網路犯罪分子不斷探測對外的網路,利用漏洞尋找任何攻擊目標。最理想的做法是製定相對應的計劃,對於違規行為與被動回應,應採取主動的防禦策略,確保企業能夠即時偵測與應對。
去年IBM發布了資料外洩成本報告,揭示強大資安防禦的重要性。有幾個調查結果令我們擔憂,攻擊者在企業網路內部潛伏時間平均長達258天;透過竊取或濫用憑證進行攻擊,偵測與應變平均需要292天;資安事件的後續的品牌信譽等受損成本,每年增長11%;超過50%的企業遭受攻擊時面臨資安人力短缺的問題。如果企業內部沒有部署異常流量偵測工具,威脅遠遠超過這些數字,也對企業營運造成嚴重的影響。
在數位化加速發展的環境下,企業面臨的內外部威脅日益嚴峻。具備先進機器學習(ML)能力的網路偵測和回應(NDR)解決方案,能夠協助企業快速偵測與遏制違規行為的攻擊。對於CIO而言,NDR不僅是一項技術選擇,更是現代資安策略中不可或缺的核心元件。
相較於傳統資安工具偏重於周邊防禦,NDR能突破傳統邊界防禦限制,直接監控即時網路流量以偵測可能隱藏的惡意異常活動。當與SIEM安全資訊和事件管理及EDR端點偵測和回應等其他安全工具共享時,NDR提供完整的資安可視性與可執行的風險評估,以減輕威脅。透過多層次防禦機制,可以有效抵擋進階持續性威脅(APT)和勒索軟體攻擊。
機器學習是加速網路威脅偵測的引擎。在現代資安環境中,偵測網路流量中的細微異常已成為關鍵。透過學習網路資料,ML演算法提供網路層級威脅活動的詳細且易於理解的視圖,能夠識別正常的行為並偵測偏離基本的異常與攻擊活動。還能與啟發式演算法及MITRE ATT&CK等資安框架相結合,包括預先建立的攻擊媒介知識和網路安全框架中的專家知識。
人力短缺已經成為企業資安團隊面臨的共同挑戰,安全團隊可以透過NDR的自動化與機器學習技術,對關鍵警報進行優先排序並提供詳細的威脅情報,來識別正常行為和偵測異常主動防禦攻擊,防止攻擊者滲透其他系統和存取業務關鍵數據,確保企業營運安全無虞。
除了偵測與防禦,恢復能力也應納入資料策略,因為攻擊無法完全避免,縮短業務恢復的時間才是關鍵。此外,日常收集的安全日誌與流量數據,與SIEM及威脅資訊深度整合,讓企業學習歷次攻擊模式,防止未來的攻擊利用相同的漏洞,以提升未來防禦能力。