面對網路威脅樣態持續演變,企業的防禦思維正站在一個重要轉折點上。過去資安領域長期依賴的「偵測與回應」模式,在攻擊者大量導入自動化工具與人工智慧後,雖然仍是防線中不可或缺的一環,但其侷限性也愈發明顯。
隨著攻擊潛伏時間持續縮短,橫向移動與權限濫用往往在短時間內完成,單純仰賴事件發生後的補救機制,已難以有效降低實質風險。資安業界開始把視角往前推移,重新檢視曝險管理與主動防禦的重要性,希望能在攻擊路徑尚未成形之前,先行降低風險累積的速度與範圍。
延伸偵測與回應(XDR)架構也逐步從過去以偵測與回應為核心的被動模式,朝向結合預判與治理的方向演進。微軟資安技術專家張士龍指出,近年實際觀察到的多起攻擊事件顯示,攻擊者完成橫向移動與滲透的時間已被壓縮到數分鐘等級,企業若仍停留在仰賴人工逐筆研判告警的作業方式,往往在事件被確認時,攻擊已進入後段階段。
他直言,若無法透過AI輔助提前辨識行為模式與潛在意圖,組織很容易受限於既有IT或SOC人員的判斷節奏,難以應對高度自動化的攻擊行為。「要能主動偵測、即時反制,首先得具備一個有能力整合異質訊號、啟動治理決策的XDR平台,這才是資安AI落地的基礎。」
張士龍進一步說明,微軟近年在XDR平台上所強化的重點,並非單一偵測技術,而是如何把不同防線的訊號放在同一治理脈絡中理解。目前XDR的核心訊號來源,涵蓋端點防護(Endpoint Defender)、身分防護(Entra ID Defender)、電子郵件安全(Defender for Email)、雲端應用防護(Defender for Cloud Apps)、AD(Active Directory)相關的異常偵測。當這些訊號能夠被整合後,平台才有條件同時從端點行為、登入模式、郵件內容、SaaS使用情境與橫向移動跡象等多個面向,交叉比對出可信度較高的風險事件,並進一步交由Security Copilot進行分析與處置建議的生成。
從協防分析邁向自動化阻斷
在架構設計上,張士龍將現行XDR的AI應用拆解為三個層次,分別對應不同成熟度的導入階段。第一層是以機器學習為核心的偵測能力,主要負責處理大量事件與訊號,例如從歷史樣本中辨識惡意程式特徵、可疑IP行為或異常登入模式,藉此提升整體偵測準確度與效率。這一層的角色,仍以輔助既有偵測機制為主。
第二層則是協防分析階段,也就是Security Copilot介入SOC作業流程的切入點。張士龍指出,在這個階段,AI的角色不是直接替企業下決策,而是協助分析事件背景、整理攻擊脈絡,並提出具體的處置建議,讓分析師能在更短時間內掌握事件全貌。這樣的設計,目的是降低人工調查的負擔,而非取代人的判斷。
第三層,才是真正與主動防禦相關的自主治理能力(Autonomous Protection)。張士龍強調,這一層的關鍵不在於「看到告警就自動封鎖」,而是平台必須先透過跨域關聯分析,確認攻擊行為已沿著特定攻擊鏈推進,並在高度確定的情況下,才會啟動阻斷或隔離動作。治理引擎會綜合郵件初始滲透、身分冒用、橫向掃描、中繼站通訊與資料存取行為等訊號,對照MITRE ATT&CK攻擊鏈推估後續可能行為,當判斷結果具備足夠把握時,才會執行封鎖。
平台整合重塑資安營運效率
在實際部署層面,張士龍指出,企業可依自身資安成熟度,逐步導入不同層級的自動化治理。例如透過Playbook與Sentinel整合,讓端點隔離、帳號停用、惡意IP封鎖等動作成為既定流程的一部分。當Security Copilot的分析結果符合預設條件時,這些動作可在無需人工介入的情況下執行,並同步留下事件記錄,供後續稽核與回溯使用。
這樣的設計,不僅有助於提升SOC處理效率,也讓資安治理更容易被量化與管理。張士龍提到,Security Score能依據多種常見框架,協助企業檢視在身分、資料、應用與裝置等面向的整體防護狀態,並作為內部溝通與管理層決策的參考依據,這也讓資安不再只是技術團隊的議題,而能被納入企業治理討論中。
在整合性方面,他也說明,Defender與Sentinel可透過標準格式或API,與第三方資安設備交換資訊,使事件感知與回應不侷限於單一平台。只要設備具備對應的整合條件,就能被納入同一治理流程,為後續更進階的Agentic AI治理架構奠定基礎。
此外,隨著安全資料量持續成長,微軟也在XDR架構中引入Data Lake作為集中儲存與分析的基礎,讓身分行為、端點偵測與應用使用情境能在同一資料層被管理,支援Security Copilot與Sentinel進行更長時間尺度的分析與回溯。
即便平台能力持續進化,張士龍仍提醒,主動治理並非單靠工具即可完成,而是建立在完整可觀測性與治理策略之上。若企業僅在單一防線部署,缺乏身分或雲端訊號支撐,平台判斷自然難以具備足夠依據。他認為,真正的主動防禦,需要多源訊號交叉比對,以及對組織行為模式的清楚理解。
欲達到AI驅動的治理階段,關鍵並不只在於採購先進技術,而是企業是否具備清楚的責任分工、穩定的資安營運流程與可被自動化的應變機制。工具只是放大器,只有治理策略與組織準備到位,AI才能在實務中發揮價值。