全球企業因應COVID-19實施分流或居家辦公,遠端存取需求大增,為了防範日漸猖獗的勒索軟體趁虛而入,除了開放讓員工透過VPN連線登入內網存取資源,同時亦搭配多因素身份認證(MFA)強化安全等級。資安風險控管則可搭配雲端原生開發的擴展式偵測與回應(XDR)平台,蒐集網路流量、電子郵件、端點、雲端等防護機制產生的日誌,以正規化資料建立關聯性,讓維運團隊得以根據威脅情資判讀產生的告警,即時發現攻擊活動,透過直覺的操作介面著手調查,加快回應速度遏制風險。
Fortinet台灣區資深技術顧問冼柏齡指出,市場上興起XDR方案的原因,主要是為了解決企業普遍未配置專屬資安人力,得由IT人員手動彙整資安防護技術產生的日誌、判讀告警內容真偽,再決定執行工作的優先順序,既無效率也無法即時發現異常活動。2020年推出的Fortinet XDR,可蒐集FortiEDR、FortiGate、FortiMail等技術,讓XDR平台上的機器學習演算模型,經過正規化的資料訓練來提高精準度,同時可不斷地依據攻擊手法改變來增添變數,調整模型並且再執行訓練,以精準地判讀運算出的相關數據。
補強遠距工作資安防護需求
本土企業受到疫情衝擊主要是在今年(2021)五月中,疫情警戒提升至第三級,在此之前,實施居家辦公措施的公司主要是外商,得遵照總部規範不得進入公司,多數本土企業直到三級警戒才真正全面居家辦公。冼柏齡從業務角度來看,當時首要增長的需求為遠端存取,不僅既有的閘道端運行效能須有能力支應VPN連線進入內網數量,還要控管權限與強化身分驗證機制。
儘管IT部門首要任務是先滿足企業營運需求,因此網路服務得先行開放遠端接取,但同時也相當關注安全性議題,主要由於去年疫情大流行後,勒索軟體變得更加猖獗,台灣許多高科技製造廠陸續被駭,IT部門已有所警覺。只是過往IT採購流程通常都先行測試評估,防疫期間多數專案皆被迫暫停,在無法進行概念驗證(POC)的狀況下,許多轉向採用技術已相當成熟的Token來強化安全性,讓身份辨識增添MFA機制以免被冒用。
過去員工都在辦公室,公司內部雖已建立多層式防禦機制,在家工作卻幾乎沒有防護,得仰仗端點安全方案來協助。有助於解決專業資安人力不足的XDR自然順勢而起,其整合不同資安技術產生的日誌,運用機器學習與人工智慧進行關聯分析,可釐清問題的根本原因,讓IT維運人員獲取更準確的告警資訊,決定處理工作的優先順序。
演算分析解讀端點行為意圖
XDR之所以受到企業關注,冼柏齡認為,採用機器學習演算分析,可把各個環節產生的日誌加以關聯、歸納成為有意義的事件,正是XDR方案受青睞的主因。過去自建部署資安事件管理(SIEM)平台並非無法達成這些,搭配資安事件協作、自動化與回應(SOAR)技術也可以實現自動化,問題是SIEM平台最難成功之處是必須撰寫大量規則,讓蒐集取得的資料歸納成有意義指標。
若將異質平台資料彙整成大數據,企業IT必須很清楚要解決的問題,才可進一步撰寫規則,或者運用演算法執行分析來取得答案。假設企業內部IT維運團隊充分掌握SIEM開發技術,或許可無需XDR方案來協助,問題是XDR蒐集資料的範圍並非如同SIEM廣泛,XDR較偏重於彙整技術供應商自家的方案,自動建立關聯與運行演算分析,以解讀端點活動的行為模式意圖,一旦風險評分高於門檻,則觸發端點或閘道端執行攔阻,並且通知IT管理者確認處理。畢竟現階段尚無法保證機器學習演算模型分析不會有遺漏或誤判,人工智慧應用被廣為應用在資安領域,其中一項關鍵因素在於解決以往勞力密集且重複性的工作。XDR可取代人力撰寫規則的工作才是關鍵優勢,再藉由平台設計直覺式操作介面協助,降低工作流程的資安風險。
此外,冼柏齡認為XDR並非只有偵測事件、提供告警通知,同時也具備自動化處理與回應框架,可觸發類似SOAR設計的Playbook自動執行。「這也是XDR偏重於整合廠商自家產品日誌的主因,從產生的日誌、蒐集整理資料、建模分析,皆可完整掌握,藉此建立高精準度的聯動回應程序,減少人力介入判讀與操作的負擔。」
Playbook提升資安維運力
Fortinet提供的FortiEDR與Fortinet XDR方案,是透過併購新創公司enSilo取得技術與服務,如今已成為安全織網(Security Fabric)中的一環。冼柏齡說明,Fortinet安全織網是以FortiOS為核心平台,發展零信任存取(Zero Trust Access)、網路安全等方案,並且引進機器學習與人工智慧,帶動資安聯防自動化,提升營運效率與威脅回應速度。
FortiEDR目前主要部署在Google公有雲,Data Lake是雲端原生開發的環境,底層採用Kubernetes建構容器叢集,運用FortiAnalyzer扮演連接器蒐集資料,將不同技術產生的日誌予以正規化,存放在ELK(ElasticSearch、Logstash、Kiban)打造的大數據平台。
若企業內部採用的是Fortinet提供的技術方案,原生就已具備相互聯動能力,冼柏齡舉例,FortiEDR蒐集與分析後發現高風險行為,可呼叫FortiNAC啟動隔離、FortiGate阻斷IP位址傳輸,同時把樣本拋送到FortiSandbox模擬環境取得更多入侵指標。此即為單一廠商提供XDR方案的優勢,或者是透過生態系結盟,讓彼此資料得以相互交流與分享,深化關聯性與聯動能力,亦可達到相同效益。 透過FortiAnalyzer在安全織網中彙整Fortinet解決方案所產生的日誌,較既有的FortiEDR單純蒐集端點活動更加廣泛,例如釣魚郵件告警,可進一步說明在FortiGate、FortiMail掌握到的細節,維運人員可藉此確認非誤報,快速地回應告警事件,或者是觸發Playbook執行自動化處理。
冼柏齡強調,XDR機制運用機器學習模型輔助,從大數據挖掘出相同的入侵指標,擴大事件調查的範圍,並且釐清彼此之間的關聯性,讓感染途徑得以如同資安團隊親臨現場調查還原真相。並且依照標準作業流程設計Playbook,建立事件回應機制,正可幫助維運團隊提升資安能量。