Trellix台灣首席技術顧問吳育霖說明,Trellix提供的端點安全防護(EPP)、端點偵測與回應(EDR)、網路偵測與回應(NDR)、資料外洩防護(DLP)等機制,皆屬於Trellix XDR解決方案的前端範疇。至於後端系統,主要是以McAfee研發的資安事件管理(SIEM)平台為基礎,整合FireEye Helix,以接取來自Mandiant的威脅情資,內建自動化與回應(SOAR)、沙箱、行為分析、漏洞評估等機制。
豐富威脅情資提高偵測辨識度
早在成立Trellix之前,FireEye與McAfee便已著手發展情資的交換與整合。吳育霖以FireEye為例,可提供讓企業選擇單向或雙向方式交換情資。「完全封閉式網路環境(Air-Gap)欲更新威脅指標資料庫,得自行到官方網站下載檔案再匯入防護設備,這類應用場域通常採取單向情資取用。台灣企業採用的方式大多為雙向,選擇彼此分享情資,增強聯合防禦的有效性。」
他進一步提到,儘管Mandiant目前已隸屬於Google Cloud旗下,但是威脅情資至今尚未提供異質技術平台取用,現階段仍僅供FireEye Helix介接,可說是Trellix較獨特之處。「Trellix除了維持Mandiiant合作協議(為期3年),可取得最新威脅情資以外,同時擁有FireEye動態情資智慧資料庫(DTI),以及McAfee獨特的McAfee MVISION Insights威脅情資,豐富的威脅情資有助於風險監控與事件調查。」
事實上,FireEye原生產品即可做到聯防架構,只要網路傳輸或郵件附件中攔截取得威脅指標(IoC),即可彼此相互關聯,讓其他攻擊入侵管道準確地辨識。值得一提的是,過去HX端點防護方案可藉由最新威脅指標盤點風險值,達到威脅獵捕的目的,以免遭滲透成功卻不自知,如今亦納入Trellix XDR方案。
依據事件前中後執行回應措施
目前Trellix XDR著重於發展兩大關鍵目標:可視性與威脅情資。吳育霖說明,應用場景之所以無法完整掌握資安威脅管道,通常在於缺乏可視性能力,一旦確認為攻擊活動,並且經由豐富的威脅情資追蹤發現攻擊組織名稱,即可擬定有效的因應策略。對此,Trellix提出Living Security資安框架,建構自適應防禦模型(Adaptive Defense Model),整體概念依據事前、事中、事後,擬定不同的回應作業程序。
最理想的防護機制應著重於事前攔阻,自然也是資安技術發展主軸,問題是現階段仍很難做到。隨著工作模式的轉變,特別是後疫情時代,邊界防禦已失去效用,員工辦公環境未必僅限於辦公室區域,如此一來,外部攻擊可利用的管道增多,更加難以攔阻。也因此企業需要資安韌性,亦即就算處在攻擊下,不僅仍可保持營運不中斷,同時在最短時間內釐清感染範圍、排除問題根源,以及回復正常運行。
事中保護,便是要讓關鍵應用系統不至於停擺。藉由Trellix XDR的可視性能力,把閘道端的次世代防火牆、網頁應用程式防火牆、入侵偵測系統、進階威脅防護等資安設備產生的資料加以關聯分析、歸納,並且依據威脅的危險等級排序優先處理順序,讓IT或資安人員無須從成千上萬筆告警通知中翻找蛛絲馬跡,而是按照XDR列出的順序,立即執行回應即可控制風險。
至於事後調查的目的,不外乎釐清資安破口、加以控制,避免再次爆發資安事件。其實當前企業多數已制定資安事件緊急應變處理標準流程,可惜缺乏演練,實際遭遇資安事件爆發時往往不知所措。若藉由Trellix XDR提供的自動化機制建立即時回應程序,則能有效協助IT或資安人員準確地操作執行,以降低專業人力短缺導致的工作負擔。
主動抵禦最新威脅手法堵絕入侵
Trellix XDR自適應防禦模型採用的是OODA循環決策方法,也就是觀察(Observe)、調整(Orient)、決定(Decide)、行動(Act)思考模式,源自於美國空軍訓練戰鬥機飛行員的交戰程序,目標是比對手更快地進行OODA循環,讓防守者有效地掌握對手的決策週期,迫其做出不利的反應,破壞攻擊活動。
瞬息萬變的網路威脅讓IT或資安維運人員備感挑戰,即使不斷地增添最新技術工具與因應策略似乎也未必有能力與之抗衡,再加上多數資安工具都得仰賴人力介入操作執行,恐無法及時辨識攻擊手法變換速度。Trellix XDR解決方案中納入的Trellix Insights便是要扭轉這種被動態勢。基於Trellix豐富的威脅情報,Trellix Insights主動跟蹤預計可能遭襲擊的標的,並確定其優先等級。進而運用機器學習、深度學習等演算分析威脅,評估網路、端點、雲端等應用場域安全態勢,讓IT或資安維運人員得以在圖形化操作介面上綜觀全局,並且依照Trellix XDR提供的建議操作、或自動化Playbook執行調整配置,增添主動性防禦措施。在尚未爆發資安事件之前就先行偵測與回應,藉此有效地降低攻擊導致的損害。