資安警報通知疲勞轟炸　升級XDR避免誤判漏失

資安團隊正面臨許多迫切的挑戰，以警報通知疲勞轟炸為例：根據2023年企業數位鑑識分析與事件回應（DFIR）現況調查（2023 State of Enterprise DFIR Survey），有64%的受訪者表示警報與調查疲勞使他們備感壓力。這項數據一點也不令人意外，因為資安營運中心（SOC）團隊平均每天收到4,484次警報通知，換句話說，在一天8小時的上班日，每6.42秒就有一次。

此問題的核心來自於威脅偵測及回應解決方案零散、不連貫且缺乏效率。許多資安人員會採用一套安全資訊和事件管理（SIEM）來將分散於各種資安工具的記錄檔與警報通知蒐集在一起。然而，這樣的做法仍存在著兩個問題：第一，網路攻擊很少只透過一、兩種途徑；第二，SIEM很會蒐集資料，但並非所有SIEM都能有效地針對這些資料做交叉關聯分析。不完整的可視性與情境資訊的缺乏，容易造成誤判、產生雜訊，進而拖慢調查工作的進度。根據Help Net Security發現，SOC團隊幾乎要花費三小時的時間手動進行警報的分類。

何謂XDR

XDR（擴展式偵測及回應）是EDR（端點偵測及回應）的進一步延伸，它能超越單一防護層的侷限，從如電子郵件、伺服器、雲端工作負載、網路、端點等各個不同的防護層即時蒐集並交叉關聯資料。藉由交叉關聯相關的活動來產生高可信度的偵測事件，消除大量的誤判，加快威脅偵測及回應速度。ESG（Enterprise Strategy Group）發現，採用XDR的企業都能體驗到其整體的資安狀況、進階威脅的偵測能力、威脅的調查時間，以及應付大量警報的能力都有大幅改善。

採用適當的XDR方法

實現XDR功能的方案並非只有一種，而且並非所有XDR解決方案或方法都一樣，因此趨勢科技建議應該以企業本身的需求來選用合適的XDR方案。目前最常見的XDR方法有三種：

1.原生式（較完整）：這種方法是以自家產品的資料來源為基礎，並在單一平台當中管理整個XDR流程。

2.開放式：經由與第三方整合來提供一定程度的XDR功能。

3.混合式：使用原生來源再搭配第三方及應用程式介面（API）整合來提供交叉關聯偵測、整合調查以及多層式回應。

原生式XDR的最大優勢在於，能運用深度的活動資料來建立最佳化的分析模型，以進行交叉關聯偵測。開放式XDR具備原生式XDR所沒有的優點，可從更廣泛的來源蒐集資料，但在很多情況下卻只會用到警報資料，因此能提供的情境以及可做的分析都有限。除此之外，一家在各個防護層都原生內建強大偵測模型的廠商，能讓資安團隊更容易上手，不像一套極度仰賴第三方整合的產品需要複雜的組態設定。

將調查資料整合在一起來提升偵測成效

重點就在於將第三方或API整合與電子郵件、伺服器、雲端工作負載及網路層的感測器相互結合。交叉關聯偵測的好處是，能獲得以下關鍵問題的情境資訊：

‧使用者或主機如何遭到入侵？

‧攻擊的第一個入侵點在哪裡？

‧還有哪些其他裝置或使用者也遭到同一起攻擊？

‧威脅的源頭在哪？

‧威脅如何擴散？

‧還有多少其他使用者也可能會被同一威脅入侵？

並非所有的威脅都來自端點。根據IBM 2023年資料外洩成本報告（Cost of a Data Breach Report 2023），網路釣魚和失竊或外洩的登入憑證，是駭客初步攻擊最常使用的兩大途徑。XDR應該要能偵測電子郵件威脅，包括已遭駭客入侵並在內部散發網路釣魚郵件的帳號。當偵測到威脅時，XDR應該也要掃描電子郵件信箱來發掘還有誰也收到同樣的電子郵件，如此才能將威脅隔離或刪除以防止擴散。

此外，網路偵測及回應（NDR）也可彌補EDR的盲點。有了關於網路流量與行為的即時活動資料，再加上邊界與內部橫向連線，就能協助分析師發掘威脅的通訊方式以及它們如何在網路內部擴散。有了這些知識，資安人員就能封鎖主機和網址，並且停用Active Directory帳號來抑制攻擊擴散。

雲端工作負載、伺服器以及容器對於企業的營運至關重要，因此監控這些層面的活動對於減少重大資安事件是相當關鍵的要點。XDR能蒐集並交叉關聯活動資料，例如使用者帳號活動、電腦處理程序、已執行的指令、網路連線、已建立∕已存取的檔案、系統登錄修改等等，這樣就能掌握警報通知發生時的完整情境。資安團隊可深入追查雲端工作負載內部發生了什麼，以及當初攻擊是如何擴散。

將來自XDR的情報營運化

面對日益精密的網路攻擊，將威脅情報融入營運當中是SOC一項不可或缺的功能。企業對駭客的行動和目標了解越多，韌性和應變能力就越強。

MITRE ATT&CK框架在分析攻擊行動、駭客團體以及個別活動時非常有用。儘管這套框架已經無所不在，但許多企業依然還在設法了解如何一致地運用這套框架。

從XDR解決方案的角度來看，可以利用該框架中所列的攻擊手法、技巧與程序（TTP）來開發偵測規則和模型，確保威脅情報能直接融入到事件調查當中，如此就能辨識攻擊行動對應的TTP，進而掌握攻擊的完整生命週期。

最後，MITRE ATT&CK框架還可用來發掘資安上的漏洞，並安排處理漏洞的優先順序，以降低風險並提升韌性。

挑選XDR時的關鍵考量

儘管感測器的涵蓋範圍相當重要，但在挑選XDR廠商時還有許多其他的因素需要考量，以確保能獲得最佳的威脅偵測及回應能力。可以詢問廠商以下幾個問題：

1. 產品是否友善支援API整合？有些廠商並未將其API與SIEM和SOAR（資安協調、自動化與回應）整合。XDR的整合能力越強，就越能自動化作業並協調整個生態系的工作流程。

2. 產品是否提供視覺化方式來檢視端對端攻擊？有些XDR解決方案或許只提供了攻擊行動在某個時間點的狀況。透過NDR來擴展網路監測數據，並與網路事件進行交叉關聯，資安團隊就能描繪出完整的攻擊過程，並強化自身的資安狀況。

3. 使用者體驗如何？尋找（並留住）好人才一直是一項挑戰。請避免挑選那些學習曲線太過陡峭或技術支援不佳的資安解決方案。廠商如果希望你能夠成功（而非只想賣你產品）那就會將教學內容、線上學習中心，甚至面對面溝通與意見回饋功能內建在產品中。

4. 他們是否放眼於未來？確保廠商會致力改善其產品，不但要因應持續演變的威脅情勢，還要讓你的團隊更容易工作。仔細思考一些艱難的問題來做評估，例如他們是否擁有強大的策略？他們是否知道如何運用AI來大幅減輕你資安團隊的負擔？這樣才能確保廠商不是虛張聲勢。若廠商已經具備一套策略來為你使用的AI工具提供適當的保護則更加分。

5. 警報通知是否可用來採取行動？正如前面提到，舊式的SIEM可產生大量的警報通知，但這些警報通常毫無用處。適當的XDR解決方案能提供可化為行動的警報，這要歸功於它原生具備了跨防護層交叉關聯與偵測模型。不僅如此，它還必須根據風險評分與造成影響的嚴重性來判斷警報的優先次序，這樣才能加快回應速度。

6. 定價結構如何？請尋找定價結構對企業營運有利的廠商。大多數廠商通常會依照套數或基座來計算訂閱數量，但假使你的員工離職或解雇，這會導致你支付了一些沒用到的感測器。請考慮採用一些更彈性的授權選項，可隨需求而調整數量，並且消除固定成本以及未用到的授權所帶來的損失。

7. 是否提供託管式服務？人員短缺或預算不足，都會影響偵測及回應能力的建置。廠商若能提供託管式服務來彌補你既有團隊的不足，由專家來幫忙執行威脅追蹤、全年無休的監控和偵測，以及快速調查及防範威脅，那將會是很大的優勢。

8. 產品是否榮獲產業分析機構好評？每家廠商都喜歡宣稱自己是第一，所以記得查看一下信譽優良的產業分析機構報告來驗證廠商的話。

讓董事會認同XDR

儘管統計數字顯示網路資安支出不斷增加，但這不保證預算就會跟著成長，網路資安想要獲得預算不是一件容易的事，所以很關鍵的一點就是要從財務與風險的角度來回報XDR可帶來的效益。以下是在說服董事會採用XDR時可考慮的一些論點：

‧投資資安解決方案 = 投資業務。根據IBM的「2022年資料外洩成本」（Cost of a Data Breach 2022）報告指出，採用XDR的企業，其資料外洩成本平均低10%左右，而且整起資料外洩事件的時間也可縮短29天。更短的停機時間與更小的財務衝擊即是管理階層期望樂見的成效。

‧降低資安險保費。保險公司通常會看你有沒有EDR，但若展示你已經超越了端點層次，採用XDR來降低資安風險的話，將有助於獲得更低的資安險保費。

＜本文作者：Trend Micro Research 趨勢科技威脅研究中心 本文出自趨勢科技資安部落格，是由趨勢科技資安威脅研究員、研發人員及資安專家全年無休協力合作，發掘消費者及商業經營所面臨層出不窮的資安威脅，進行研究分析、分享觀點並提出建議。＞