開放式生態系擴展XDR 持續訓練AI辨識未知威脅

2021-09-02
對企業營運而言,因應COVID-19疫情實施的居家辦公措施,帶來深遠的影響,企業IT亟需彈性與靈活調整因應居家辦公的變動,以滿足營運策略目標,同時控管資安風險。Sophos從去年(2020)轉型以雲端優先,統一採用雲端原生研發的Sophos Central平台執行管控,不論員工在辦公室或居家工作,Sophos Central皆可實施控管措施。

 

Sophos台灣區總經理沈志明指出,「Sophos自去年開始全產品線改為雲端服務來提供,不再銷售地端授權,主要即是因應企業對於雲端應用模式接受度的改變。實際上,深受法規規範限制的金融、政府等組織,並未禁止採用雲端服務,關鍵仍在於符合規範指引,Sophos轉型正可協助各產業調整資安控管措施。」

防禦技術持續進化抵禦現代化攻擊

近兩年來資安領域演進速度加快,驅動因素即來自於企業對於資安需求逐年增長,使得資安市場版圖持續變動。過去企業高度仰賴的防毒軟體與防火牆機制,隨著APT(進階持續性威脅)手法得以潛伏在內網長達上百天也不會被偵測發現,已顯示防禦技術落後於攻擊方,此即為企業急需補強資安防護的因素之一。

沈志明舉例,深受全球關注當屬2009年的APT攻擊事件「極光行動(Operation Aurora)」,此後APT攻擊事件日漸增多,讓企業開始正視,僅仰賴防火牆與防毒已經不足以防禦,主要來自於遭遇的威脅態勢較以往已有所不同,攻擊手法的複雜度愈來愈高。EDR(端點偵測與回應)快速演進到XDR(擴展式偵測與回應),意味著僅著重於端點環境的威脅獵捕,仍無法釐清整起攻擊活動的全貌,需要XDR輔助來還原真相,借助整合端點、防火牆、郵件系統、網路等不同技術領域的日誌,才得以宏觀視野來看清遭受的攻擊。 傳統資安工具偵測到異常隨即發送告警通知,造成IT管理者不僅難以排定處理的優先順序,更可能產生告警疲勞,反而未能及早阻止資安事件爆發。對於IT人員而言,簡單易上手的操作介面相當重要,對高風險行為的判讀與調查採用合適工具來輔助,讓非資安專業的IT人員亦可精準地執行回應。

Sophos除了既有EPP(端點防護)方案以外,同時擁有防火牆、郵件安全、EDR等技術,因此能快速地整合推出XDR方案,即是為了協助企業IT提升資安事件調查與回應能力。沈志明進一步說明,針對已採用Sophos端點、防火牆、郵件安全的企業,Sophos XDR預設皆即可支援蒐集完整資料存放到Data Lake(資料湖),若為跨廠牌,自然需要API介接實現整合,此時可藉助SIEM(資安事件管理)與SOAR(資安協調、自動化及回應)工具建立自動化機制。

至於MDR(偵測及回應代管)服務可說是EDR的延伸,畢竟EDR工具主要是為IR(資安事件回應)團隊所研發設計,未接受過資安訓練的IT人員不易上手,才會延伸出代管服務,交給資安專家來監控。對此,Sophos提供的服務為MTR(威脅回應代管),強調的是不僅只是偵測而已,更能夠做到威脅回應,採用Intercept X解決方案的EDR或XDR,即可選用MTR服務。

資料湖助力落實AI應用

在整個XDR架構中,Data Lake佔有舉足輕重的角色。假設AI(人工智慧)分析為異常事件,對於資安人員而言,一定得需要更多資料來確認細節,或是其他員工電腦是否也有同樣狀況。由於Data Lake已掌握端點、閘道端、雲端環境產生的日誌,可輔助加速實現,即便是行動裝置,可能並非隨時都在線上,IT或資安團隊同樣可藉由Data Lake取得所需的資料。

沈志明說明,企業採用EDR、XDR,基本需求會仰仗Data Lake存放所有管道蒐集取得的資料,以便於隨時調取與探索,或者是相同威脅,在內網感染擴散範圍,皆可藉由Data Lake協助提供。之所以能夠得到企業青睞,其中一項因素是納入AI應用,運行機器學習演算模型輔助分析,才得以精準地掌握資料背後的意義。

Sophos Data Lake是基於AWS公有雲平台所建構,可為事件調查過程建立導引,當IT管理者接收到偵測告警通知時,可詳盡地指出電腦名稱、啟用的軟體、惡意程式滲透管道,以及產生的惡意程式,藉由圖形化方式呈現整起事件的關聯性,讓IT管理者可一目了然。相較於以往收到告警事件後,得手動蒐集相關資料才得以串連進行調查,不僅提高效率,亦可在事件發生當下執行有效的回應措施。

「初期發展EDR工具的目標族群並非為一般IT人員,因此需要足夠的資安領域知識,Sophos研發解決方案的理念是降低技術門檻,簡化操作介面設計,讓IT管理者易於上手,甚至可無須再委由外部資安專家,透過Sophos Central單一控管平台,可控管防火牆、郵件安全、Intercept X端點防護,同時快速地執行回應。」沈志明說。

ACE建構開放式網路安全架構 

為了持續學習以應對攻擊手法的轉變,Sophos日前提出自適應網路安全生態系統(Adaptive Cybersecurity Ecosystem,ACE)開放式安全架構,納入收購Braintrace取得的網路偵測和回應(NDR)技術,解析網路封包的資料可持續訓練機器學習模型,提升最佳化威脅防禦、偵測和回應能力。此外,亦整合接連收購的新創公司Capsule8端點防護技術,可為Linux作業系統與容器環境提升能見度,增添自建部署微服務架構,以及雲端工作負載的威脅偵測與回應,避免攻擊者利用開源漏洞滲透入侵。

Sophos台灣區總經理沈志明指出,日前Sophos發布的自適應網路安全生態系統(ACE),提供單一平台引導式威脅分析,可加速回應威脅的速度,降低管理複雜度或減少資安人力的成本,進而達到降低企業總體擁有成本(TCO)的目標。

由於Sophos防火牆、端點會把日誌送到Sophos Central,防火牆即可得知端點作業系統層運行的執行程序。此外,透過Security Heartbeat技術,亦可讓防火牆與端點彼此基於威脅情資,相互連動、即時回應執行阻斷。當XDR運行分析後指出特定端點為高風險,藉由Security Heartbeat同步資訊,防火牆可自動在當下觸發阻斷該端點的連線行為。

自適應網路安全生態系統打造的整合運行環境,則可跨端點與防火牆領域,增添自動化回應能力,企業用戶、合作夥伴、開發人員能夠藉由開放式API,利用既有工具技術建構互動式防護網,有助於機器學習模型分析判讀系統連接行為的關連性,提取出異常活動更多細節,以免零時差攻擊威脅入侵。

 


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!