優質部署XDR平台 早一步斷絕駭客攻擊鏈 智慧應用 影音
DFORUM
Event

優質部署XDR平台 早一步斷絕駭客攻擊鏈

  • 台北訊

Trend Micro Vision One在資安研究機構MITRE Engenuity 最新的ATT&CK Evaluations測試當中取得優異成績。趨勢科技
Trend Micro Vision One在資安研究機構MITRE Engenuity 最新的ATT&CK Evaluations測試當中取得優異成績。趨勢科技

企業不論是仰賴IT團隊負責資安管理或成立專責資安營運中心(SOC),面對各自為政的資安工具、大量的警示及難以察覺的資安威脅,都深感苦惱;導致近年各種「DR」(Detection & Response)應運而生,其中被Gartner列為「2021年十大重要資安專案」的XDR、也就是延伸式偵測及回應,更被許多企業視為足以終結過往亂象的救星。

但許多企業對XDR仍存有疑惑,不知如何選用最合適的XDR?為此趨勢科技於日前舉辦「XDR的必備條件與Trend Micro Vision One全功能解析」線上講堂,希望協助企業選對XDR平台,有效提升防護、偵測與回應能力。

如欲瞭解更多趨勢科技LetsTalk Online線上資安課程主題與報名資訊,請掃描QRCode。

如欲瞭解更多趨勢科技LetsTalk Online線上資安課程主題與報名資訊,請掃描QRCode。

Gartner評估XDR平台三大關鍵要素

趨勢科技經銷業務部協理黃家寶透露,不少企業都好奇,究竟XDR與EDR等其他「DR」解決方案的區隔為何?

對此趨勢科技資深技術顧問吳宗霖表示,自2019年起陸續有許多DR問世,其中最讓大家熟知的就是EDR(端點偵測及回應)。相對來說,XDR並非一項產品、而是平台,可解決單靠EDR解決不了的事;因為企業內部有多元環境,不僅有端點,還有老舊作業系統,也有IoT設備、郵件系統甚至雲端,都是駭客可能入侵的管道,但除端點外皆無法安裝EDR代理程式,顯見單憑EDR不足以實現全面性的威脅偵測。

「駭客不會聽你的話、只攻打你防禦最強的地方,一定找最弱的環節來突破!」吳宗霖說。此時唯有依靠能夠收容端點、E-mail、伺服器、雲、網路、IoT等不同活動Log與偵測Log的XDR平台,才能打破資訊穀倉,描繪整個駭客攻擊鏈,協助企業展開回應與行動。

談到如何評選XDR,建議可參考Gartner針對XDR定義的三大關鍵因素,包括「中心化的集中數據」、「基於彼此關聯的數據與警報,進而產出事件」,及「中心化的事件回應能力,而後能進行改正動作」。由此觀之,市面上有些XDR解決方案僅專注於端點或網路,且未支援雲端、老舊OS或IoT設備,顯然都不能算是最佳解。

引進MxDR服務  由外部專家協助判讀資安事件

問題來了,即便企業懂得評選好的XDR,但如何套用於企業環境、並產生預期防護成效?吳宗霖建議,可針對技術面、情資面、產品服務面進行通盤檢視。

以趨勢科技的XDR平台「Vision One」為例,從技術面來看,趨勢科技在端點、網路、郵件、雲端等等不同層面皆有對應偵測產品,得以全面收納多類型活動或偵測Log,此外也能借助API,讓SIEM將其Log輸送到Vision One。

換言之Vision One就是一個匯聚原始行為紀錄、遙測資料與偵測事件的大型Data Lake,進而透過AI技術執行資料過濾與堆疊分析,再透過專家規則執行多項威脅事件的分析和關聯,並搭配外部情資執行比對過濾,最終甚至可做到事件判讀,將看似雜亂無章的海量Log整理成為有效的情報,產出精準告警。

具體來說,擁有上述細膩偵測與回應機制的Vision One,早已超越XDR格局,更像是一個風險可視化(Security Posture)平台。

針對情資面,Vision One係將情資視為模型概念,趨勢科技的專家會將駭客團體所用的手法、C&C、惡意檔案撰寫成為模型,再結合其他收容上來的情資,針對Log進行比對與關聯,最終給予分數,以利用戶準確判斷威脅事件。

再來談到產品服務面。趨勢科技觀察到許多企業並未具備威脅判讀的Know-how,因而提供在台灣唯一由原廠推出的MxDR託管服務,不僅協助企業佈建Sensor、架設Vision One、收容所有Log,後續也幫忙過濾、分析各項事件,最終還建議處理對策、並提供對應的解決工具。

所以吳宗霖形容,企業一旦選用這項MxDR,等於引進一位經驗老道的資安分析師,隨時在一旁協助分析所有事件與紀錄,並做出正確判讀。

綜上所述,Vision One在技術、情資或產品服務等層面可謂面面俱到,故能挾著領先業界的顯著條件,在近兩年參與MITRE的APT29、Carbanak & FIN7等評測過程中屢創佳績,居於領導象限。

藉由像是Vision One這般具備完整功能特色的XDR平台,可望為企業賦予「See More」、「Response Faster」能力,縱使內部出現資安事件,也能夠有效關聯威脅數據,迅速展開回應動作、將傷害至降最低,及早撲滅掉日後可能燎原的惡意星火。

如欲瞭解更多趨勢科技LetsTalk Online線上資安課程主題與報名資訊,請至活動網站