從資安防毒起家,成立迄今已超過30年的趨勢科技,近年來積極發展Trend Vision One,以雲端原生建構的單一平台,實作延伸式偵測與回應(XDR)。並搭載人工智慧(AI)應用、威脅情資,以提供專業資安服務,輔助IT或資安管理者應對各式現代化攻擊手段。
趨勢科技自主研發的資安技術,除了融入防毒引擎的端點防護(EPP),同時也發展端點偵測與回應(EDR)、網路偵測與回應(NDR)、郵件安全、雲端工作負載安全等解決方案。然而隨著數位化、雲端化、智慧化成為當前產業發展目標,可攻擊面持續擴大,僅仰賴EDR的記錄已無法即時掌握惡意活動,甚至是在資安事件發生後,也不見得有充足的資料還原真相。對此,市場上提出採以XDR策略,整合端點、伺服器、電子郵件、網路、雲端工作負載等資安機制所產生的日誌,在統一平台上運行關聯分析與AI演算模型判讀,以提高偵測高風險活動的效率,有效地避免發生資安事件。
防毒引擎因應需求增添防護機制
不論企業IT架構是私有雲、混合雲或多雲應用模式,EPP皆扮演不可或缺的資安防護元素。趨勢科技台灣區技術總監劉家麟指出,EPP解決方案的核心精神,在於提供了一個全面性的防禦平台,這個平台不僅限於偵測惡意程式。它擴展到了其他重要的安全面向,例如網路或資料外洩防護(DLP)、系統弱點,以及針對各種攻擊面的防護措施。這些防護任務透過在端點環境運行的代理程式(Agent)來實現,確保端點環境安全。
在當前的網路環境中,端點防護機制被視為最後一道防線,對於端點設備來說,更是其唯一的防禦機制。因此,不論是採用機器學習、深度學習演算模型,還是次世代防毒引擎(NGAV),核心目標仍然是對惡意程式的偵測與防護。差別在於,進階的EPP方案還包含了使用者行為分析等新興技術,以增強其偵測與防護能力。
特別是在金融業這類對於資安敏感度較高的領域,EPP方案中的虛擬補丁(Virtual Patch)機制可展現技術價值。劉家麟說明,虛擬補丁本質上是一種基於主機的入侵偵測系統(Host-Based IPS),它能夠在軟體漏洞或弱點被正式修補之前,提供臨時的保護措施。不僅能夠幫助IT人員在面對零時差攻擊時迅速應對,還可以在安裝正式修補程式前提供一個測試與驗證的緩衝期,從而減少修補過程中可能出現的風險與衝突。
偵測與回應機制成為主流
隨著網路攻擊的手法日益翻新,將EDR技術整合入EPP已成為當前的標準做法,使得端點作業系統能夠透過統一的代理程式進行偵測與回應。EDR技術可專注監控端點的操作行為,在偵測到可疑事件時,它會透過自動化的回應機制,通知EPP採取行動執行控管措施。例如EDR持續監控發現惡意程式活動跡象,EPP可以自動觸發隔離處置,有效地防止威脅擴散。
持續監控有助於企業及早發現資安漏洞或是已經遭受入侵的攻擊活動,因此EDR方案的需求近年來增長相當快速。劉家麟說明,在EDR成為主流之前,趨勢科技在其EPP解決方案中,是以防禦有效性為首要考量。至於資安事件調查(IR),則偏重依賴專業的IR團隊執行,過去這類工作大多以服務的形式提供。
自從勒索軟體出現,成為攻擊者可成功獲利的商業模式,資安事件較以往更頻繁地發生,使得維運人力的負擔日漸沉重。即使已導入部署EDR工具,可輔助提升事件調查的效率,問題是,缺乏資安相關技術背景的IT人員,往往無法充分發揮工具的潛在效益。為了解決此問題,資安市場又出現了託管式的偵測與回應(MDR),基於EDR技術提供專業的資安服務,幫助IT或資安人員依據風險指標排定優先處理順序。
為了進一步掌握潛在資安風險,主要的控管系統開始朝向雲端原生平台整合演進。利用雲端平台,將不同技術領域的資料整合在一起,包括EPP、EDR、網路偵測與回應(NDR)、雲端安全等範疇,市場上統稱為XDR方案。XDR擁有跨領域的資料,可運行關聯分析與AI推論,提供了更廣泛事件調查視角,可輔助IT或資安人員釐清滲透行徑,並進一步降低維運成本與複雜度。
利用生成式AI增設資安助理
現代化攻擊手法具備迴避偵測能力,它們善於利用各個控制點獨立運作、缺乏相互聯繫的弱點,來混淆告警內容,讓資安人員收到告警通知時忽略其危險性。趨勢科技以雲端原生建構的Trend Vision One平台,能夠收集和分析跨越多個保護層面的偵測事件和深度活動資料,包括電子郵件、端點、伺服器、雲端工作負載以及網路等。借助於自動化分析,這些豐富的資料可以更迅速地揭露威脅,同時賦予資安人員更有效的工具,以便他們能夠完成更多的任務,並透過深入調查迅速採取行動。
劉家麟說明,企業或組織既有部署的資安機制皆可成為XDR的「感測器」,透過收集感測器產生的資料到Trend Vision One平台,並整理出交叉關聯性、追蹤觸發告警事件的背後因素。Trend Vision One平台不僅可幫助資安人員準確地察覺異常活動,還能基於Zero Day Initiative(ZDI)漏洞懸賞計畫掌握的最新漏洞,查看所有受影響的端點,同時評估企業整體曝險可能遭受的衝擊。 此外,Trend Vision One平台加速了威脅的調查及回應速度。透過互動式圖表、MITRE ATT&CK對應資訊以及簡化的搜尋技巧,資安團隊能夠利用攻擊過程的視覺化圖表,更快地界定須深入調查的範圍。
值得一提的是,Trend Vision One平台上引進生成式AI打造的資安助理Companion,演算模型是基於資安專家數十年累積的領域知識所建立,主要用於協助資安團隊減少人力操作,既提升日常工作流程效率,亦可更準確地判讀高風險行為。
例如資安人員同時收到多起偵測到惡意程式的告警通知,藉由Trend Vision One平台的Companion輔助,可摘要說明事件內容,並交叉關聯其他資料,指出該起事件採用的攻擊手法與技巧,縮短人力判讀與理解資安事件的時間。讓資安人員有餘力判斷應採取的行動,以便為未來的防禦策略建立新的自動化劇本(Playbook),逐步強化整體防禦力。