為了協助企業因應五花八門的網路攻擊威脅,思科提出以人工智慧(AI)驅動的思科安全雲端(Cisco Security Cloud)發展方向,其中包含Cisco XDR方案,除了可收集自家的端點、網路設備、防火牆、電子郵件、身分、網域名稱系統的遙測資料(Telemetry)進行原生分析和關聯,亦可整合第三方供應商的端點偵測與回應(EDR)、網路偵測與回應(NDR)、郵件安全、次世代防火牆等遙測資料,藉此提高分析惡意行為的精準度,以及提高回應措施的有效性。
思科台灣資安事業部業務總監朱育民表示,針對XDR(Extended Detection and Response)市場的發展趨勢,若要理解它的技術脈絡,可以先從企業較熟悉的EDR來看。EDR主要聚焦在端點設備,透過偵測檔案變化、程序異動以及行為模式等資料,實現偵測並回應資安事件的能力。
然而,隨著攻擊手法日趨多樣,單靠端點偵測已不足以全面掌握網路與各式關鍵應用之間所可能出現的威脅,因此還須藉由NDR技術,透過監控網路流量,補足端點偵測可能遺漏的資訊,幫助防禦者從網路行為與流量模式中分析可疑跡象。
基於雲平台擴大資料收集範圍
在多種偵測與回應機制陸續問世後,企業針對公有雲或內部重要服務(例如郵件伺服器、Active Directory等)關鍵性資安節點的需求更加提高,於是便演進到XDR階段。所謂「X」即意指Extended,意味著不只整合端點與網路,而是更進一步收集與整合所有參與資安防禦的設備、元件與應用程式資訊,將偵測與回應能力擴展到整個IT環境。這種多維度的技術整合,反映出企業對於即時偵測、快速回應的需求,以提高面對現代攻擊威脅的風險控管能力。
另一方面,生成式AI的興起亦是企業開始關注XDR發展的因素之一。自從生成式AI成為熱門話題後,人們發現以往只能在EDR範圍內做較多分析的限制逐漸被突破,現今的AI能夠執行更大範圍的資料運算與情報關聯,協助找出威脅事件中的隱藏線索。
早期資安產品常見的關聯規則(Correlation Rule)往往較為制式,AI的出現讓XDR方案在分析效率與整體防禦的智慧化方面有顯著提升。搭配雲端運算與彈性擴充的算力,這類AI驅動的安全檢測服務已逐漸偏向Cloud-based模式,進一步降低企業導入與部署的門檻,也在面對瞬息萬變的駭客攻擊時,有更高的偵測精準度與回應速度。
異質廠商整合實現端到端可視性
XDR雖已成為趨勢,但各家廠商在解決方案上仍有明顯差異。朱育民說明,思科在2007年收購IronPort切入郵件安全,2013年收購SourceFire(也是Snort IPS規則的原生團隊),2015年收購Lancope(Stealthwatch)與OpenDNS(Umbrella),2018年收購Duo Security,並在2023年收購Splunk等多家關鍵技術。在多年的整合之下,思科可涵蓋非常多元的網路及資安領域,打造出的Cisco XDR平台能夠同時對郵件、IPS、端點、網路行為分析以及身分驗證等領域進行偵測與回應。透過這些技術的整合,思科在發展XDR時能夠深入掌握各個資安防禦領域的需求,以「端到端」的角度幫助企業串接可視性與執行動作。
在這個基礎上,思科也曾於2020年免費推出SecureX雲端原生資安平台,協助客戶將各式安全產品的數據納入同一個集中式介面管理,如今進階成付費版Cisco XDR,整合能力更上一層樓。此平台可以同時連動多品牌、跨平台的資安解決方案,思科甚至進一步與微軟、趨勢科技、CrowdStrike、Darktrace、Proofpoint等廠商進行官方整合,讓XDR能在真實環境裡迅速且準確地將相關事件整合、關聯與回應。
此外,為了讓XDR與異質產品之間維持穩定整合,思科提供合作清單,並負責後續版本維護與測試。若需自行開發或系統整合商協助,也能以思科提供的Open API和Github程式模組進行客製化連結,讓企業不必推翻既有的投資,即可串接Cisco XDR平台。
從應用面來看,Cisco XDR能統一管理偵測與回應流程。朱育民指出,過往若偵測到惡意行為,通常要進防火牆介面加入阻擋名單,再登入EDR平台中止端點惡意行為,手動切換多種管理介面極耗時費力。現在只需在Cisco XDR的統一介面操作執行,即可在Umbrella或防火牆中封鎖外部惡意IP,同時在端點上進行終止程序或隔離等必要措施,大幅提高防禦效率,也降低對人員技能與經驗的要求,藉此協助企業用更少的人力去妥善應對多樣化的威脅情境。
持續增進演算模型安全與治理
在AI應用領域,思科不僅發展預測式AI,也開始將生成式AI導入資安維運。Talos威脅情報團隊長期使用AI與機器學習來解析每日數百億筆資訊,而生成式AI進一步協助提升維運層面的自動化。在Cisco XDR平台中提供了AI Assistant,可協助IT或資安人員,從政策制定到排程維運,皆能利用自然語言互動的方式,執行檔案過濾、控管條件設定及合規檢核等繁瑣工作。
思科台灣資安事業部業務總監朱育民表示,XDR透過跨領域技術整合,得以將多種類別的資料納入同一平台,在新興AI技術的加持下,可協助企業用更有效率、即時的方式因應多變的網路威脅。
隨著企業對AI技術的依賴日益加深,AI模型的安全性和治理勢必將成為關鍵議題。思科日前宣布收購Robust Intelligence,並將成為思科安全雲端的一環。根據思科公開的資訊,Robust Intelligence研發專注於保護AI應用於其整個生命週期中的安全性與穩定性。三大核心功能分別著眼於模型安全掃描、自動化驗證測試,以及執行階段的安全防護,藉此為企業強化AI應用的資安韌性。
首先是模型檔案掃描,專注於主動識別AI供應鏈中開源組件的安全漏洞。例如,來自Hugging Face等開源社群的模型可能隱含惡意程式碼,若未及時檢測,可能導致整個AI系統遭到破壞。透過模型檔案掃描,開發者能在早期就有效識別並修補這些潛在漏洞,從源頭確保系統的完整性。
其次是AI驗證,負責自動化執行模型的安全性與穩定性測試。此功能有助於開發者在模型開發初期識別並減輕潛在風險,避免問題進一步擴大。該驗證過程利用演算法進行紅隊測試,分析模型在數百種攻擊技術與威脅類別下的脆弱性,讓開發者能在部署前妥善評估並改進模型的防禦能力。
第三個技術是AI防護,提供運行階段的即時安全保障,專為營運場景的AI應用而設計。該技術能有效抵禦多種類型的攻擊及不當反應,覆蓋範圍涵蓋數百種威脅類別,並根據最新的AI威脅情資持續擴展辨識與防護力,用以確保營運系統在面對動態且複雜的威脅環境時,仍能穩定運行。