什麼是延伸偵測與回應 (XDR)?

    延伸偵測與回應 (XDR) 整合了多項工具和資料,可跨越多個端點、工作負載、使用者和網路,以提供延伸的能見度、分析和回應。

    延伸偵測與回應能掌握網路和雲端的重要資訊,藉此統整端點和工作負載安全功能,進而運用這些領域的可靠關聯性資訊,減少盲點、加速偵測威脅並自動進行修正。

    《迎合未來的安全性作業中心:使用延伸偵測與回應實現統一的能見度和控制》(The Future-Ready SOC: Using XDR to Achieve Unified Visibility and Control)

    下載白皮書

    ESG 公司:《延伸偵測與回應在現代化安全性作業中心內產生的影響》(The Impact of XDR in the Modern SOC)

    下載電子書

    安全性中的延伸偵測與回應如何運作?

    基本上,延伸偵測與回應集結了多項工具和資料,為企業安全功能領域的一大進展。延伸偵測與回應可存取跨越不同環境收集到的原始資料,因此能偵測使用合法軟體取得系統存取權限的不法人士,而這也是安全性資訊和活動管理 (SIEM) 軟體難以企及之處。延伸偵測與回應可執行活動資料的自動化分析和相互關聯作業,以利資安團隊更有效地隔離威脅。舉例來說,延伸偵測與回應能延伸涵蓋網路偵測、橫向移動、異常連線、信標、滲透和惡意成品的交付。

    延伸偵測與回應如同端點偵測與回應一樣,可回應威脅,以將其隔離並移除。不過,延伸偵測與回應有更優異的資料收集和環境整合能力,因此能更有效地因應受影響的資產。真正的延伸偵測與回應平台,可提供必備的能見度和情境,以利安全性分析師精確且有效地回應威脅。此一量身打造的回應措施,不僅有助於隔離威脅本身,還能減少對系統造成的回應影響程度,像是縮短關鍵伺服器的停機時間。

    延伸偵測與回應包含三個部分:遙測和資料分析、偵測,以及回應。

    • 遙測和資料分析:延伸偵測與回應會跨越多個安全性層級監控和收集資料,包括端點、網路、伺服器和雲端。延伸偵測與回應可使用資料分析功能,將上述層級的數千筆警示相互關聯,從中找出數量更精簡的高優先順序警示,以防資安團隊疲於奔命。
    • 偵測:延伸偵測與回應具備更優異的能見度,能篩選警示,並回報需要做出回應的警示。此一能見度也可用來為環境中的正常行為建立基準,進而偵測運用軟體、連接埠和通訊協定趁隙而入的威脅,並調查威脅來源,以避免對系統中的其他部分產生影響。
    • 回應:如同端點偵測與回應一樣,延伸偵測與回應也有能力隔離和移除偵測到的威脅,以及更新安全性原則,繼而避免再度發生相同漏洞。然而,端點偵測與回應只會對端點和工作負載執行這項功能,延伸偵測與回應則與之不同,可超越端點保護的範疇,一舉回應自身接觸到的所有安全性控制點;無論是容器安全性、網路,還是伺服器,皆包含在內。

    延伸偵測與回應具備哪些優勢?

    延伸偵測與回應具備超越端點偵測與回應範疇的功能,能賦予企業 IT 環境多項實質的安全性優勢,包括:

    • 更出色的能見度與情境:不同於端點偵測與回應 (僅限端點和工作負載),以及協力廠商安全服務 (通常能見度有限),延伸偵測與回應可提供安全性環境的全方位檢視。延伸偵測與回應能讓安全性分析師查看任何安全性層級中的威脅 (即使該威脅運用合法的軟體、連接埠和通訊協定入侵),同時瞭解攻擊手法、藍圖、進入點、其他受影響者、威脅來源,以及威脅的傳播方式。此一附加情境,以及需要釐清的分析內容,皆為快速回應威脅的重要關鍵。
    • 排定優先順序:IT 和資安團隊經常為了安全服務產生的數千筆警示,疲於奔命。延伸偵測與回應備有資料分析及相互關聯功能,有助於將 MITRE ATT&CK 架構中的相關警示予以分組、排定其優先順序,而且僅顯示最重要的警示。
    • 自動化:延伸偵測與回應會使用自動化作業加快偵測與回應速度,並移除安全性流程中的手動步驟,以利 IT 團隊處理大量的安全性資料,且重複執行複雜流程。
    • 營運效率:相較於一系列缺乏整合的安全性工具,延伸偵測與回應可為整體環境提供全面的威脅檢視,而集中化的收集資料和回應功能,更與環境和更廣大的安全性商業網路密切整合。
    • 加速偵測與回應:上述種種優勢造就了更強大且有效的安全態勢。延伸偵測與回應能憑藉更高的效率,加速偵測與回應威脅,而這也是現行安全性環境不可或缺的重要關鍵。
    • 更縝密的回應:傳統端點偵測與回應通常會隔離受影響的端點,以達到回應威脅的目的;如果端點本身為使用者裝置,此舉並無不妥,但若關鍵伺服器受到感染,後果將不堪設想。延伸偵測與回應具備更縝密的功能和更出色的能見度,能為特定系統量身打造專屬的回應,並運用其他控制點將影響程度降至最低。

    延伸偵測與回應有哪些使用情境?

    • 搜尋威脅:雖然任何指定網路內可能早已存在著威脅,許多資安團隊往往抽不出時間來主動搜尋威脅。延伸偵測與回應的遙測和自動化功能,可自動完成絕大多數的主動搜尋威脅作業,大幅減輕資安團隊的負擔,並讓他們能一邊執行其他工作一邊搜尋威脅,且僅在必要時進行干預。
    • 分級:資安團隊的最重要功能之一,就是排定警示的優先順序或對其進行分級,然後快速回應最重要的警示。延伸偵測與回應可運用強大的分析功能,將數千個警示關聯至少數幾項高優先警示,以利篩選干擾資訊。
    • 調查:延伸偵測與回應兼具廣泛的資料收集功能、優異的能見度,以及自動化分析能力,可協助資安團隊輕鬆快速地掌握威脅來源、傳播方式,以及其他使用者或裝置是否會受到影響。上述各項資訊,皆為移除威脅和協助網路加強抵抗後續威脅的重要關鍵。

    延伸偵測與回應應避免哪些錯誤?

    延伸偵測與回應是一項強大的安全策略,不過,若要發揮其完整效益,請務必選用可充分運用其功能的解決方案。在選擇平台時,請務必留意以下問題:

    • 缺乏整合:延伸偵測與回應必須完整整合至 IT 環境中,才能發揮應有的效益。需要花時間維護的複雜整合作業,可能會壓縮 IT 團隊的時間,連帶降低您延伸偵測與回應解決方案的效益。
    • 自動化不足:自動化作業為延伸偵測與回應中最強大的功能之一,因此,有效的平台應有能力根據目前的狀況做出調整,並做出針對性回應,以超越單純封鎖受影響裝置流量的範疇。
    • 作業複雜度:實用的延伸偵測與回應解決方案,需讓資安和 IT 團隊透過連貫方式加以存取;否則,這些團隊透過實作解決方案所省下的時間,將被學習和設定解決方案的時間及心力抵銷殆盡。

    什麼是網路安全中的偵測與回應?

    偵測與回應技術會透過即時且持續的方式監控系統,以偵測及調查潛在威脅。隨後,偵測與回應系統將使用自動化作業來隔離並移除這些威脅。

    目前,市面上有許多不同類型的偵測與回應解決方案,包括:

    • 端點偵測與回應 (EDR):端點偵測與回應會監控和回應端點上的威脅,是最先問世的偵測與回應系統;相較於早期的安全性技術,端點偵測與回應能提供更優異的能見度,並加速回應威脅。此外,端點偵測與回應也具備更出色的惡意軟體偵測功能,進而揪出更縝密的威脅,例如無檔案惡意軟體。不過,端點偵測與回應的應用範圍僅限端點和工作負載安全性,因而無法跨越複雜的環境來建立威脅關聯性。
    • 網路偵測與回應 (NDR):網路偵測與回應會掃描網路中的威脅,並於偵測到威脅後部署回應機制。這類型的偵測與回應會聚焦於內部網路上,可讓資安團隊掌握利用周邊網路漏洞趁虛而入的威脅。網路偵測與回應應結合運用多項技術,包括網路流量分析、入侵偵測和防禦系統、網路沙箱,以及未監管和已監管的機器學習,藉此辨識超越端點範疇的惡意和正常活動。
    • 代管偵測與回應 (MDR):代管偵測與回應會以外包服務的方式運作,通常會由外部專業人員使用端點偵測與回應以及網路偵測與回應工具,於企業系統上執行偵測與回應作業。如果企業內部沒有足夠的專業能力或資源可實際運用偵測與回應工具,便適合採用此一模式。不同於代管安全服務供應商 (MSSP) 等其他外包安全服務,代管偵測與回應服務著重於偵測與回應在端點、工作負載和網路中偵測到的最新威脅。

    延伸偵測與回應和端點偵測與回應有何不同?

    延伸偵測與回應會將端點偵測與回應的各項功能延伸至環境中的所有安全性層級,包括負載、裝置、使用者和網路。

    不同於僅提供單一觀點的端點偵測與回應,延伸偵測與回應可提供跨越多個安全性層級的遙測和行為分析,以協助資安團隊綜觀全局。

    由於不法人士的攻擊範圍不會侷限於單一安全性層級,資安團隊也應將目光擴及單一層級之外。端點偵測與回應雖能讓安全性專業人員掌握可能遭到入侵的端點,如果當資安團隊意識到攻擊當下,攻擊早已入侵網路和其他系統,此舉便毫無用武之地。此時,延伸偵測與回應就可派上用場。延伸偵測與回應能全面檢視系統內的活動,避免產生能見度落差;這樣一來,資安團隊就能瞭解威脅的來源及其傳播方式,繼而加以根除。換句話說,延伸偵測與回應可提供更出色的分析和相互關連能力,同時綜觀全局。

    為您推薦

    相關解決方案與產品

    VMware Carbon Black Cloud

    透過可根據需求調整的智慧型端點與工作負載保護功能,推動資安轉型。

    VMware Carbon Black EDR

    地端端點偵測與回應 (EDR)。

    VMware NSX Network Detection and Response

    採用人工智慧技術的網路偵測與回應 (NDR)