隨著企業數位化程度逐年增高,風險管控已成為必要的經營管理核心之一。為了協助企業從被動防禦轉向主動防禦,微軟基於雲端平台打造Microsoft Defender XDR,透過內建的API與連接器,整合端點偵測與回應(EDR)、Security Copilot、Microsoft Sentinel、Microsoft Entra ID等機制的相關資料,以統一平台掌握風險協助企業執行主動防禦。
台灣微軟資安技術專家張士龍指出,微軟對於XDR(Extended Detection and Response)的定義,不僅僅是一種技術名詞,更是一個完整的資安解決方案,其核心在於整合性與擴展性。XDR是一種將多元化的安全事件偵測來源整合至單一平台的方式,讓IT或資安人員能夠針對端點、伺服器、雲端應用、電子郵件系統等各個可能的攻擊向量,進行統一的事件分析、關聯性處理以及自動化回應。
他進一步說明,XDR的核心價值在於擴展傳統資安解決方案的範疇。以往的防毒軟體主要基於特徵碼資料庫分析比對,僅能就已識別的威脅進行攔截。EDR則進一步增強了端點的威脅偵測與回應能力,能夠持續監控端點的行為,並在發現異常時採取必要的應對措施。然而,隨著網路威脅的日益複雜化,攻擊範圍不僅限於單一端點,而是擴展至整個IT基礎架構,因此需要更為全面的視野,才有能力察覺異常並立即採取行動降低風險。這正是XDR受到企業關注的關鍵。
因此,張士龍強調,XDR平台的首要必須具備整合性。無論是來自端點、電子郵件、雲端工作負載或其他應用系統的安全日誌,XDR都能將這些來自不同偵測機制的資料彙整至一個集中平台,並透過關聯性分析,辨識複雜的攻擊模式。例如,一次攻擊可能始於用戶端的電子郵件附件,接著滲透伺服器,並最終擴展至關鍵應用系統。透過整合的事件分析,XDR能夠將這些離散的攻擊點串聯成完整的攻擊路徑,讓企業能夠全面了解攻擊的進展並快速採取行動。
其次,XDR要具備未知威脅的應對能力。傳統特徵碼分析比對機制無法辨識未知型攻擊手法,而XDR則可透過行為基準的方式進行偵測,運用沙箱(Sandbox)技術來分析可疑檔案或行為,並判斷其是否為惡意攻擊。
此外,XDR平台還要有自動化回應機制。企業不僅需要偵測威脅,還必須迅速採取行動來防止攻擊的擴散。透過XDR,可藉由自動化執行多種回應措施,如隔離受感染的設備、封鎖攻擊來源或立即修補漏洞。除了緩解風險,同時也減輕IT或資安團隊的負擔,提升事件處理的效率。
未納管裝置為主要資安破口
根據2024年Microsoft數位防禦報告(MDDR)統計,過去一年內,勒索軟體攻擊數量的年增率達到2.75倍,但加密得逞的攻擊案例卻下降了3倍。社交工程攻擊依然是最常見的入侵方式,特別是電子郵件網路釣魚、簡訊網路釣魚、語音網路釣魚,但同時也包括身分洩露和利用大眾應用程式或未修補的作業系統漏洞進行攻擊。
張士龍表示,從調查數據中可發現,儘管遭遇次數頻繁,實際被勒索成功的組織比例卻逐漸下降,反映出在防禦機制方面的進步。實際上,在成功的勒索攻擊事件中,有高達92%是利用未受管理的設備進行滲透的。由此可發現網路資產管理中的弱點,未受管理的設備成為攻擊者利用的主要入口,顯示出企業對於端點防護與資產監控的薄弱環節。所幸,進入加密階段的勒索攻擊數量在過去兩年內顯著下降了三分之二。意味著儘管威脅行為者的活動愈發頻繁,但隨著企業逐漸採用更有效的防禦策略與技術,攻擊者實現其目標的難度也在提高。
另一方面,組織中與勒索軟體相關的資安事件在2023年7月達到高峰,但自此之後,被勒索成功的比例卻逐漸下降至30%以下。這樣的趨勢不僅反映了攻擊模式的轉變,也凸顯出企業與安全防護技術之間的攻防對抗日益激烈。張士龍認為,這種變化可能與EDR技術的普及有關,同時也顯示出資安教育正逐漸發揮作用。
作業系統內建偵測與回應機制
當前資安市場上不同技術領域的供應商皆已提出自家XDR解決方案,張士龍認為,Microsoft Defender XDR最具優勢之處在於需額外安裝代理程式的架構。因其設計基於Windows 10作業系統內建的功能,企業無須再為每一個終端裝置額外部署軟體。這種無代理的模式不僅簡化了安裝和管理流程,還大幅降低了可能的相容性問題與效能衝擊。
「企業對於代理程式的抗拒,部分來自於過往重大事件的影響,例如719全球大當機事件,讓企業意識到代理程式可能帶來的風險,像是效能下降或相容性衝突。而Defender的內建架構則巧妙地避開了這些問題,提供了一種高效且穩定的資安機制。」張士龍說。
台灣微軟資安技術專家張士龍指出,從EPP到XDR的演進不僅僅是技術上的提升,更反映了企業資安需求的變化。面對日益嚴峻的網路安全挑戰,唯有不斷優化資安策略,才能實現對數位化資產的全面保護。
Defender XDR的另一優勢在於其底層的分析與偵測技術。他以PowerShell運行行為的偵測舉例,Defender能有效識別混淆技術或加密攻擊的異常活動。這種能力來自於微軟多年來在作業系統層級所累積的技術,使其能夠深入了解執行環境中的細節並及時識別潛在威脅。
Copilot輔助提升威脅分析能力
微軟在Defender XDR中結合了生成式AI技術Security Copilot,為IT或資安維運提供更有效率的工作方式。Copilot整合了OpenAI最先進的GPT-4模型與微軟自行開發的資安專用模型,維運團隊能以自然語言進行互動,可大幅簡化事件處理和回應的操作過程,甚至可協助逆向工程分析惡意程式碼,並利用自然語言生成Kusto查詢語言(KQL),簡化了查詢建置的過程,以便快速地搜尋並應對潛在的威脅。
Copilot的核心功能在於可如同專家般進行事件調查與回應。包括即時掌握攻擊的本質、快速分析可疑檔案與指令碼,並立即部署適當的防護措施以遏止攻擊擴散。例如,面對來自不同資安機制觸發的告警事件,Copilot可快速產生事件的概觀摘要,幫助維運團隊了解攻擊範圍、影響的資產、事件時間軸等基本資訊。同時亦提供引導式的回應,提升事件解決的效率。此外,Copilot還可生成裝置的摘要資訊,藉此快速掌握裝置安全態勢,包括異常行為、漏洞軟體清單等,快速掌握資安風險環節。