甚麼是 XDR 保安層?

XDR 利用範圍廣泛的數據源,在多重保安層進行偵測、調查與回應。XDR 可打破保安壁壘,以單一視角識別及揭露一個完整的攻擊事件。

XDR:揭露完整事故

在威脅偵測方面,保安運作中心分析師的工作就是要搜集整個事故的歷程,由最初的滲透、之後的橫向移動以至最終的擴散,讓機構可以快速了解影響及採取所需回應行動。

將更多數據源及保安媒介輸送至單一整合的 XDR 平台,代表更大的關聯機會,有助於更全面的調查與回應。

例如,今天的分析師可能採用 EDR 工具來取得託管用戶端上可疑活動的詳細視野,但亦同時需要取得另一個網絡保安警報及流量分析的獨立視圖。對雲端工作負載而言,分析師可能只有有限視野來識別可疑活動。

這些環境都會產生警示並發送至 SIEM。分析師會看到警示,但卻會錯過相關活動的詳細記錄。因為沒有額外關聯,警示不會列出事件起因或與其他相關事件連繫起來,而分析師將不能見到埋藏在這些警示內的重要攻擊資料。

XDR 將不同保安層結合,讓保安分析師可以看到大環境及快速了解企業所發生的事件,包括用戶如何被感染、首個進入點在那裡,與及那些用戶亦受同一攻擊影響。

用戶端

要分析一個威脅如何到達、改變及在用戶端擴散,有效的用戶端活動記錄是必須的。您可以採用 XDR 來掃瞄入侵指標(IOCs)及根據攻擊指標(IOAs)來進行搜捕。

偵測:搜索及辨識可疑或危險的用戶端事件

調查:用戶端發生了甚麼事? 事件從何而來? 它如何傳播至其他用戶端?

回應:隔離、停止處理、刪除 / 復原檔案

很多機構都會由用戶端開始使用 EDR 工具。雖然這是一個好開始,但用戶可能漏掉攻擊事故的開始及結束部份的詳情。在攻擊到達用戶端之前發生了甚麼事? 它是從電郵而來的?其他人是否亦收到同一電郵? 它在登陸用戶端後發生甚麼事? 是否有橫向移動往伺服器或容器? 它有否擴散至未受管理的裝置?

電郵

由於 94% 的入侵都源於電郵[1] ,識別被入侵帳號及偵測惡意電郵威脅的能力已成為機構威脅偵測系統的重要一環。

偵測:搜索及辨識電郵威脅、被入侵帳號、被頻密攻擊用戶及電郵攻擊模式

調查:誰人進行了滲透? 還有誰收到了惡意電郵?

回應:隔離電郵、阻截發件者、重設帳號

電郵是排名第一的攻擊媒介,因此在跨層面偵測與回應中應被列為第一優先處理點。電郵威脅一般在用戶未點擊附件或內嵌連結之前都不會影響用戶端。未被觸發的威脅可能會停留在多個電郵信箱內而未被偵測。將用戶端偵測連繫至最初的電郵亦即表示您可以搜索郵箱以找出誰人亦收到此惡意電郵,與及惡意附件和連結是否仍在其他用戶的郵箱內。您之後可以隔離該電郵及移除威脅,防止額外擴散及損害。

網絡

網絡分析是一個極好的方法去找出正橫向移動或與幕後操縱通訊(C&C)伺服器溝通的針對性攻擊。網絡分析可以協助從雜訊中過濾事故及減少盲點,例如 物聯網及未被管理的裝置。

偵測:在威脅擴散時搜尋及辨識異常的行為

調查:威脅如何溝通? 它如何跨越機構移動?

回應:概述攻擊的範圍

網絡記錄提供全面的數據源,讓您了解攻擊範圍,但此記錄並未能關聯其他保安警報,令您很難了解事故來龍去脈,影響對關連事故及重要性的評估,因此網絡及用戶端須組成強大的組合。當關聯數據時您會突然發覺有些看來只與用戶端層面有關的活動,例如可疑的 PowerShell 活動,在考慮到可能與幕後操縱通訊(C&C)伺服器溝通時,便會被列為高優先次序的警報。

伺服器和雲端工作負載

像用戶端一樣,這需要有效率的活動記錄以分析一個威脅如何到達及擴散至伺服器及雲端工作負載。您可以搜索入侵指標及根據攻擊指標進行捕獵。

偵測:專門搜索及辨識針對伺服器、雲端工作負載及容器的威脅

調查:在工作負載中發生了何事? 它如何散播?

回應:孤立伺服器,停止處理

機構在伺服器及雲端工作負載採用 EDR 工具時,可能會影響系統效能,因為 EDR 本身並沒有能力對應雲端運算模式,亦不能提供所需的數據類型及視野。無論對何種媒介,關聯伺服器資訊都可以辨識可疑的惡意活動,例如伺服器與某國家從未聯絡的 IP 進行溝通,當這資訊與其他保安層的活動數據連繫,就可斷定是否惡意活動,無論是涉及用戶端及/或網絡。

XDR 保安議題

[1] Verizon 2019 Data Breach Investigations Report