在攻擊發動前先降低曝險　化被動偵測為主動預防

趨勢科技台灣區技術總監劉家麟指出，資安市場近兩年把焦點放在延伸偵測回應（XDR）平台如何導入機器學習、大型語言模型（LLM）與代理型AI（Agentic AI），但若把議題只停留在偵測告警更快、更準，仍不足以回應企業管理者想要的核心問題，也就是攻擊還沒真正發生前，企業能不能先把「可被利用的條件」降到最低，讓駭客即使出手也很難找到有效入侵破口。

曝險治理奠定主動防禦

針對主動式預測與防範，劉家麟認為重點並非為傳統威脅偵測與事件回應疊加AI技術，而是把主動性前推至資安曝險管理（CREM）的控管。也就是說，無須等到端點或網路出現可疑行為才啟動XDR調查，而是先針對風險形成的過程做持續盤點與矯正。企業環境中的弱點、錯誤設定、過度暴露的服務與過度授權的帳號，皆是入侵的前置條件。當系統判定某項條件具備成為攻擊管道的可能性時，便應立即降低風險值並墊高攻擊門檻，使攻擊難以落地。如此做法可使得「主動」不再是口號式的預測，而是轉化為管理可量化的曝險條件，提前切斷可被駭客利用的路徑。

談到曝險治理的技術基礎，劉家麟表示，威脅情資在AI世代依然扮演關鍵角色，但其功能已非單純的指標比對。過去企業習慣仰賴入侵指標（IOC）或攻擊指標（IOA）識別威脅，但面對持續性滲透攻擊，難以作為判斷惡意行為的絕對依據，畢竟攻擊者常濫用合法工具進行非法存取。情資不應只是靜態資料，而應被視為一個完整的故事脈絡，包含攻擊行為、工具使用、漏洞利用手法等元素，這些資訊必須能回溯至企業內部風險態勢，方能轉化為具備執行意義的矯正優先序。

這正是趨勢科技將Vision One平台定義為CREM與XDR雙軌並行的主因。劉家麟強調，CREM與XDR在架構上屬於平行且互補的關係，而非前後順序的依賴。CREM的核心價值在於主動式防禦，目標並非在攻擊發生時進行攔截，而是在風險尚未被利用前進行矯正。這涵蓋了攻擊面管理（ASM）、資產弱點評估、身分安全狀態以及雲端組態設定檢核等範疇。藉由AI技術輔助，系統能將這些外部情資與內部資產狀態進行關聯分析，動態調整風險權重，協助管理者在資源有限的情況下，精準投入防禦資源，完成從「被動偵測」轉化為「主動預防」的轉型。

平台化整合代理型AI優化維運

當曝險管理與XDR同時存在，組織勢必面臨資料來源高度分散、告警與事件描述難以快速整合的現實挑戰。劉家麟說明，XDR的定位是跨端點偵測與回應（EDR）、網路偵測與回應（NDR）、郵件安全、雲端安全與身分安全等領域，把異質來源事件關聯成一個可調查的威脅情境。這解決了過去SIEM常見的困境，即同一個攻擊鏈被拆解為大量破碎告警，分析人員需耗時拼湊事件全貌。AI在這方面的價值，不只是運用模型判斷惡意與否，更關鍵的是將異質日誌轉換為人類可理解的自然語言描述，協助IT或資安人員快速掌握資料的意義與影響範圍。

過去企業導入傳統SIEM系統時，最大挑戰在於異質資料的正規化與規則撰寫。企業環境中充斥著來自微軟、Palo Alto Networks等數十種不同品牌的資安機制，欲將這些格式不一的日誌轉換為可分析事件，往往需投入大量人力維護解析規則（Parser），且設備版本一旦更新，規則便可能隨之失效。

Agentic SIEM技術有效地解決了此一瓶頸。透過導入具備理解能力的AI模型，系統能夠在極短時間內自動學習並解析新的日誌格式，無需人工頻繁介入編寫規則。這意味著企業可以更輕易地將第三方資安設備的資料匯入Vision One平台，利用AI進行跨產品的正規化與關聯分析。這不僅解決了傳統資料湖（Data Lake）僅能儲存卻難以分析的問題，更讓XDR的偵測視野不再受限於單一供應商，能夠納入防火牆、身分識別系統、雲端服務等多維度數據，建構出全生態系防禦網。

與此同時，Agentic SOAR則負責將偵測到的威脅轉化為具體的行動。劉家麟特別強調，在自動化回應的設計上，必須考量到企業營運的連續性與責任歸屬。儘管AI具備自動阻斷網路或隔離端點的能力，但在實際場域中，系統更傾向於扮演「引導式顧問」的角色，自動生成處置建議（Playbook）供管理人員決策，而非貿然採取暴力式的自動阻斷，以免誤判導致正常業務中斷。

支撐整套AI運作體系的底層技術，是趨勢科技專有的語言模型引擎Trend Cybertron以及生成式AI助手Trend Companion。Cybertron作為底層大腦，經過趨勢科技長達30多年累積的威脅情資訓練，專精於理解資安領域的專業術語與攻擊行為模式；Companion則作為使用者介面，讓資安分析師能以自然語言與系統互動，不僅能快速查詢威脅細節，甚至能自動生成符合董事會或高階管理層需求的事件調查報告，大幅降低了SOC團隊的負擔。