在當前日益數位化的應用環境中,IT已經成為企業鞏固市場競爭力不可或缺的一環。過去被視為支援角色的IT部門,現今已儼然是推動數位轉型的前鋒。在這波轉型浪潮中,生成式AI(GanAI)技術展現了其雙面性:一方面為商業創造前所未有的價值,另一方面則帶來了新的資安威脅。
趨勢科技核心技術部資深協理張裕敏引述趨勢科技公布的2024資安預測報告指出,生成式AI正迅速成為攻擊者用來偽裝假冒、盜取身分的工具,這種技術開始在各類社交工程詐騙活動中扮演關鍵角色,包括商業電子郵件詐騙(BEC)、魚叉式釣魚攻擊、捕鯨攻擊(Whaling Attack)等手段。
美國聯邦調查局(FBI)旗下的網際網路犯罪申訴中心(I3C)在2023年度報告中明確指出,利用社交工程技巧的網路犯罪,不僅是導致受害者人數眾多的犯罪類型之一,也是駭客集團牟取豐厚利益的主要手段。儘管如此,要達到令人降低防備心的欺詐水準,這些深度偽造(Deepfake)技術需要相當多的資源支持。例如大量收集特定人士的語音資料,運用生成式AI服務來產生相似的聲音,騙取高額的非法利益。也因此,攻擊者愈來愈傾向把目標鎖定高階管理者。
不論如何,可以確定的是,隨著AI演算模型快速發展,攻擊的門檻已大幅降低。近年來企業資安防禦架構必備的端點防護平台(EPP)與端點偵測與回應(EDR)方案,為了因應愈來愈難以辨識的威脅入侵手法,持續地再演進到延伸式偵測及回應(XDR),藉由雲端平台搭建資料湖收集各式管道產生的資料,用以餵入AI引擎分析行為模式,幫助IT或資安人員快速地回應高風險活動,以免造成營運損失。
發展數位化環境安全偵測與回應策略
就技術架構來看,XDR不僅涵蓋了EPP和EDR的功能範疇,也代表了對企業IT環境中各式資安解決方案所識別的事件進行廣泛地整合。趨勢科技台灣區技術總監劉家麟說明,在XDR的概念下,不僅僅是對端點環境的監控與回應,它還包括了對網路層面的偵測與回應(NDR),以及部署於網路環境中的網路型入侵防禦系統(IPS)所捕捉到的事件。這些技術在過去主要用於過濾和管理員工上網行為,例如阻擋存取惡意URL的連線,現在則被整合到XDR的框架之下,目的是為了能夠將這些資安裝置產生的事件資料統一收集,並進行關聯式分析。
XDR技術是當前資安領域的重要發展趨勢,其設計目的在於提供比傳統EDR更為全面的保護機制。不同於EDR僅專注於單一終端的事件偵測,XDR概念的提出,是為了將來自於多種資安工具的告警與事件記錄集合在一起,並進行關聯式分析。這種分析不是只針對單一事件,而是能夠跨越不同平台和網路層次,對於一系列相關聯的惡意活動進行完整追蹤,並且以圖形化方式呈現,以揭示攻擊鏈的全貌。
舉例而言,典型的攻擊鏈可能起始於攻擊者發送含有惡意程式的郵件。當使用者不慎點選並開啟附加檔案時,該惡意程式便會被觸發,進而運行並回呼至中繼站,接著從該中繼站下載勒索軟體。此一過程中涉及的風險暴露、可被利用的安全漏洞,正是XDR所要識別和防範的目標。 透過對這些事件的深入調查,資安專家可以進行必要的矯正措施,例如加強郵件安全的風險管理,並透過再教育提升員工對於社交工程攻擊的警覺性。此外,當惡意程式成功滲透並建立回呼中繼站連線時,需要深入探討為何現有的員工上網行為管理等資安機制未能發揮作用,進而不斷地強化企業整體資安防護能力。
劉家麟指出,XDR強調的是一種綜合性的安全策略,不僅是在端點環境或某個特定控制點上尋找並清除惡意程式那麼簡單。真正的挑戰在於理解和解決整個攻擊路徑中的各個環節,從根本上排除潛在問題,而不僅僅是表面上的症狀治療。透過XDR的實施,組織可以更有效地對抗複雜多變的網路威脅,確保數位化、雲端化的應用服務與機敏資料安全。
持續延伸彙整異質技術日誌資料
根據Gartner於2023年發布的擴展式偵測及回應市場指南(Market Guide for Extended Detection and Response)報告指出,由於XDR技術至今仍持續地演進中,其市場規模難以準確計算。當前資安技術供應商普遍的做法,是把XDR作為一種多功能產品的組成。隨著安全威脅變得日益複雜,企業日益須要更加全面、高效防護的安全技術解決方案。XDR技術,憑藉其跨平台的偵測與回應能力,為滿足這一需求提供了新的可能。隨著企業與組織對資安新興技術的持續關注和投資,預料採用XDR解決方案的比例將逐漸增多,以應對複雜手法的攻擊活動。
在Gartner發布的擴展式偵測及回應市場指南報告中亦提到,根據2022年調查數據顯示,受訪者表示已經開始或計畫整合資安架構,57%的組織選擇採用網路偵測與回應(NDR)技術,而49%的組織則傾向於使用雲端安全存取代理(CASB)服務。由此可發現,XDR發展策略中,除了EPP、EDR、郵件安全等扮演感測器,勢必將持續整合更多不同技術產生的資料,讓特定應用場域藉由統一平台實作風險控管。
雲平台運行關聯分析及早辨識惡意
過去IT或資安人員可能需要依賴多種工具來分別處理不同的資安監控任務。例如,使用EDR來追蹤和分析端點設備上的可疑行為,同時利用另一套工具來監控網路流量和告警。而對於雲端環境中的異常活動,則可能因工具限制而難以有效監控。這種分散的監控方式不僅效率低落,且容易造成重要告警被忽視或錯過。
進一步來說,當各種不同來源的告警被匯聚到資安事件管理系統(SIEM)時,雖然資安人員能夠集中掌握告警資料,卻往往難以獲取足夠的背景資訊,來理解告警之間的關聯性,導致無法有效辨識出真正的威脅。
XDR技術的出現,正可以解決這個難題。利用雲端平台將各種資安防護層面的日誌和告警進行整合,運行關聯分析,XDR能夠提供一個統一的視角,幫助資安人員更全面且深入理解資安事件。包括追蹤攻擊的初始入侵點、確定攻擊者的橫向移動路徑,以及識別哪些系統或人員可能受到同一攻擊者的影響。藉由XDR平台的協助,資安人員可迅速地偵測並回應各種威脅,從而大幅提升企業的安全防護能力。