工具與機器學習來即時關聯、分析及合成所有大量的原始資料。比傳統資訊保安方案更快偵測、評估及回應威脅。
事件應變計劃
一旦偵測到威脅,威脅偵測與回應就能針對任何類型的事件制定詳細的回應計劃,以便盡快隔離、防範或消除威脅。
事件回應計劃會列出資訊保安團隊每位成員的角色和責任,確保不會阻礙他們在攻擊發生時迅速做出回應。此外,還包括如何發掘及分析攻擊、遏止或消除威脅,以及徹底復原的確切指示。
因此,事件回應計劃可大幅減少回應攻擊所需的時間,以及攻擊可能造成的損害。它也協助應變團隊學習如何防範類似的威脅,讓未來的攻擊變得較不危險。
一套多管齊下的方法
此外,TDR 結合了各種威脅偵測與回應工具來打造一套真正多管齊下的威脅管理模式。包括:
- 用戶端偵測與回應(EDR):自動關聯涵蓋多重防護層的端點和伺服器資料,提供更快的偵測、更優異的分析,以及更快的回應時間。
- 擴展式偵測與回應 (XDR):運用人工智能和機器學習模型來發掘潛在攻擊,並偵測、調查及回應威脅。
- 網絡偵測與回應(NDR):保護網絡的所有元素,從路由器、筆記本電腦到智能恆溫器及其他未受管理的資產。
- 身份威脅偵測及回應 (ITDR):發掘最危險、最高權限的用戶,發出任何可疑活動的警示。
- 電郵偵測與回應 (EMDR):延伸威脅偵測與回應至用戶電郵、威脅記錄檔及可疑行為。
- 雲端偵測與回應 (CDR):保護雲端資產,如工作負載、容器、K8 叢集及虛擬機器。
- 營運技術偵測與回應:提供營運技術與資訊科技環境的整體概觀,讓您更清楚掌握裝置與網絡層的網絡威脅。
- 防火牆即服務(FWaaS)——提供傳統現場防火牆的雲端替代方案。
- 託管式偵測與回應(MDR):一種外包服務,可監控網絡攻擊徵兆,並且在偵測到任何威脅時立即採取行動。
有效偵測及回應威脅的最佳實務守則範例
最有效的威脅偵測與回應方案,整合了各種業界標準的最佳實務守則來發掘、評估及回應威脅。包括:
- 持續監控評估:採用 SIEM、EDR 及 XDR 這類工具來持續監控及評估網8流量、資料及端點,對於偵測異常狀況、找出漏洞、即時處理威脅至關重要。
- 訓練與認知:雖然定期訓練有助資訊保安團隊有效且高效率地處理網絡威脅,但最危險的攻擊通常是因為一般員工沒有使用強大密碼,或是不小心打開了錯誤的電郵。提升企業對網絡資訊保安和威脅偵測與回應的意識,就能防範這項風險,確保所有員工隨時保持警覺、掌握資訊、知道該如何避免風險,確保企業安全。
- 定期更新和技術升級:由於網絡威脅不斷演變,因此任何 TDR 方案都必須能取得最新的情報及技術。此外,定期更新情報與升級技術還能提升威脅偵測的準確性,協助企業回應新興威脅。
未來威脅偵測及回應將如何演變?
網絡資訊保安情勢正以驚人的速度不斷改變。隨著威脅日益精密,威脅偵測與回應將必須適應威脅來加以回應。
如同今天其他一切事情一樣,人工智能可能很快就在威脅偵測與回應的所有層面扮演更重要角色。例如,人工智能有助企業更準確地分析攻擊模式、在網絡內採用零信任架構,並提升威脅偵測的成功率。此外,它還可利用人工智能來以毒攻毒,對抗在各個經濟領域都越來越普遍的人工智能攻擊。
另一方面,像量子運算這類的新技術也需要整合,才能讓未來的威脅偵測與回應方案能夠應付新的網絡資訊保安挑戰。
哪裡可以取得威脅偵測與回應的協助?
Trend Vision One™ Security Operations(SecOps)能讓您的企業以 XDR、SIEM 和 SOAR 的強大功能來主動偵測、調查及回應威脅。關聯端點、伺服器、電郵、身份、流動裝置、資料、雲端工作負載、營運科技、網絡、全球威脅情報來源等事件,根據最高優先次序發佈可採取行動的警示,並將複雜的回應動作自動化。高準度的偵測能顯示攻擊的完整過程,從根源到事件的完整範圍,而我們的原生第三方產品回應功能則讓黑客無所遁形。
Fernando Cardoso 是趨勢科技產品管理副總裁,專長於不斷演進的人工智能與雲端世界。他的職業生涯由擔任網路與銷售工程師開始,並在數據中心、雲端、DevOps 及網絡資訊保安領域都具備優異技能,而他對這些領域依然煥發了無比熱情。