何謂延伸式偵測及回應 (XDR)?

Tball

延伸式偵測及回應 (XDR) 可蒐集並自動交叉關聯涵蓋多個防護層的資料,包括:電子郵件、端點、伺服器、雲端工作負載以及網路。如此可藉由資安分析來提供更快的威脅偵測,提升調查與回應時間。

認識延伸式偵測及回應 (XDR)

隱匿的威脅有能力躲過偵測,它們會隱藏在各自為政而缺乏關聯的資安產品警報當中並隨著時間而不斷累積,然而疲於奔命的資安分析師只能從片段的線索當中,透過分類和調查,試圖拼湊攻擊的樣貌。

XDR 能打破資安產品之間的藩籬,採用一種全方位面面俱到的偵測及回應方法。它可蒐集並交叉關聯涵蓋多個防護層的偵測事件與深入的活動資料,包括:電子郵件、端點、伺服器、雲端工作負載以及網路。這麼龐大的資料在經過自動化分析之後,就能協助您更快、更有效率地偵測威脅。如此一來,資安營運中心 (SOC) 分析師就有能力主動完成更多任務,並透過調查來更快採取行動。

intro-diagram

XDR 如何運作

XDR 整合了各種關鍵功能的強大力量,包括:資安事件管理 (SIEM) 以及資安自動化協同及回應 (SOAR)。它可藉由強大的 AI 和機器學習 (ML) 來即時蒐集並分析所有可用防護層的威脅資料。透過這樣的分析,XDR 就能發掘可疑的行為、模式與異常狀況,接著再對資安事件進行交叉關聯來支援自動化風險回應。

這套集中式方法能讓營運更加簡化、更加敏捷,同時還能強化資安策略。XDR 能協助您搶先駭客一步,事先預測風險,而非等到為時已晚才做出回應。要實現這個目標,我們必須將相關資料與資安事件串連在一起,藉由風險評分來感應情境,並依緊急程度判斷警報與回應措施的優先次序。

XDR 的歷史背景與演進

XDR 一詞最早出現於 2018 年,原本是端點偵測及回應 (EDR) 的下一步演進。多年來,XDR 的定義隨著威脅情勢的變化而不斷改變,並且越來越強調將策略從被動化為主動。今日,正如 IBM 所言,XDR 的潛力已遠遠超越它所整合的工具和功能,進化成一套資安事件與威脅管理所需的強大集中式資料及報表解決方案,不僅能消除內部流程的障礙,還能提升風險韌性。

視 XDR 的建置與使用方式而定,它能讓企業改善威脅偵測、擴大風險可視性,並實現其他效益。換句話說,XDR 不僅是技術上的變革,更是策略上的重新調整,勢必將會重塑網路資安產業。

針對 SOC 挑戰的 XDR 解決方案

談到偵測及回應,資安營運中心 (SOC) 分析師正面臨一項嚴苛的挑戰,那就是:他們必須快速發掘關鍵的威脅,以便降低企業面臨的風險與損害。

減少警報疲勞

IT 和 SOC 團隊經常被來自各種解決方案的警報通知疲勞轟炸,但卻沒有太多方法來交叉關聯分析這些警報並過濾其優先次序,因此很難從大量雜訊當中迅速有效地分離出重大事件。XDR 能自動在一系列看似不太相干的活動當中找出關聯,拼湊出一個高可信度的事件,過濾出量少、質精的警報,進而採取行動。

消除資安解決方案之間的可視性缺口

許多資安產品都能提供活動檢視,但每套解決方案都有自己的獨特觀點,因此所蒐集和提供的資料,基本上都是從特定的用途出發。資安解決方案之間的整合有助於資料的交換和彙整,但其價值經常受限於所蒐集的資料類型與深度,以及交叉關聯分析的程度。換句話說,分析師所看到跟所能辨識到的之間存在著差距。反觀 XDR 能從各個獨立的資安工具匯集完整的活動來方便您存取,包括:偵測資料、監測數據、Metadata 以及 NetFlow。它會套用精密的數據分析與威脅情報,提供完整的情境資訊來檢視攻擊在各個防護層的活動,拼湊出完整的攻擊樣貌。

簡化資安調查

空有大量的記錄檔與警報通知,卻無明確的徵兆,您將很難判斷該尋找些什麼。當您發現了某個問題或威脅時,您很難找出其攻擊路徑以及對企業的影響。威脅調查是一項耗時費事的手動作業,就算擁有充裕的資源也可能不一定應付得來。XDR 能將威脅調查自動化,消除手動作業,提供豐富的資料和工具來執行一些原本不可能做到的分析,例如自動化根源分析,分析師可清楚看到攻擊的時間軸和路徑 (經由電子郵件、端點、伺服器、雲端工作負載以及網路),這樣一來,分析師就能深入評估攻擊的每個步驟以觸發必要的回應。

改善偵測及回應時間

前述各項挑戰所造成的結果就是,威脅潛伏太久而未被偵測,不僅延長了平均回應時間 (MTTR),也增加了攻擊的危險性與嚴重性。XDR 最終將有助於改善迫切需要提升的威脅偵測速度與回應時間。企業已逐漸將平均偵測時間 (MTTD) 與 MTTR 列為重要的衡量與監控指標。同理,他們在評估解決方案的價值以及是否值得投資時,也會思考解決方案是否能對這些指標有所幫助,以及是否能降低企業的業務風險。

XDR 平台的架構

XDR 平台是專為簡化資料的整合而打造,提供更好的偵測能力,並結合了來自網路、電子郵件、端點及雲端工作負載等防護層的洞見。這些來自雲端和企業內環境的活動與資安事件資料,將彙整至一個集中、統一的儲存庫 (也就是資料湖),提供給自動化威脅偵測與追蹤、掃描及根源分析使用。此外,XDR 平台的設計能隨著您的企業而擴充,並與 SIEM 和 SOAR 介接,進而提升即時監控與自動化回應機制的成效。

  • 進一步了解可融入 XDR 的防護層
架構

XDR 防護的效益

企業一旦採用 XDR,就有機會簡化並強化資安營運,讓資料流程變得更加流暢與整合,並且能夠預測威脅。

XDR 的主要效益包括:

提升威脅偵測能力並提供可化為行動的洞見

面對不斷演變的威脅與技術情勢,光是跟上駭客的腳步是不夠的。您的企業必須搶先駭客一步,這時候就需要擴大風險可視性,並主動管理風險。XDR 能讓 SOC 團隊藉由進階威脅偵測能力來更有效預測及管理風險。它會運用 AI、ML 和即時數據分析來解析資料湖內儲存的所有資訊,提供清晰而情境化的洞見,同時並減少誤判及人為錯誤。

更有效的事件回應

有些風險的表現模式也許單靠肉眼並無法立即察覺,尤其對那些已經被警報通知淹沒的 SOC 團隊來說,而且他們很可能已經疲於奔命,再加上人員或工具又不足。利用 XDR 來簡化和自動化事件的回應,就能防止駭客利用這些弱點。能夠偵測風險並根據急迫性來判斷風險的優先次序,就能迅速解決威脅,並且減輕營運負擔。

比傳統資安解決方案更具成本效益

XDR 平台可縮短威脅的滯留時間 (有時甚至高達 65%)、防範零時差威脅,並且整合整個環境的單一面向解決方案,因此有機會為企業節省大量成本。此外還能減輕 SOC 和 IT 團隊的壓力和工作負擔,有助於緩解人員和資源所承受的壓力。而且,將資料與報表集中化,也可簡化、輔助及加快調查工作。資安管理也將變得更加單純,還能提升效率,提供對使用者更友善且環環相扣的平台體驗,而非各自為政的解決方案和功能。

比較 XDR 與其他偵測及回應技術

儘管以下提到的每一項技術在現代化資安策略當中都有其地位和目的,但 XDR 有助於支援及簡化其流程,因而成為 SOC 團隊不可或缺的幫手。

XDR vs. SIEM

企業採用 SIEM 來蒐集各種解決方案的記錄檔和警報。雖然 SIEM 可整合各種來源的資訊並提供集中化檢視,但它通常會產生大量各自獨立的警報。這些警報不容易解讀並判斷其優先次序,這會拉長威脅滯留的時間,並降低企業對風險的警覺。

XDR 能與 SIEM 串連來整理記錄檔的資訊,然後提供一個綜合的檢視。它會蒐集深層的活動資料,然後匯入資料湖當中,以便執行更全面的跨防護層掃描、追蹤及調查。此時若將 AI 與專家數據分析套用至豐富的資料集,就能產生量少質精、更加情境化且可化為行動的警報,然後再匯到相連的 SIEM 解決方案。XDR 並不是要取代 SIEM,而是要與 SIEM 相輔相成,縮短 SOC 分析師評估相關警報與記錄檔的時間,讓他們更容易判斷哪些警報需要立即關注和深入調查。

XDR vs. MDR vs. EDR

儘管 EDR 能夠提供的可視性已經相當深入,卻仍受限於它所偵測及回應的威脅只涵蓋受管理的端點。這樣的限制,最終將削弱 SOC 的威脅回應成效。同理,網路流量分析 (NTA) 工具的視野也只侷限於網路,以及監控中的網段。NTA 解決方案通常會產生大量的記錄檔,所以網路警報與其他活動資料的交叉關聯分析就非常重要,如此才能從網路警報當中理出頭緒並發揮其價值。

XDR 是以這些技術為基礎來提供整體環境的綜合檢視,它能擴大威脅的偵測範圍,並且找出哪些使用者和端點最容易遭到攻擊。

此外,還可使用託管式偵測及回應 (MDR) 來協助建置及監控 XDR 平台。MDR 是一種專門協助企業監控及回應資安威脅的外包服務,而 SIEM 和 XDR (此處為 MXDR,託管式 XDR) 則是該服務的核心元素。MDR 可提供威脅追蹤、發掘及回應,還有 7 天 24 小時的監控,讓內部 SOC 團隊專注於更重要的工作,例如:事件後的政策檢討以及維持法規遵循。

XDR vs. NDR

網路偵測及回應 (NDR) 是專為偵測您基礎架構內的異常狀況並回應威脅而設計。NDR 會監控網路流量與裝置行為,尤其能有效發掘可能造成資安風險的未受管理資產。它跟 EDR 很像,同樣也會利用 AI、ML 和數據分析來發掘各種行為模式,利用長期累積的洞見來區分實質的威脅以及無害的裝置異常行為。XDR 可利用這些精細的洞見 (同樣也是匯入到資料湖內) 來輔助偵測及回應措施,尤其在偵測橫向移動以及裝置與網路的互動模式時。

整合式 XDR 平台 vs. 傳統資安措施的主要應用情境

整合式平台的 XDR 防護能帶來突破性的風險韌性,相較於傳統各自獨立的替代方案,能讓資安作業變得更快、更靈活。其理想的應用情境包括:

  • 利用 XDR 來追蹤威脅,善用資料湖內的完整洞見與自動化威脅偵測功能。
  • 事件回應情境,包括 IT、OT 和 IoT 資安風險隔離、帳號入侵與內賊威脅管理、惡意程式與勒索病毒偵測,以及零時差威脅管理。
  • 可應用於各式各樣的環境,包括:

    • 保護醫療領域的病患與員工資料。
    • 發掘零售業與金融業的詐騙與網路釣魚威脅。
    • 防範政府與公家機關遭到入侵。
    • 保護工業 IoT 系統與機密的產品資訊。

有助於改善資安狀況的 XDR 平台功能

超越端點以外的多重防護層

為了實現橫跨多重防護層的偵測及回應能力,您至少需要兩層。XDR 會進一步蒐集並分析其資料湖內多個防護層的活動資料,讓所有適合的資訊都能以最洽當的形式進行交叉關聯分析。從單一廠商的原生資安防護層擷取資訊,可避免廠商與解決方案重疊氾濫的問題,同時也讓偵測、調查及回應功能以無可匹敵的方式深度整合和互動。

專為其目的打造的 AI、XDR 監測以及專家資安數據分析

資料的彙整固然是 XDR 的一大效益,但借助數據分析與情報的力量來提供更優質、更快速的威脅偵測才是關鍵。當監測數據的蒐集成為一種常態,唯有結合資安數據分析與威脅情報來將資訊轉化成洞見和行動,才能真正創造價值。

一套不斷接收原生智慧感測器資料的數據分析引擎,能比其他採用第三方產品和監測數據的方案提供更有效的資安數據分析。不論任何廠商都一樣,對自家解決方案的資料總是比對第三方廠商的資料更加熟悉。尤其是針對特定廠商原生資安防護層所量身打造的 XDR 更是如此,能保證數據分析能力的最大化。

單一環環相扣的自動化 XDR 平台可提供完整的可視性

XDR 讓更深入的調查成為可能,因為您在單一介面當中就能看到資料之間的邏輯關聯。圖形化的攻擊時間軸檢視讓您從單一位置就能獲得下列問題的答案:

  • 使用者如何遭到感染
  • 攻擊的首次入侵點
  • 還有哪些系統或人員也遭到同一攻擊
  • 威脅起源於哪裡
  • 威脅如何擴散開來
  • 其他還有多少使用者也可能遭遇到同樣的威脅

XDR 可強化您 SOC 分析師的能力並簡化其工作流程,讓團隊工作更有效率,加快或消除手動作業步驟,並且讓一些原本無法立即產生的檢視與分析成為可能。此外,還能與 SIEM 和 SOAR 整合,讓您的 SOC 分析師將 XDR 提供的洞見融入更大的資安生態系當中。

時間軸

如何在您的企業內建置 XDR

若您有興趣開始建置 XDR,您可參考以下實作步驟:

  • 評估您的網路資安狀況與風險評分,發掘所有資產來協助您判斷您當前的偵測及回應能力。
  • 諮詢 XDR 解決方案供應商來找出最符合您資安需求的選項。
  • 在供應商的指引和支援下 (若有的話也可透過他們的託管式服務),將 XDR 解決方案與您的網路整合,並連接到您的端點。
  • 提供 XDR 平台教育訓練來讓您的團隊學習正確使用方式、最佳實務原則,以及如何發揮相關功能的最大效益。