智能应用 影音

善用XDR展现跨维度侦测能力 应付日趋复杂的攻击

  • DIGITIMES企划DIGITIMES企划

从网安角度而论,现今OT场域面对的不是风平浪静,而是波涛汹涌的局面。FireEye亚太区系统工程副总裁黄献顺认为,当务之急企业应设法适应新环境与威胁,即便遭受黑客打击,仍可迅速站起来。

他接着说,现今全球越来越多企业重视检测和复原力,确保攻击发生时,可以很快看到、并有能力对抗,然后尽速复原完成。另一方面,大家务必有所体认,百密也有一疏,以往让入侵者无法进入内网的策略已不切实际,当攻击者进入,要有能力能尽快侦测、阻断、把入侵者驱逐出环境。

FireEye亚太区系统工程副总裁黄献顺。DIGITIMES摄

FireEye亚太区系统工程副总裁黄献顺。DIGITIMES摄

也许不少人纳闷,国际上数据外泄与黑客攻击事件频传,难道受害者个个疏于投入网安?若非如此,为何被攻陷?主要基于几个原因,包括威胁更加复杂、人人都是被攻击目标、人手永远不足够来处理问题,及太多的安全工具,衍生人才招募与慰留困难、技术和知识无法有效传承、有限人力穷于应付大量告警等挑战。

影响所及,许多企业希望能透过平台整合过程,简化纵深防御的堆叠,以更有效率、更节约的方式来化解种种挑战,因而使得近年XDR备受关注。XDR系将多种网安防御/侦测/因应方案整合、关联、数据化集大成的平台,意在让企业有更好的方向,能够将所需技术在一个架构上建立起来,其中也包括云端服务技术,藉由多面向解决方案与进阶分析的组建,将多来源的告警事件与较不显着的单一事件加以关联,达到更准确的侦测。

黄献顺强调,出色的XDR需符合五大面向,依序是高覆盖率(横跨端点、网络、云端服务)、易解读的威胁情资(助用户快速理解各项威胁影响范围)、分析能力(须提供跨领域的准确分析结果)、自动化(须在威胁调查、事件回应、风险处理的自动化流程上有所助益),以及为安全人员量身打造的操作设计(须为不同SOC分析者提供通用的UI与视觉化操作方式)。

FireEyeXDR完全符合前述特质,是以SaaS做为提供服务基础的威胁侦测与事件回应平台,擅于将端点、网络、邮件、云端及第三方网安方案兼容与关联到一个操作系统中。

综观FireEye XDR,它蕴含Network Security,能在防火墙、IPS之后接近用户的最后一段做到最佳防卫,亦支持网络监识调查,让用户轻易查找任何时间点的PCAP,以确认有无网安事件或敏感数据外泄。亦有Email Security,有助阻止钓鱼攻击;有Endpoint Security,涵盖传统EPP到EDR、端点监识等功能;有CloudSecurity,提供云端服务可视化、法遵及治理;另有Detect on Demand,让用户透过API整合SIEM、沙箱...等第三方方案。

更重要的,FireEye XDR提供Helix Detect及Helix SecOps等SaaS平台,协助将上述既有产品整合成为开箱能用的服务,让企业练就跨维度侦测能力,建立高端的防卫体系。