因應COVID-19疫情持續大流行,企業採取居家辦公措施的同時,對於資安的重視程度也隨之提升。根據Palo Alto Networks最新發布的2021台灣資安現況報告指出,疫情促使80%企業加速數位轉型,更有66%的企業重視資安議題,在IT總體預算中,49%將用於增強資安防護、改善IT基礎設施、增進員工資安意識。
Palo Alto Networks台灣技術顧問總監蕭松瀛說明,從2021台灣資安現況報告中可發現,COVID-19疫情衝擊下,企業直接採用雲端服務或應用系統遷移上雲的意願大增,IT管理者已開始著手制定零信任控管政策落實部署,由此可看出疫情驅動企業資安思維的轉變。
此外,根據該調查報告統計,企業投資在改善IT基礎設施的預算中,超過三成將用於強固端點安全防護。蕭松瀛指出,當企業決定將控管政策轉換為零信任,讓通過驗證的合法用戶得以依據權限存取資源,接下來還得蒐集完整的存取行為相關資料,持續監控與偵測惡意意圖。雖可透過內網的資安設備解析網路封包,但遠端員工的系統環境卻可能成為潛在破口,對此,透過Cortex XDR統一平台則可達到防禦的目的,藉由全面掌握端點、網路、雲端等不同工作環節產生的日誌,運行演算分析建立自動偵測、快速調查與回應,才可確保安全無虞。
BIoC分析為高風險即時觸發攔阻
針對近來備受關注的XDR(擴展檢測與回應)方案,實際上,早在2018年,Palo Alto Networks創辦人Nir Zuk即已提出XDR概念。蕭松瀛進一步說明,XDR對於Palo Alto Networks來說定義很明確,「X」原意是基於EDR(端點偵測與回應)技術再擴展,須涵蓋端點、雲端、網路,以及第三方廠商技術平台產生的資料,全數彙整到Data Lake儲存環境,以單一雲端平台方式提供執行事件調查與分析,此即為Cortex XDR核心發展理念。
有別於企業熟知的EPP(端點防護平台)產品,Cortex XDR已把資安事件管理(SIEM)、工單系統納入,亦整合了Prisma Access,增添支援行動裝置,不論員工辦公採用的裝置類型,Cortex XDR皆可整合分析,讓IT管理者掌握的能見度更廣。
「如今Cortex XDR擁有EPP、EDR、NDR(網路偵測與回應)、UBA(使用者行為分析)技術,針對防禦力,我們採用的是名為BIoC(入侵行為指標)模式。」蕭松瀛說。資安領域普遍參考IoC(入侵指標)來識別攻擊活動,本質為單一的Hash值,BIoC則是把使用者與裝置的行為建構為基準,分析比對威脅戰術、技術與程序(TTP)來偵測異常狀況,或是由企業自行定義需要調查的行為模式,一旦偵測到異常可觸發執行攔阻。
既有的EDR工具主要是根據日誌進行IoC檢測,普遍用途是在資安事件爆發後輔助調查。BIoC則是可在事件發生當下立即阻斷,不會讓攻擊活動進行到下個階段。蕭松瀛以去年(2020)全球爆發的SolarWinds漏洞為例,許多國際級大型企業皆傳出受到影響,此時Cortex XDR的技術即已發揮效益,在攻擊者試圖植入.dll檔案的行為當下順利攔阻,使得該後門程式無法完成植入。即便是資安偵測工具無法辨識的零時差攻擊,Cortex XDR亦可根據作業系統運行邏輯,判讀執行緒的行為模式意圖,風險評分過高者直接逕行阻斷。
資料湖內建AI引擎收斂告警
Cortex XDR方案設計的初衷,是要在惡意行為發生當下就予以攔阻,資安風險才得以降到最低。因此亦可進一步結合Cortex XSOAR協調、自動化與回應平台,增添Playbook執行判斷與採取行動的流程,達到降低平均回應時間(MTTR)與平均檢測時間(MTTD),對於IT管理者來說,可以大幅地降低專業資安技能門檻。
在整體資安架構中,Data Lake扮演相當關鍵的角色,不僅只是蒐集存放資料、辨識異質系統產生的日誌,同時可運用內建的資料處理規則與AI(人工智慧)引擎實作事件關聯與分析。IT管理者不用自力撰寫關聯規則,透過AI引擎即可實現串連相同類型的告警事件,簡化管理工作負擔,以免發生告警疲勞釀成資安事件。
事件關聯與分析之所以重要,蕭松瀛以傳統入侵偵測防護系統為例,若網路傳輸流量解析後偵測到十個攻擊手法,IT人員只會收到十次告警,但透過Cortex XDR整合資料,如經AI引擎判讀為相同攻擊活動,即可收斂歸納在平台上以圖形化方式呈現,並且揭露告警的根本原因以及時間序列,讓不具資安事件調查經驗的IT人員快速回應威脅。
直覺式操作介面輔助改善根本原因
以雲端服務方式提供的Cortex XDR,可省去自建部署版本升級的困擾,只要端點環境部署代理程式立即可蒐集掌握運行狀態,現有的Palo Alto Networks次世代防火牆等設備則可成為感測器與執行阻斷節點,進而簡化部署和管理程序。
對於本土企業考量拋送到雲端的資料會有機敏性問題,蕭松瀛說明,Palo Alto Networks有標準文件說明蒐集資料的類型,例如Word、Excel等檔案,內容可能含有機敏性,但並非蒐集標的,真正需要被監控與分析的是IT基礎架構產生的日誌。「多數人以為,Cortex XDR只能蒐集Palo Alto Networks旗下產品,實際上並非如此,初期設計Cortex XDR理念是定位為擴展性,包含第三方廠商的日誌,不論是Cisco、Check Point、Fortinet等資安設備的流量也可介接到Data Lake。」
Cortex XDR設計的儀表板操作介面,只要滑鼠點選排序、篩選等功能,即可深入調查任何來源的告警,從關聯圖與顯示的資訊,找到問題的解答。以根本原因分析來看,藉由視覺化圖形串聯呈現整起異常活動,可快速找出引發告警的執行程序,無須逐一盤查端點產生的日誌。同時包含異常活動的時間序,讓IT人員可盡速釐清感染範圍,並且提供採取行動的指引來改善,不需要具備特殊的專業知識即可完成。
基於雲端設計的Cortex XDR持續發展中,目前已可提供SQL查詢語法,讓IT管理者可查詢事件相關資訊,提供單一語法讓IT管理者可查詢事件相關資訊,並且透過儀表板方式呈現,或是產出調查報告。