XDR 是甚麼?

XDR(擴展式偵測與回應)跨越多個保安層面收集及關聯偵測到的深層活動資訊,涵蓋電郵、用戶端、伺服器、雲端工作負載及網絡等保安層,可以更快偵測威脅及透過保安分析改善調查與回應時間。

XDR

隱秘的威脅可以避過偵測,它們會潛藏於保安壁壘中,避開未連結方案的警示,並在適當時機進行擴散。同時,繁忙的保安分析員也要利用狹隘及互相隔絕的攻擊視野來分流及進行調查。

XDR 則以宏觀的偵測與回應手段來打破這類壁壘。它跨越多個保安層面收集及關聯偵測到的深層活動資訊,涵蓋電郵、用戶端、伺服器、雲端工作負載及網絡等保安層。自動化分析這套內容豐富的數據令偵測威脅更為快速。因此,保安分析師可以進行更全面調查及採取快速行動。

深入了解可以輸送數據至 XDR 的保安層面

保安運作中心的挑戰

在偵測與回應方面,保安運作中心分析師所背負的責任十分艱鉅。他們必須快速辨識關鍵威脅以限制對機構的風險及損害。

警報超出負荷

資訊科技及保安團隊經常都被不同方案的警報所淹沒。一家擁有 1000 員工的機構,每秒鐘可以有多達 2 萬 2 千個事故進入其保安資訊及事故管理系統(SIEM) ,這亦即表示每天有差不多 200 個事件。[1]保安團隊只能以有限方法來關聯及為警報設定優先次序,更難以快速有效地疏理重大事件的雜訊。XDR 自動將達到信任下限的事件捆綁至較高信任度的事件,從而產生更少但較高優先次序的警報作行動之用。

保安方案之間的可視性落差

很多保安產品都為事件提供視野,不同方案亦以獨特角度收集 / 提供相關及有用的資訊。整合保安方案可以促進資訊交流及合併,但其價值往往受制於所收集資料的種類、深度及關聯分析的程度。這表示缺口已出現在分析師所見資訊和用途上。相反地,XDR 可以橫跨個別保安工具收集及存取整個數據池的活動資料,包括偵測、遙測紀錄、元數據及網絡流等。應用先進的分析及威脅情報,XDR 提供攻擊為本視野,橫跨不同保安層顯示完整系列事故的全面背景。

進行調查的難處

面對大量記錄及警報,但又缺乏清晰的指標,您很難知道需要尋找甚麼。假如您發現事故或威脅,您很難找出它在機構內的路徑及造成的影響。調查是一項極花時間的手動工作,有時甚至沒有資源去進行。XDR 自動化威脅調查程序,可減少手動步驟,並提供豐富數據及工具作分析。以自動化根本原因分析為例,分析師可以清楚見到在電郵、用戶端、伺服器、雲端工作負載及網絡的時序表及攻擊路徑,然後可以評估每個攻擊步驟來採取回應行動。

緩慢的偵測及回應時間

這情況可導致威脅長時間不被偵測,最終令回應時間增加,並令攻擊的風險上昇及後果惡化。XDR 最終可優化極須改善的威脅偵測率及回應時間。越來越多機構都會採用平均偵測時間(MTTD)及平均回應時間(MTTR)來作為衡量及監察表現的主要準則。同樣地,方案及投資的價值亦以它們如何推動這些指標及協助企業降低業務風險的能力來衡量,

XDR 與 EDR 的比較

XDR 提供的進化版偵測與回應服務,超越現時單點方案及單一媒介方法。

明顯地,用戶端偵測與回應(EDR)的價值極為龐大。不過,雖然 EDR 的功能極具深度,它卻因為只能偵測及回應託管用戶端而受限制。這亦限制了威脅偵測範圍,難於找出誰人和那方面受到影響,並最終導致保安運作中心未能作出最佳回應。

同樣地,網絡流量分析(NTA)工具的視界亦只限於網絡及受監控的網絡段。NTA 方案一般都不停發出大量記錄,要從網絡警報中取得合理分析和真正價值,關聯網絡警報及其他活動數據就變得十分關鍵。

補充 SIEM 之不足

機構都在採用 SIEM 來從不同方案收集記錄及警報。雖然 SIEM 讓機構可以從不同地方收集資訊作中央化監察,但亦令他們被極大量警報所淹沒。這些警報很難被分類整理以找出重要及急需處理項目。單憑 SIEM,關聯及連繫所有資訊記錄以取得大環境視野就變得極具挑戰性。

相反地,XDR 可以收集深層活動數據及傳輸資訊至數據池,方便進行跨層面掃瞄、搜索及調查。在豐富數據集應用 AI 及專家分析,可減低傳送至機構 SIEM 方案的警報量及提供更詳細資料。XDR 可以強化 SIEM,而不會將之取代。它可以減低對相關警報及記錄進行保安分析的時間,與及決定須留意那個警報及須對那個警報進行深入調查。

必要功能

超越用戶端的多重保安層面

  • 要進行擴展式偵測與回應,您需要覆蓋最少兩個層面,包括用戶端、電郵、網絡、伺服器及雲端工作負載,而覆蓋層面越多就越好。
  • XDR 從不同層面提供活動資料至數據池,而有關資料都會可在最相關的結構中作有效關聯及分析。
  • 從單一廠商的原生保安組件取得資訊可防止廠商/方案增生。它亦可在整合及互動方面提供無可比擬的深度,涵蓋偵測、調查與回應功能。


人工智能及專業保安分析

  • 數據收集是 XDR 的其中一項優勢,最關鍵的是利用分析及情報來推動更好及更快的偵測。。
  • 收集遙測紀錄已成常態,要增值就需要將保安分析結合威脅情報,將資訊轉化為啟示及行動。
  • 透過原生及智能感應器輸入數據的分析引擎提供更有效率的保安分析,此引擎亦可透過第三方產品或遙測裝置取得數據。任何廠商對自家產品數據的認識,都應該比對第三方數據的認識更深入。用戶可優先採用專門為廠商的原生保安組合而打造的 XDR 方案,以確保最大化分析功能,。


提供完全視野的單一、整合及自動化平台。

  • 透過來自單一觀點的數據作出合乎邏輯的連繫,XDR 可促成更具洞察力的調查。
  • 圖像化及攻擊為本時間軸畫面可同一時間提供所有答案,包括:

用戶如何受感染
攻擊的第一入侵點
甚麼 / 誰人涉及同一攻擊
威脅源起那裡
威脅如何擴散
多少其他用戶接觸到同一威脅

  • XDR 強化了保安分析師的能力及精簡工作流程,它加速或移除手動步驟,讓不能即時進行的檢視及分析成為可能,優化了團隊的能力。
  • 整合 SIEM 及保安協調、自動化與回應(SOAR),令分析師可以將 XDR 的觀點協調在更全面的保安生態系統內。

XDR 保安議題

[1] 資料來源: http://content.solarwinds.com/creative/pdf/Whitepapers/estimating_log_generation_white_paper.pdf