去年10月,趨勢發表新一代端點偵測與反應系統(EDR)Apex One,今年4月已經在臺上市,到了8月初,他們宣布推出涵蓋層面更為廣泛的資安偵測與反應系統XDR,相隔一週後,於該公司的2019年度資安大會(Cloudsec企業資安高峰論壇),正式在臺亮相。

基本上,XDR是一套採用SaaS模式供應的雲端安全服務,可提供自動化偵測、入侵指標的清理(IOC Sweeping)、威脅獵捕,以及根本原因分析。

若需要更進階、完整的代管,趨勢科技也提供另一項服務,稱為Managed XDR,當中將結合趨勢科技內部成立的威脅專家服務,替用戶提供全天候的完整威脅分析、因應計畫,以及矯正這些高風險狀況的建議。

相較於市面上的端點偵測與反應解決系統,或是代管式偵測與反應服務(MDR),趨勢所發展的XDR,最大的特色,是能夠同時橫跨更多種環境,像是電子郵件、網路、端點裝置、伺服器、雲端工作負載,進行資安防護資訊的整合,涵蓋到更多重大威脅的面向,從而提供更完全的威脅偵測與反應能力,讓企業能夠盡早掌握整體資安風險的態勢。

在運作的方式上,這套服務可將原本各自獨立的資安系統收集的微小事件,當中包含自身偵測、遙測、處理的資料,以及關於網路的詮釋資料(metadata),而且是針對不同防護層面的事件資訊,予以自動串連、交互關聯,因此,能夠突破人力處理無法負荷的局限,快速因應每日接收到的大量可疑活動警示,以及橫跨不同系統彙整事件資料的複雜作業,進而偵測到一些企業過去未能察覺的精密攻擊。

除此之外,XDR也能結合趨勢科技長期發展的全球威脅情報平臺,為事件資料的周邊增添進階的關聯性與脈絡,並搭配該公司資安專家對於最優先處理的威脅制定的特殊偵測規則,來強化整體環境的資訊安全防護。

值得注意的是,趨勢這套資安雲端服務之所以如此命名為XDR,是因為所要收集與分析的資料來源,並不僅限於上述5種系統,也包括安全事件資訊管理系統(SIEM)、使用者與實體行為分析系統(UEBA),以及各種能夠用來觀察主機、網路、訊息傳送活動的資料,廣泛納入各種數據,以便XDR能夠綜觀全局。

若能充分獲取與處理這些資料,其實對於XDR能否找出隱藏的威脅而言,至關重要,因為這能促使威脅的判斷變得更為精確,盡快產生可靠的偵測結果,以及清晰的惡意活動脈絡。而在具備這樣的事件集中處理能力之後,企業對於資安態勢,就可以有統一的事實認定,也能在面對各種資安警示時,採用共通、標準化的資料綱要(schema),促進資安團隊成員對於這些狀況的理解與溝通。

而目前XDR在威脅偵測相關的資訊統合上,也採用資安業界現在熱烈關注的Mitre ATT&CK框架,作為共通的入侵手法描述語言,並且以此為所收集到的各種資料進行加值,並套用到XDR的偵測記錄、遙測數據、Triage Workbench的攻擊事件摘要、實體層級執行輪廓的摘要、緩解建議的摘要、敵方的偵測模式,以及攻擊的戰略、技術和流程。

在各種資安系統的整合運用上,XDR也能將本身提供的專家分析能力,套用到趨勢科技的企業級資安解決方案上,讓兩邊的數據可以相互存取、套用,加快資料串連的速度 ,而能及早識別與阻擋攻擊活動。舉例來說,趨勢科技本身在2019年就運用了這種方法,而能發現大量採用橫向移動手法的攻擊行為,就算對方以此躲過了端點防護的檢測,終究還是在XDR集中、全方位的透視分析之下,具現出可疑的行徑與軌跡。

產品資訊

趨勢Trend Micro XDR
●原廠:趨勢科技
●建議售價:廠商未提供
●可提供保護的IT環境範圍:端點電腦、伺服器、網路、電子郵件、雲端服務
●整合的趨勢資安產品:Deep Discovery Inspctor、Cloud App Security、Apex One、Deep Security
●支援的威脅情資交換格式:STIX/TAXII
●支援的威脅入侵手法共通描述標準:Mitre ATT&CK
●支援的自動化安全控制語言:OASIS OpenC2

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容