資安團隊正面臨許多迫切的挑戰,例如警報通知疲勞轟炸。此問題的核心來自於威脅偵測及回應解決方案零散、不連貫且缺乏效率。許多資安人員會採用一套SIEM將分散於各種資安工具的記錄檔與警報通知蒐集在一起,然而這樣的做法仍存在著問題。
資安團隊正面臨許多迫切的挑戰,以警報通知疲勞轟炸為例:根據2023年企業數位鑑識分析與事件回應(DFIR)現況調查(2023 State of Enterprise DFIR Survey),有64%的受訪者表示警報與調查疲勞使他們備感壓力。這項數據一點也不令人意外,因為資安營運中心(SOC)團隊平均每天收到4,484次警報通知,換句話說,在一天8小時的上班日,每6.42秒就有一次。
此問題的核心來自於威脅偵測及回應解決方案零散、不連貫且缺乏效率。許多資安人員會採用一套安全資訊和事件管理(SIEM)來將分散於各種資安工具的記錄檔與警報通知蒐集在一起。然而,這樣的做法仍存在著兩個問題:第一,網路攻擊很少只透過一、兩種途徑;第二,SIEM很會蒐集資料,但並非所有SIEM都能有效地針對這些資料做交叉關聯分析。不完整的可視性與情境資訊的缺乏,容易造成誤判、產生雜訊,進而拖慢調查工作的進度。根據Help Net Security發現,SOC團隊幾乎要花費三小時的時間手動進行警報的分類。
何謂XDR
XDR(擴展式偵測及回應)是EDR(端點偵測及回應)的進一步延伸,它能超越單一防護層的侷限,從如電子郵件、伺服器、雲端工作負載、網路、端點等各個不同的防護層即時蒐集並交叉關聯資料。藉由交叉關聯相關的活動來產生高可信度的偵測事件,消除大量的誤判,加快威脅偵測及回應速度。ESG(Enterprise Strategy Group)發現,採用XDR的企業都能體驗到其整體的資安狀況、進階威脅的偵測能力、威脅的調查時間,以及應付大量警報的能力都有大幅改善。
採用適當的XDR方法
實現XDR功能的方案並非只有一種,而且並非所有XDR解決方案或方法都一樣,因此趨勢科技建議應該以企業本身的需求來選用合適的XDR方案。目前最常見的XDR方法有三種:
1.原生式(較完整):這種方法是以自家產品的資料來源為基礎,並在單一平台當中管理整個XDR流程。
2.開放式:經由與第三方整合來提供一定程度的XDR功能。
3.混合式:使用原生來源再搭配第三方及應用程式介面(API)整合來提供交叉關聯偵測、整合調查以及多層式回應。
原生式XDR的最大優勢在於,能運用深度的活動資料來建立最佳化的分析模型,以進行交叉關聯偵測。開放式XDR具備原生式XDR所沒有的優點,可從更廣泛的來源蒐集資料,但在很多情況下卻只會用到警報資料,因此能提供的情境以及可做的分析都有限。除此之外,一家在各個防護層都原生內建強大偵測模型的廠商,能讓資安團隊更容易上手,不像一套極度仰賴第三方整合的產品需要複雜的組態設定。
將調查資料整合在一起來提升偵測成效
重點就在於將第三方或API整合與電子郵件、伺服器、雲端工作負載及網路層的感測器相互結合。交叉關聯偵測的好處是,能獲得以下關鍵問題的情境資訊:
‧使用者或主機如何遭到入侵?
‧攻擊的第一個入侵點在哪裡?
‧還有哪些其他裝置或使用者也遭到同一起攻擊?
‧威脅的源頭在哪?
‧威脅如何擴散?
‧還有多少其他使用者也可能會被同一威脅入侵?
並非所有的威脅都來自端點。根據IBM 2023年資料外洩成本報告(Cost of a Data Breach Report 2023),網路釣魚和失竊或外洩的登入憑證,是駭客初步攻擊最常使用的兩大途徑。XDR應該要能偵測電子郵件威脅,包括已遭駭客入侵並在內部散發網路釣魚郵件的帳號。當偵測到威脅時,XDR應該也要掃描電子郵件信箱來發掘還有誰也收到同樣的電子郵件,如此才能將威脅隔離或刪除以防止擴散。
此外,網路偵測及回應(NDR)也可彌補EDR的盲點。有了關於網路流量與行為的即時活動資料,再加上邊界與內部橫向連線,就能協助分析師發掘威脅的通訊方式以及它們如何在網路內部擴散。有了這些知識,資安人員就能封鎖主機和網址,並且停用Active Directory帳號來抑制攻擊擴散。
雲端工作負載、伺服器以及容器對於企業的營運至關重要,因此監控這些層面的活動對於減少重大資安事件是相當關鍵的要點。XDR能蒐集並交叉關聯活動資料,例如使用者帳號活動、電腦處理程序、已執行的指令、網路連線、已建立∕已存取的檔案、系統登錄修改等等,這樣就能掌握警報通知發生時的完整情境。資安團隊可深入追查雲端工作負載內部發生了什麼,以及當初攻擊是如何擴散。
將來自XDR的情報營運化
面對日益精密的網路攻擊,將威脅情報融入營運當中是SOC一項不可或缺的功能。企業對駭客的行動和目標了解越多,韌性和應變能力就越強。
MITRE ATT&CK框架在分析攻擊行動、駭客團體以及個別活動時非常有用。儘管這套框架已經無所不在,但許多企業依然還在設法了解如何一致地運用這套框架。
從XDR解決方案的角度來看,可以利用該框架中所列的攻擊手法、技巧與程序(TTP)來開發偵測規則和模型,確保威脅情報能直接融入到事件調查當中,如此就能辨識攻擊行動對應的TTP,進而掌握攻擊的完整生命週期。
最後,MITRE ATT&CK框架還可用來發掘資安上的漏洞,並安排處理漏洞的優先順序,以降低風險並提升韌性。
挑選XDR時的關鍵考量
儘管感測器的涵蓋範圍相當重要,但在挑選XDR廠商時還有許多其他的因素需要考量,以確保能獲得最佳的威脅偵測及回應能力。可以詢問廠商以下幾個問題:
1. 產品是否友善支援API整合?有些廠商並未將其API與SIEM和SOAR(資安協調、自動化與回應)整合。XDR的整合能力越強,就越能自動化作業並協調整個生態系的工作流程。
2. 產品是否提供視覺化方式來檢視端對端攻擊?有些XDR解決方案或許只提供了攻擊行動在某個時間點的狀況。透過NDR來擴展網路監測數據,並與網路事件進行交叉關聯,資安團隊就能描繪出完整的攻擊過程,並強化自身的資安狀況。
3. 使用者體驗如何?尋找(並留住)好人才一直是一項挑戰。請避免挑選那些學習曲線太過陡峭或技術支援不佳的資安解決方案。廠商如果希望你能夠成功(而非只想賣你產品)那就會將教學內容、線上學習中心,甚至面對面溝通與意見回饋功能內建在產品中。
4. 他們是否放眼於未來?確保廠商會致力改善其產品,不但要因應持續演變的威脅情勢,還要讓你的團隊更容易工作。仔細思考一些艱難的問題來做評估,例如他們是否擁有強大的策略?他們是否知道如何運用AI來大幅減輕你資安團隊的負擔?這樣才能確保廠商不是虛張聲勢。若廠商已經具備一套策略來為你使用的AI工具提供適當的保護則更加分。
5. 警報通知是否可用來採取行動?正如前面提到,舊式的SIEM可產生大量的警報通知,但這些警報通常毫無用處。適當的XDR解決方案能提供可化為行動的警報,這要歸功於它原生具備了跨防護層交叉關聯與偵測模型。不僅如此,它還必須根據風險評分與造成影響的嚴重性來判斷警報的優先次序,這樣才能加快回應速度。
6. 定價結構如何?請尋找定價結構對企業營運有利的廠商。大多數廠商通常會依照套數或基座來計算訂閱數量,但假使你的員工離職或解雇,這會導致你支付了一些沒用到的感測器。請考慮採用一些更彈性的授權選項,可隨需求而調整數量,並且消除固定成本以及未用到的授權所帶來的損失。
7. 是否提供託管式服務?人員短缺或預算不足,都會影響偵測及回應能力的建置。廠商若能提供託管式服務來彌補你既有團隊的不足,由專家來幫忙執行威脅追蹤、全年無休的監控和偵測,以及快速調查及防範威脅,那將會是很大的優勢。
8. 產品是否榮獲產業分析機構好評?每家廠商都喜歡宣稱自己是第一,所以記得查看一下信譽優良的產業分析機構報告來驗證廠商的話。
讓董事會認同XDR
儘管統計數字顯示網路資安支出不斷增加,但這不保證預算就會跟著成長,網路資安想要獲得預算不是一件容易的事,所以很關鍵的一點就是要從財務與風險的角度來回報XDR可帶來的效益。以下是在說服董事會採用XDR時可考慮的一些論點:
‧投資資安解決方案 = 投資業務。根據IBM的「2022年資料外洩成本」(Cost of a Data Breach 2022)報告指出,採用XDR的企業,其資料外洩成本平均低10%左右,而且整起資料外洩事件的時間也可縮短29天。更短的停機時間與更小的財務衝擊即是管理階層期望樂見的成效。
‧降低資安險保費。保險公司通常會看你有沒有EDR,但若展示你已經超越了端點層次,採用XDR來降低資安風險的話,將有助於獲得更低的資安險保費。
<本文作者:Trend Micro Research 趨勢科技威脅研究中心 本文出自趨勢科技資安部落格,是由趨勢科技資安威脅研究員、研發人員及資安專家全年無休協力合作,發掘消費者及商業經營所面臨層出不窮的資安威脅,進行研究分析、分享觀點並提出建議。>