优质部署XDR平台 早一步断绝黑客攻击链
- 台北讯
-
企业不论是仰赖IT团队负责网安管理或成立专责网安营运中心(SOC),面对各自为政的网安工具、大量的警示及难以察觉的网安威胁,都深感苦恼;导致近年各种「DR」(Detection & Response)应运而生,其中被Gartner列为「2021年十大重要网安专案」的XDR、也就是延伸式侦测及回应,更被许多企业视为足以终结过往乱象的救星。
但许多企业对XDR仍存有疑惑,不知如何选用最合适的XDR?为此趋势科技于日前举办「XDR的必备条件与Trend Micro Vision One全功能解析」在线讲堂,希望协助企业选对XDR平台,有效提升防护、侦测与回应能力。
Gartner评估XDR平台三大关键要素
趋势科技经销业务部协理黄家宝透露,不少企业都好奇,究竟XDR与EDR等其他「DR」解决方案的区隔为何?
对此趋势科技资深技术顾问吴宗霖表示,自2019年起陆续有许多DR问世,其中最让大家熟知的就是EDR(端点侦测及回应)。相对来说,XDR并非一项产品、而是平台,可解决单靠EDR解决不了的事;因为企业内部有多元环境,不仅有端点,还有老旧操作系统,也有IoT设备、邮件系统甚至云端,都是黑客可能入侵的管道,但除端点外皆无法安装EDR代理程序,显见单凭EDR不足以实现全面性的威胁侦测。
「黑客不会听你的话、只攻打你防御最强的地方,一定找最弱的环节来突破!」吴宗霖说。此时唯有依靠能够收容端点、E-mail、服务器、云、网络、IoT等不同活动Log与侦测Log的XDR平台,才能打破信息谷仓,描绘整个黑客攻击链,协助企业展开回应与移动。
谈到如何评选XDR,建议可参考Gartner针对XDR定义的三大关键因素,包括「中心化的集中数据」、「基于彼此关联的数据与警报,进而产出事件」,及「中心化的事件回应能力,而后能进行改正动作」。由此观之,市面上有些XDR解决方案仅专注于端点或网络,且未支持云端、老旧OS或IoT设备,显然都不能算是最佳解。
引进MxDR服务 由外部专家协助判读网安事件
问题来了,即便企业懂得评选好的XDR,但如何套用于企业环境、并产生预期防护成效?吴宗霖建议,可针对技术面、情资面、产品服务面进行通盘检视。
以趋势科技的XDR平台「Vision One」为例,从技术面来看,趋势科技在端点、网络、邮件、云端等等不同层面皆有对应侦测产品,得以全面收纳多类型活动或侦测Log,此外也能借助API,让SIEM将其Log输送到Vision One。
换言之Vision One就是一个汇聚原始行为纪录、遥测数据与侦测事件的大型Data Lake,进而透过AI技术执行数据过滤与堆叠分析,再透过专家规则执行多项威胁事件的分析和关联,并搭配外部情资执行比对过滤,最终甚至可做到事件判读,将看似杂乱无章的海量Log整理成为有效的情报,产出精准告警。
具体来说,拥有上述细腻侦测与回应机制的Vision One,早已超越XDR格局,更像是一个风险可视化(Security Posture)平台。
针对情资面,Vision One系将情资视为模型概念,趋势科技的专家会将黑客团体所用的手法、C&C、恶意档案撰写成为模型,再结合其他收容上来的情资,针对Log进行比对与关联,最终给予分数,以利用户准确判断威胁事件。
再来谈到产品服务面。趋势科技观察到许多企业并未具备威胁判读的Know-how,因而提供在台湾唯一由原厂推出的MxDR托管服务,不仅协助企业布建Sensor、架设Vision One、收容所有Log,后续也帮忙过滤、分析各项事件,最终还建议处理对策、并提供对应的解决工具。
所以吴宗霖形容,企业一旦选用这项MxDR,等于引进一位经验老道的网安分析师,随时在一旁协助分析所有事件与纪录,并做出正确判读。
综上所述,Vision One在技术、情资或产品服务等层面可谓面面俱到,故能挟着领先业界的显着条件,在近两年参与MITRE的APT29、Carbanak & FIN7等评测过程中屡创佳绩,居于领导象限。
藉由像是Vision One这般具备完整功能特色的XDR平台,可望为企业赋予「See More」、「Response Faster」能力,纵使内部出现网安事件,也能够有效关联威胁数据,迅速展开回应动作、将伤害至降最低,及早扑灭掉日后可能燎原的恶意星火。
如欲了解更多趋势科技LetsTalk Online在线网安课程主题与报名信息,请至活动网站。
