根據趨勢科技日前發布的《2025年資安預測報告》指出,深偽(Deepfake)技術將成為未來企業面臨最嚴峻的人工智慧(AI)威脅之一。攻擊者只需利用個人在社群媒體上公開的文章,訓練大型語言模型(LLM),就能模仿寫作風格、知識及性格,更能達到欺騙的目的。
而既有的單點防禦機制已難以即時判別真偽。為因應此挑戰,趨勢科技基於旗下端點、網路、雲端等防護技術,正在積極發展擴展偵測與回應(XDR)解決方案,運用AI技術建構Trend Vision One平台,以協助IT或資安維運加速掌握風險,提升管控能力。
趨勢科技台灣區技術總監劉家麟表示,XDR最初源自於偵測與回應(Detection and Response)概念的延伸,早期的EDR(Endpoint Detection and Response)與NDR(Network Detection and Response)專注於特定領域的威脅偵測,但單點視角的局限性導致企業難以有效掌握威脅的全貌與來龍去脈。XDR發展的主軸正是為了解決這些問題,試圖整合跨領域的威脅情資,搭配AI引擎運行分析,提升偵測的準確性與威脅回應的效率。
XDR的興起,無疑是由於企業面臨的攻擊手法愈加複雜且多樣化。劉家麟指出,攻擊事件往往會在不同的管道與節點留下蛛絲馬跡,而XDR的核心目標便是整合多種類別產生的日誌資料,透過AI與機器學習等技術進行關聯性分析,協助維運人員快速掌握威脅事件的全貌。
聯合異質技術擴展可視性
市場上眾多資安廠商皆已陸續提供XDR解決方案,基礎則從傳統的EPP(端點防護平台)、SIEM(資安事件管理平台)、SOAR(資安協作自動化應變),甚至到ITSM(IT服務管理),各有不同的切入角度與技術特性。劉家麟認為,真正能提供價值的XDR解決方案,必須具備延展性與整合能力。企業在評估XDR方案時,應特別留意其是否能夠處理多樣化的資安事件,並支援異質系統的整合。
他進一步說明,XDR平台並非單純的技術堆疊,而是一個將威脅偵測、事件回應和風險管理緊密結合的框架。企業看待XDR解決方案,需考量的不僅是技術能力,還包括操作簡易性、擴展性與生態系整合的可能性。特別是在多雲與異質環境中,XDR能否有效聯動各層面控管資源,將成為評估的關鍵標準。
趨勢科技基於在資安領域中發展數十年的知識,建構的Trend Vision One平台,來實現能夠整合企業內不同層面部署的資安方案相關日誌,包括端點、網路、電子郵件等,並支援與第三方工具的整合。劉家麟舉例,Trend Vision One目前已可透過API與Check Point的OPSEC架構對接,下一步計畫是是接受來自第三方技術供應商產生的通用事件格式(Common Event Format,CEF)日誌資料。
CEF是一種標準化的格式,用於收集、傳輸和分析來自不同來源的安全事件日誌資料,幫助IT團隊快速發現潛在威脅並及時採取行動。例如,Microsoft Entra ID(前稱Azure AD)屬於身分識別管理領域,2025年將與Trend Vision One進行整合,實現跨領域的綜合性分析。
善用工具保障容器環境運行安全
Trend Vision One的應用不僅僅侷限於端點與網路,它還能針對帳號安全與行為模式進行分析。透過AI技術的加持,系統可以自動識別異常模式,並即時發出警報。趨勢科技在《2025年資安預測報告》中也提到,企業應選擇能夠改善跨防護層可視性與交叉關聯偵測的解決方案,以應對越來越隱蔽的攻擊方式,例如利用合法工具進行的隱匿性攻擊。
特別是在雲端安全方面,Trend Vision One針對多雲環境與容器技術的挑戰亦可提供協助。劉家麟指出,傳統的雲端資安工具往往缺乏整體視角,難以應對多雲環境中的複雜威脅。趨勢科技的Trend Vision One藉由整合多雲應用的資安資料,為企業提供單一視角的威脅分析與管理,幫助資安人員克服多雲場景下的監控與分析難題。
在容器技術的應用中,環境架構主要分為自建容器環境和雲端原生(Cloud Native)環境。自建容器環境指的是企業或團隊自行選擇硬體設備,安裝作業系統並配置容器服務,所有資源的管理與維運均由自己掌控。而雲端原生環境則由雲端服務商提供底層平台,IT人員可以專注於容器的應用與部署,無需處理基礎設施的細節,例如AWS、Microsoft Azure、Google Cloud等主流的公有雲服務供應商提供的容器平台就是典型的例子。
趨勢科技台灣區技術總監劉家麟指出,不論是傳統的IT、多雲、OT應用場景,皆可運用Trend Vision One平台進行風險控管,使資安策略得以全面落實,保障企業數位資產的安全性。
不論使用哪一種容器環境,IT或資安團隊都需針對運行中的容器進行活動監控,以確保整體系統的安全性。透過Trend Vision One平台運用的MITRE ATT&CK框架,可以從戰術(Tactics)、技術手法(Techniques)及執行程序(Procedures)三個層面進行分析,深入了解攻擊者的行為模式。這種分析方式有助於資安人員評估安全產品的效能,確保系統能有效檢測並防禦多種攻擊技術。
在實作層面,針對容器叢集(如Kubernetes)進行資安防護時,通常會以新增專屬Pod的方式完成。這些Pod可能包含防火牆、入侵偵測系統或網頁應用程式防火牆(WAF)等機制。趨勢科技的Trend Vision One平台提供Container Security功能,可以透過專用Pod的部署,達到監控容器內部活動、提供入侵偵測與防禦的效果,進一步提升容器環境的安全性。
生成式AI助力加速回應風險
生成式AI是最新一代的大型語言模型(LLM)技術,具有解析龐大資料集的能力。不僅能理解並摘要資訊內容,還能創造新的內容。趨勢科技的Trend Vision One平台中的Companion資安夥伴,充分發揮生成式AI模型的優勢,提供資安團隊突破效率瓶頸,成為團隊得力助手。
Companion能協助團隊成員(無論資歷深淺)快速提升理解能力,縮短分析與決策時間,做出更快、更準確的判斷。Companion的應用並不僅止於單純的問答式互動,更著重於採引導方式協助完成工作。劉家麟指出,當維運團隊處理威脅事件時,Companion不僅會提出建議,還會一步步地引導完成調查流程,並提供相關結果與後續建議。這種工作模式就像是團隊中有位虛擬導師,全程陪伴並指導。
例如,Companion生成摘要時,會明確指出攻擊的起始點、所涉及的資產、可能的目標,以及攻擊者使用的策略,使維運團隊能在最短時間內制定回應計畫。更重要的是,透過這些洞察,進一步針對類似攻擊模式建立新的自動化劇本(Playbook),將應對過程制度化,減少未來事件處理的時間與人力投入,即可有效限制威脅的影響範圍,減少對企業造成的損害。