何謂 XDR?

延伸式偵測及回應 (XDR) 是一種涵蓋多重層面的偵測及回應。XDR 會蒐集來自多個防護層 (包括電子郵件、端點、伺服器、雲端工作負載及網路) 的資料並自動進行交叉關聯分析,進而更快偵測威脅,縮短資安分析師的調查與回應時間。

XDR

隱匿的威脅有能力躲過偵測,它們會隱藏在各自為政而缺乏關聯的資安產品警示當中並隨著時間而不斷累積,資安分析師只能從片段的線索當中透過分類和調查,試圖拼湊攻擊的樣貌。

XDR 能打破資安產品之間的藩籬,採用一種全方位面面俱到的偵測及回應方法。XDR 可蒐集並透過交叉關聯涵蓋多個防護層的偵測事件與深入的活動資料,包括:電子郵件、端點、伺服器、雲端工作負載以及網路。如此豐富的資料若能透過自動化分析,就能更快偵測威脅,同時也讓資安分析師採用適當的工具來執行更徹底的調查,並迅速採取行動。

進一步了解 XDR 可彙整哪些防護層的資料。

SOC 挑戰

談到偵測及回應,資安營運中心 (SOC) 分析師正面臨一項嚴苛的挑戰,他們必須快速發掘重大的威脅以降低企業的風險與損害,但卻無法在理想的情況下做好這些工作。

警示通知疲勞轟炸

IT 和資安團隊經常被各種解決方案所觸發的警示通知疲勞轟炸,但這一點也不奇怪。一家平均 1,000 名員工的企業,其資安事件管理 (SIEM) 系統所收到的事件在尖峰時可高達每秒 22,000 筆。換算下來,等於每天有將近 2 百萬筆事件[1]。熟練的資安分析師需面對數量如此龐大的警示通知,他們卻沒有太多方法來交叉關聯分析這些事件並判斷其優先次序,因此很難從大量雜訊當中迅速有效地分離出重大事件。XDR 能自動在一系列看似不太相干的活動當中找出關聯,拼湊出一個高可信度的事件,過濾出量少、質精的警示,進而採取行動。

可視性落差

許多資安產品都能提供警示及活動的檢視,但每個產品都有自己的獨特觀點,因此所蒐集和提供的資料,基本上都是從特定的用途出發。資安產品間的整合有助於資料的交換和彙整,但其價值經常受限於所蒐集的資料類型與深度,以及交叉關聯分析程度。換句話說,您所看到跟您所能辦到的之間存在著差距。反觀 XDR 能從各個獨立的資安工具匯集完整的活動資料來方便您存取,包括:偵測資料、監測數據、Metadata、網路流量等等。XDR 會套用精密的數據分析與威脅情報,提供完整的情境資訊來檢視攻擊在各個防護層的活動,拼湊出完整的攻擊樣貌。

執行調查的困難

空有大量的記錄檔與警示通知,卻無明確的徵兆,您將很難判斷該從何處發掘。在您發現了某個問題或威脅時,您很難找出其攻擊路徑以及對企業的影響。調查的工作既耗時費事,又只能手動作業,甚至即便擁有充裕的資源也可能不一定應付得來。XDR 能將流程自動化,消除手動作業,提供豐富的資料和工具來執行一些原本不可能做到的分析,例如自動化根源分析,分析師可清楚看到攻擊的時間軸和路徑 (經由電子郵件、端點、伺服器、雲端及網路等等),並深入評估攻擊的每個步驟以觸發必要的回應。

最終將拖慢偵測及回應時間

前述各樣挑戰所造成的結果就是,威脅潛伏太久而未被偵測,進而延長了回應時間,增加了攻擊的危險性與嚴重後果。跨越防護層的偵測及回應,最終將有助於改善迫切需要提升的威脅偵測速度與回應時間。資安部門已逐漸將平均偵測時間 (MTTD) 與平均回應時間 (MTTR) 列為重要的衡量與監控指標。同理,他們在評估解決方案的價值以及是否值得投資時,會思考解決方案是否能對這些指標有所幫助,以及是否能降低企業的業務風險。

XDR 與 EDR 的差異

XDR 象徵著偵測及回應已超越目前單一功能、單一面向的解決方法。

顯然,端點偵測及回應 (EDR) 已具備很大的價值。但是,儘管 EDR 所能提供的可視性已經相當深入,但終究還是侷限於它所管理的端點。因而限制了威脅偵測所能涵蓋的範圍,無法真正掌握受到衝擊的人員和系統,以及該如何回應。

同理,網路流量分析 (NTA) 工具的視野也只侷限於網路,以及監控中的網段。NTA 解決方案通常會產生大量的記錄檔,所以網路警示與其他活動資料的交叉關聯分析就非常重要,如此才能從網路警示當中理出頭緒並發揮其價值。

資安界在偵測及回應領域已有長足的進展,不過到目前為止,這類功能只侷限於個別獨立的解決方案和防護層,因此資料蒐集及分析效益仍顯得分散而無法發揮綜效。XDR 讓偵測及回應變成為一種集中彙整的機制,發揮加乘的綜效。

與 SIEM 相輔相成

企業機構利用 SIEM 來將各種不同產品的記錄檔與警示蒐集起來。雖然 SIEM 能讓企業將各個地方的資訊彙整起來,提供集中的可視性,但卻也因而造成大量個別的警示通知。這些警示通知很難整理出頭緒來判斷哪些是重要且需要注意的警示。光靠 SIEM 很難針對蒐集來的所有記錄檔資訊進行交叉關聯分析,以掌握更完整的情況。

反之,XDR 能蒐集深度的活動資料,將資訊匯入資料湖來進行跨層次的掃描、搜尋及調查。借助 AI 與專家數據分析的力量,先從這些豐富的資料當中挖掘出量少、質精的警示,然後再發送到企業的 SIEM 系統。XDR 並不是要取代 SIEM,而是要與 SIEM 相輔相成,縮短資安分析師評估相關警示與記錄檔的時間,協助他們判斷哪些警示需要注意並深入調查。

迫切需要的功能

涵蓋端點以外的多個防護層

  • 為了實現跨越多重防護層的偵測及回應,您至少需要兩層 (當然越多越好),包括:端點、電子郵件、網路、伺服器以及雲端工作負載。
  • XDR 能將偵測及回應的涵蓋範圍拓展到端點之外,讓 EDR 延伸至一些重要的威脅活動領域,例如電子郵件就是個非常重要的領域,因為這可說是攻擊的頭號來源。
  • XDR 會將來自多重防護層的活動資料匯入資料湖當中,讓所有適合的資訊都能以最洽當的形式進行交叉關聯分析。
  • 從單一廠商的原生資安防護層擷取資訊,可避免廠商/解決方案重疊氾濫的問題,讓偵測、調查及回應功能以無可匹敵的方式深度整合和互動。


專為產品設計的專家人工智慧 (AI) 與專家資安數據分析

  • 資料的彙整固然是 XDR 的一大效益,但借助數據分析與情報的力量來提供更優質、更快速的威脅偵測,才是 XDR 的終極目標。
  • 當監測數據的蒐集成為一種常態,唯有結合資安數據分析與威脅情報來將資訊轉化成洞見和行動,才能真正創造價值。
  • 一套不斷接收原生智慧感測器資料的數據分析引擎,能比其他採用第三方產品和監測數據的方案提供更有效的資安數據分析。不論任何廠商都一樣,對自家產品的資料總是比對第三方廠商的資料更加熟悉。尤其是針對特定廠商原生資安防護層所量身打造的 XDR 更是如此,能保證數據分析能力的最大化。


單一整合的自動化平台提供完整可視性

  • XDR 讓更深入的調查成為可能,因為您在單一介面當中就能看到資料之間的邏輯關聯。
  • 圖形化的攻擊時間軸檢視讓您從單一位置就能獲得下列問題的答案:

使用者如何遭到感染
攻擊的首次入侵點
還有哪些系統或人員也遭到同一攻擊
威脅起源於哪裡
威脅如何擴散開來
其他還有多少使用者也可能遭遇到同一威脅

  • XDR 可強化資安分析師的能力並簡化其工作流程,讓團隊工作更有效率,加快或消除手動作業步驟,並且讓一些原本無法立即產生的檢視與分析成為可能。
  • 能與 SIEM 及 SOAR (資安協調、自動化及回應) 整合,讓分析師將 XDR 提供的洞見融入更大的資安生態系當中。

XDR 資安議題

[1] 資料來源: http://content.solarwinds.com/creative/pdf/Whitepapers/estimating_log_generation_white_paper.pdf