【從端點防護系統與網路防火牆整合的偵測與回應機制】近期有廠商主打由端點出發,同時涵蓋網路層面的偵測及回應系統XDR,並能支援其他廠牌防火牆,像是圖中Palo Alto Cortex XDR可整合Check Point防火牆,來發現異常行為。圖片來源/Palo Alto Networks

透過網路流量來掌握企業資訊環境的需求,不只使得專屬的研發網路偵測與回應系統(NDR)受到關注,也讓許多資安廠商跟進,在產品組合裡整合有關功能,來加強競爭力。而率先響應的廠商,主要是提供以下兩種面向產品的業者:端點防護與資安資訊事件管理平臺(SIEM),因為NDR的主要訴求之一,就是補足與強化它們防護缺乏的面向。

從防護的角度來看,雖然NDR無法直接取代這些防護機制,但是能夠達成互補的效果。例如,資安業者提供整合端點與網路的偵測與回應解決方案(即EDR和NDR),這兩種系統便能互通有無,補上另一種平臺缺乏的機制。像是有了NDR的功能,偵測範圍能夠涵蓋EDR沒有支援的裝置或是網路設備,而EDR能藉由端點電腦上的代理程式,執行NDR所下達的因應措施,來封鎖端點電腦的連線能力或是刪除檔案,因此,開始有多家資安廠商投入這種領域。

而無論是端點防護還是SIEM廠商,將網路偵測與回應納入現有的解決方案之後,不少業者便稱呼新的產品型態為XDR,訴求在涵蓋網路流量的解析能力之後,擴增為能防護企業各種資訊環境與系統。

此外,有些資安廠商能透過旗下多種產品來搭配,達到NDR的效果,透視流量加密產品的業者也加入行列,於他們的平臺上推出NDR系統。從許多資安業者陸續投入網路流量偵測與回應領域,不難想像這種做法將會越來越普及。

SIEM搭配網路流量偵測找出威脅

透過網路流量監控系統,為資安事件平臺收集網路流量,也成為資安事件平臺發展的方向。例如,LogRhythm NetworkXDR便採用圖中的Network Monitor,來收集與初步識別異常的網路流量。圖片來源/漢領國際

可結合網路流量偵查、串連相關事件,端點防護不再只是單兵奮戰

從端點防護產品的發展來看,這幾年出現了重大變化。先是次世代端點防毒(NGAV)的崛起,後續又出現著重內部威脅層面的UEBA,還有訴求事件發生之後的回應系統EDR,這幾種型態的防護機制,目的都是為了因應未知及針對性的攻擊手法,其特色也是藉由監控行為,來找出可能有害的舉動。

不過,對於企業來說,這些方案還是偏重個別端點的事件,難以藉由每個端點電腦來串連攻擊的整個樣貌。意識到這種現象的廠商,開始將旗下的EDR解決方案,與旗下網路端的防護措施加以結合。其中較早使用XDR一詞的業者,有Palo Alto Networks和趨勢科技,他們的解決方案都橫跨端點、網路,以及雲端的工作負載等層面。

Palo Alto Networks旗下的解決方案名為Cortex XDR,將次世代端點防護系統Traps與防火牆整合。從系統架構上來看,端點上EDR收集的事件記錄,和防火牆收集的流量中繼資料,都要後送到該公司的雲端資料湖,經過分析後,再採取自動或是手動回應的措施。

相較於Palo Alto Networks以端點防護為出發點,另一家主打XDR系統的趨勢科技,是將XDR視為整體防護的框架,用來整合旗下的多種領域的防護產品,涵蓋端點、網路、雲端服務,以及電子郵件等層面,分別對應該公司的多種產品,像是:Apex One、Deep Discovery Inspector、Cloud App Security,以及Deep Security等。

對於網路流量分析工作,趨勢科技結合了隸屬於網路APT防禦的產品線,例如,Deep Discovery Inspector、Deep Discovery Network Analytics,以及Deep Discovery Director,至於自動化回應,則需由XDR平臺傳到SOAR系統執行。

SIEM也能延伸提供網路流量收集,結合SOAR執行自動回應工作

在網路流量的收集與分析,不光是端點防護業者投入,SIEM的廠商也開始跟進,提供NDR解決方案。其特點是挾帶自身能夠收取各式事件記錄的優勢,進而取得更為完整的網路威脅分析結果。

號稱次世代SIEM平臺的LogRhythm,就針對NDR與XDR的潮流,推出名為NetworkXDR的解決方案,結合旗下網路流量分析的模組Network Monitor、資安事件管理平臺,以及資安事件自動化調度與回應模組SmartResponse,提供網路流量偵測異常行為,以及回應、處理這類事件的功能。

為了讓資安人員更容易理解攻擊事件的樣貌,代理商漢領國際表示,原廠打算在新版LogRhythm中,增加資安事件的拓撲圖,以圖像化的方式呈現事件裡,受到影響的電腦及使用者,以及當中存取的關連等。

除了主打SIEM的廠商,我們也看到其他資安廠商搭配多款資安產品,組合成XDR解決方案。像是Fortinet的作法,是運用自家的端點防護系統FortiEDR與FortiInsight,以及網路防火牆FortiGate,結合資安事件管理平臺FortiSIEM,再加上SOAR系統FortiSOAR等產品的搭配,也能提供XDR有關的防護能力。

此外,目前還有其他資安廠商,也投入NDR,像是:提供加密流量管理解決方案的Gigamon,也推出NDR雲端服務,他們的Gigamon ThreatINSIGHT,便是基於網路流量加解密平臺提供的延伸服務;另一家廠商是積極發展雲端服務的微軟,他們的Azure Advanced Threat Protection(Azure ATP),可藉由網域控制器來收集流量,偵測網路應用程式與流量的異常行為,並且將可疑事件交由Azure ATP,後續再進一步處置。

 相關報導  NDR全面透視網路威脅


Advertisement

更多 iThome相關內容