同時Check Point亦推出資訊安全監控中心即服務(SOC-as-a-Service),稱為Horizon MDR,讓缺乏專業人力的企業得以借助Check Point研究團隊的力量,7×24全天候監控分析、解讀威脅指標,進而施以控管回應或提出改善建議,避免爆發資安事故。
Check Point資安傳教士楊敦凱說明,Horizon XDR可提供全方位監控與防護服務,蒐集來自郵件、各式端點、網路、雲端平台上感知取得的資料,運用Harmony端點防護與進階威脅獵捕、Horizon AI分析與威脅監控、CloudGuard雲端態勢感知分析的先進技術實作,降低過多的告警雜訊,讓資安維運團隊可縮短偵測與回應風險指標的時間。
「前述提到的Horizon AI分析與威脅監控具備網路偵測與回應(NDR)機制,主要是基於次世代防火牆設備所提供,搭配累積超過25年的資安事件研究團隊累積的知識建構ThreatCloud威脅情資,讓企業可藉由既有部署的資安設備執行威脅獵捕,主動出擊阻斷APT攻擊活動。」楊敦凱說。
XDR前端與後端整合尚待發酵
根據Gartner發布的XDR解決方案市場指南,XDR組成元件區分為前端感知器與後端系統。楊敦凱指出,Check Point擁有網路、端點、雲端工作負載等相關防護機制,屬於原生的前端XDR供應商。後端系統較多是既有資安事件管理平台(SIEM),以及資安協調、自動化與回應(SOAR)技術供應商著力之處,各方藉由加入XDR Alliance組織,依循通用訊息模型(CIM)協同建構前後端整合模式的技術堆疊。
XDR Alliance旨在協助資安團隊簡化使用XDR解決方案來執行威脅檢測、調查與回應(TDIR)的處理程序,聯盟成員彼此合作,讓開放的XDR架構得以實踐並發揮綜效,保護企業避免遭受惡意程式攻擊漏洞滲透。儘管現階段XDR Alliance整合模式尚在發展中,當前立即可用的是由原生技術供應商所提供,楊敦凱認為,隨著企業應用需求增長、技術持續擴展,過去專注研發次世代防火牆、防毒引擎、SIEM平台等不同廠商,勢必將陸續完善自家XDR解決方案,讓既有企業用戶經由升級或汰換提升防護力。
企業既有已投資建置不同功能性的資安防護技術,多數具備XDR前端感知能力,甚至IT規模較大或法規遵循要求已建置SIEM與SOAR平台,抑或是採用SOC服務,實際上已同時具備XDR後端系統組成元件,只須透過API介接整合予以串連即可實踐整合。目前的問題是各家技術供應廠商支援程度不同,設定配置Playbook自動維運勢必有所侷限,因此現階段由單一廠商研發的原生XDR方案,擁有威脅情資、機器學習演算分析等技術平台,較能實現XDR效益。
SaaS模式訂閱簡化門檻
近幾年常爆發資安事件的因素之一,並非攻擊者技術精良可繞過所有偵測,而是人為配置疏失所導致,往往得等到資安事件發生後,經過調查與鑑識才得以釐清錯誤配置之處。楊敦凱強調,無法及時發現問題的根本原因在於異質技術各自為政,難以整合所有資訊判讀高風險行徑。
以前縱深防禦的概念是導入部署不同廠商的方案,既有的維運人力得確保IT基礎架構的穩定與安全性,根本無暇學習各種方案背後的技術,自然出現人為配置疏失導致漏洞百出而不自知,必須有方法可管可控。XDR方案正可建立整合控管,尤其是尚未導入部署SIEM與SOAR資安系統的企業,可直接採用XDR平台,更具成本效益。
楊敦凱指出,Check Point設計的XDR平台擁有專屬授權,已具備Check Point前端感知技術可直接納入;或者是依據機敏等級選擇部署規模。過往只有大企業才有資源導入部署的技術,如今即使IT規模不大亦可透過SaaS模式訂閱XDR方案來確保安全性。
他補充提及,實際上國際多家調查研究機構認為,不同功能性的資安技術最終都會朝向XDR方案演進,主因是為了解決企業當前面對資安維運複雜度,藉由蒐集應用場景各種管道產生的資料,並統一存放在相同平台,再依據外部威脅情資運行關聯分析,透過簡單易懂的圖形化介面呈現風險資訊,更重要的是讓Playbook得以在整合異質技術環境中實踐,發揮自動化回應威脅的效益。
專家團隊代管補強人力缺口
將工作流程轉化為Playbook可輔助提高資安調查效率,但須仰仗企業IT組成元件提供的API整合,並且在設定自動化之前經過資安專家判斷無誤後啟動。以預防為優先設計的Check Point Horizon XDR平台,目前尚在預覽中,預計2023年發布正式版,擁有類似SIEM與SOAR的功能特性,透過Playbook達到自動化調查與回應,讓資安團隊在單一畫面中掌握詳盡資訊,剖析攻擊活動行徑。並且可解釋觸發威脅指標的事件細節,依據MITRE矩陣對應說明攻擊手法採取的策略與技術,進而提出補救措施建議。
Horizon XDR平台後端擁有威脅情報ThreatCloud的深度學習技術,可過濾已知威脅並阻止零時差攻擊,核心引擎運用超過60種機器學習與深度學習檢測,由Check Point研究團隊持續追蹤與解析攻擊活動所累積的情資,已有許多企業或組織透過ThreatCloud API介接整合運用。楊敦凱舉例,台灣的數位發展部、軍警檢調、反詐騙165、教育部、SOC服務供應商等單位,皆已介接整合到應用系統存取與交換檔案的工作流程,提高識別最新攻擊手法的能力。
較特別的是Check Point為協助用戶掌握全貌,設計提供了Horizon Events統一平台,企業可藉由SaaS取用,綜覽網路環境、端點裝置、行動裝置、物聯網、雲端服務等應用場域的資安事件,以簡單直觀的操作介面呈現分析數據,讓資安維運人員更易於進行調查,提高故障排除效率。
此外,針對欠缺資安專才的企業,Check Point亦提供Horizon MDR,由Check Point專業資安事件研究團隊執行7×24不間斷監控,運用Horizon技術輔助即時辨識與解析攻擊手法,以釐清混合辦公、物聯網、混合雲應用模式的潛在風險,及時採取行動回應,抑或是提供預防性安全措施的建議,以免惡意攻擊趁機滲透入侵。