何謂 XDR?

XDR (延伸式偵測及回應) 可蒐集並自動交叉關聯涵蓋多個防護層的資料,包括:電子郵件、端點、伺服器、雲端工作負載以及網路。如此可藉由資安分析來提供更快的威脅偵測,提升調查與回應時間。

XDR

隱匿的威脅有能力躲過偵測,它們會隱藏在各自為政而缺乏關聯的資安產品警報當中並隨著時間而不斷累積,然而疲於奔命的資安分析師只能從片段的線索當中,透過分類和調查,試圖拼湊攻擊的樣貌。

XDR 能打破資安產品之間的藩籬,採用一種全方位面面俱到的偵測及回應方法。XDR 可蒐集並透過交叉關聯涵蓋多個防護層的偵測事件與深入的活動資料,包括:電子郵件、端點、伺服器、雲端工作負載以及網路。如此豐富的資料若能透過自動化分析,就能更快偵測威脅,同時也讓資安分析師擁有適當的工具可完成更多任務,並透過調查來採取更迅速的行動。

本圖示範 XDR 可彙整哪些不同防護層的資料


進一步了解 XDR 可彙整哪些防護層的資料。

SOC 挑戰

談到偵測及回應,資安營運中心 (SOC) 分析師正面臨一項嚴苛的挑戰,他們必須快速發掘重大的威脅以降低企業的風險與損害。

警報通知疲勞轟炸

IT 和資安團隊經常被來自各種解決方案的警報通知疲勞轟炸,但這一點也不奇怪。一家平均 1,000 名員工的企業,其資安事件管理 (SIEM) 系統所收到的事件在尖峰時可高達每秒 22,000 筆。換句話說,一天就有將近 2 百萬筆[1]。但他們卻沒有太多方法來交叉關聯分析這些警報並過濾其優先次序,因此很難從大量雜訊當中迅速有效地分離出重大事件。XDR 能自動在一系列看似不太相干的活動當中找出關聯,拼湊出一個高可信度的事件,過濾出量少、質精的警報,進而採取行動。

不同資安解決方案之間的可視性缺乏連貫

許多資安產品都能提供活動檢視,但每套解決方案都有自己的獨特觀點,因此所蒐集和提供的資料,基本上都是從特定的用途出發。資安解決方案之間的整合有助於資料的交換和彙整,但其價值經常受限於所蒐集的資料類型與深度,以及交叉關聯分析的程度。換句話說,分析師所看到跟所能辦到的之間存在著差距。反觀 XDR 能從各個獨立的資安工具匯集完整的活動來方便您存取,包括:偵測資料、監測數據、Metadata 以及網路流量。XDR 會套用精密的數據分析與威脅情報,提供完整的情境資訊來檢視攻擊在各個防護層的活動,拼湊出完整的攻擊樣貌。

調查工作的困難

空有大量的記錄檔與警報通知,卻無明確的徵兆,您將很難判斷該從何處發掘。當您發現了某個問題或威脅時,您很難找出其攻擊路徑以及對企業的影響。調查的工作既耗時費事,又只能手動作業,甚至即便擁有充裕的資源也可能不一定應付得來。XDR 能將威脅調查自動化,消除手動作業,提供豐富的資料和工具來執行一些原本不可能做到的分析,例如自動化根源分析,分析師可清楚看到攻擊的時間軸和路徑 (經由電子郵件、端點、伺服器、雲端工作負載以及網路),這樣一來,分析師就能深入評估攻擊的每個步驟以觸發必要的回應。

拖慢偵測及回應時間

前述各樣挑戰所造成的結果就是,威脅潛伏太久而未被偵測,進而延長了回應時間,增加了攻擊的危險性與嚴重後果。XDR 最終將有助於改善迫切需要提升的威脅偵測速度與回應時間。資安部門已逐漸將平均偵測時間 (MTTD) 與平均回應時間 (MTTR) 列為重要的衡量與監控指標。同理,他們在評估解決方案的價值以及是否值得投資時,會思考解決方案是否能對這些指標有所幫助,以及是否能降低企業的業務風險。

XDR 與 EDR 的差異

XDR 象徵著偵測及回應已超越目前單一功能、單一面向的解決方法。

顯然,端點偵測及回應 (EDR) 已具備很大的價值。然而,儘管 EDR 所能提供的可視性已經相當深入,卻仍受限於它所偵測及回應的威脅只涵蓋受管理的端點。因而限制了威脅偵測所能涵蓋的範圍,無法確切掌握受到影響的人員和系統。這樣的限制,最終將削弱 SOC 的威脅回應成效。

同理,網路流量分析 (NTA) 工具的視野也只侷限於網路,以及監控中的網段。NTA 解決方案通常會產生大量的記錄檔,所以網路警報與其他活動資料的交叉關聯分析就非常重要,如此才能從網路警報當中理出頭緒並發揮其價值。

與 SIEM 相輔相成

企業機構利用 SIEM 來將各種不同產品的記錄檔與警報蒐集起來。雖然 SIEM 能讓企業將各個地方的資訊彙整起來,提供集中的可視性,但卻也因而造成大量個別的警報通知。這些警報通知很難整理出頭緒來判斷哪些是重要且需要注意的警報。光靠一套 SIEM 系統,很難針對蒐集來的所有記錄檔資訊進行交叉關聯分析,以掌握更完整的情況。

反之,XDR 能蒐集深度的活動資料,將資訊匯入資料湖來執行跨越多重防護層的掃描、搜尋及調查。借助 AI 與專家數據分析的力量,先從這些豐富的資料當中挖掘出量少、質精的警報,然後再發送到企業的 SIEM 系統。XDR 並不是要取代 SIEM,而是要與 SIEM 相輔相成,縮短資安分析師評估相關警報與記錄檔的時間,協助他們判斷哪些警報需要注意並深入調查。

迫切需要的功能

涵蓋端點以外的多個防護層

  • 為了實現跨越多重防護層的偵測及回應能力,您至少需要兩層 (當然越多層越好),包括:端點、電子郵件、網路、伺服器以及雲端工作負載。
  • XDR 會將來自多重防護層的活動資料匯入資料湖當中,讓所有適合的資訊都能以最洽當的形式進行交叉關聯分析。
  • 從單一廠商的原生資安防護層擷取資訊,可避免廠商/解決方案重疊氾濫的問題,讓偵測、調查及回應功能以無可匹敵的方式深度整合和互動。

專為產品設計的專家人工智慧 (AI) 與專家資安數據分析

  • 資料的彙整固然是 XDR 的一大效益,但借助數據分析與情報的力量來提供更優質、更快速的威脅偵測才是關鍵。
  • 當監測數據的蒐集成為一種常態,唯有結合資安數據分析與威脅情報來將資訊轉化成洞見和行動,才能真正創造價值。
  • 一套不斷接收原生智慧感測器資料的數據分析引擎,能比其他採用第三方產品和監測數據的方案提供更有效的資安數據分析。不論任何廠商都一樣,對自家解決方案的資料總是比對第三方廠商的資料更加熟悉。尤其是針對特定廠商原生資安防護層所量身打造的 XDR 更是如此,能保證數據分析能力的最大化。

單一整合的自動化平台提供完整可視性

  • XDR 讓更深入的調查成為可能,因為您在單一介面當中就能看到資料之間的邏輯關聯。
  • 圖形化的攻擊時間軸檢視讓您從單一位置就能獲得下列問題的答案:
  • 使用者如何遭到感染
  • 攻擊的首次入侵點
  • 還有哪些系統或人員也遭到同一攻擊
  • 威脅起源於哪裡
  • 威脅如何擴散開來
  • 其他還有多少使用者也可能遭遇到同一威脅
  • XDR 可強化資安分析師的能力並簡化其工作流程,讓團隊工作更有效率,加快或消除手動作業步驟,並且讓一些原本無法立即產生的檢視與分析成為可能。
  • 能與 SIEM 及 SOAR (資安協調、自動化及回應) 整合,讓分析師將 XDR 提供的洞見融入更大的資安生態系當中。

相關文章