Trellix 發表 Living Security 資安框架 以 XDR 助企業因應複雜資安威脅

面對日益複雜、頻繁的駭客攻擊，打造聯防機制、擴大防禦縱深，已是現今主流資安防禦策略。由 McAfee 企業安全、FireEye 合併而成的 Trellix，在發表 Living Security 資安框架之外，推出獨步全球的 XDR 平台，助企業抵禦未知威脅。

隨著全球企業資安意識提升，並擴大投資於資安防護機制上，駭客組織躲避資安設備的偵測、獲取龐大經濟利益，自然也擴大在研發新型態惡意程式上。面對日益複雜的駭客攻擊手法，早非單一種資安設備能夠阻擋，運用多項設備打造聯防機制、擴大防禦縱深，已是現今主流資安防禦策略。為協助企業因應新型態資安威脅，在資安領域有亮眼表現、深受全球企業用戶肯定的McAfee企業安全、FireEye，在2021年正式整併為Trellix，進一步提供企業全方位的資安服務。
Trellix 大中華區技術經理吳育霖說，McAfee 企業安全、FireEye 在各自領域，均有獨特的技術優勢、產品服務等，在全球市場都有非常亮眼表現，兩家公司的產品線整併之後，可進一步提供企業更完整的資安解決方案，原有企業用戶的技術服務、產品支援都將獲得強化。此外，我們在發表 Living Security 資安框架、ADM（Adaptive Defense Model）資安策略外，也整併兩家公司技術推出 XDR（Extended Detection and Response，擴充偵測與回應）方案，可提供橫跨端點、基礎架構、應用程式及雲端的防護。

攻擊工具隨手可得 全球資安事件暴增

無論是為獲取龐大經濟利益，又或者達成特定政治目的，過去幾年駭客組織正全力擴大攻擊力道，世界資安威脅事件正以倍數成長。Trellix 認為全球資安趨勢有三點值得注意，首先是暗網發展日益蓬勃、分工縝密，駭客可輕易取得所需攻擊工具。換句話說，即便是剛入門的新手駭客，也能以少許費用購買惡意程式，甚至透過租用攻擊服務、贖金分潤等模式，對特定企業發起攻擊與勒索。根據Trellix研究報告指出，以勒索軟體向企業索取贖金的金額，已從 2018 年 5,000 美元成長到 2020 年約 200,000 美元，在短短兩年內增加 3900%。

全球資安趨勢的第二個重點，則是供應鏈攻擊興起。由於大型國際企業早已建立綿密的資安防護網，以及招募規模龐大的資安團隊，在攻擊難度增高的狀況下，駭客組織開始透過攻擊防護力較弱的中小型供應商，再以此為跳板入侵大型企業。如美國 SolarWind 軟體被植入惡意程式的事件，以至於全球超過萬家企業陷入被駭客入侵的風險，即是標準的供應鏈攻擊手法

吳育霖指出，第三個值得關注的資安趨勢，則是雙重、多重勒索攻擊。前面曾經提到，勒索軟體已成為駭客最愛用的攻擊工具，贖金金額逐年暴增。考量到部分受害公司拒絕支付贖金，於是駭客組織會在網路上公布取得的機密資料，迫使企業在國際供應商的壓力下支付贖金。除此之外，我們也觀察到，駭客組織會進一步向受害企業的競爭對手兜售機密資料，藉此擴大每次攻擊的經濟效益。

推動 ADM 資安策略 持續優化資安防護力
面對瞬息萬變的資安威脅趨勢，傳統資安防禦觀念早已難以阻止無孔不入的惡意攻擊。如 Trellix 研究單位觀察到名為 APT28／GRU 駭客組織在亞美尼亞、波羅地海地區發動新一波攻擊，並運用微軟的 OneDrive 扮演 C&C 伺服器，藉此規避資安軟體的偵測。因此，Trellix 推出 Living Security 資安框架的核心，即時訴求運用可不斷學習及適應的安全技術，協助企業防止新型態的惡意威脅，以保護得來不意的商譽、客戶個資，乃至於商業機密等。
在此資安框架下，Trellix 推出的 ADM 資安策略則是從事前、事中、事後等三階段，協助企業持續強化整體資安防護力。Trellix 產品線涵蓋防毒、IPS、網路、郵件、端點、雲端產品，以及安全管理和協作平臺等，彼此之間可相互搭配，可降低惡意程式入侵的機率。考量到惡意程式入侵管道多元化，ADM 資安策略的事中階段，可在第一時間察覺威脅入侵，並且透過資安設備之間的相互搭配，阻斷惡意程式的散播能力，讓企業依然能維持穩定運作，降低駭客攻擊造成的傷害。

「惡意威脅能透過層層防禦網入侵，代表現有資安防護機制存在未知漏洞，有需要進行補強、修正。ADM 資安策略的事後階段，則是分析駭客入侵軌跡，進而找到資安防護破口，並安裝合適的產品或服務。」吳育霖解釋：「換句話說，就是因應攻擊手法改變與進化，協助客戶持續優化整體資安架構，進而提升對抗駭客攻擊的能力。」

Trellix XDR 平臺功能強悍 協同阻斷威脅運作
前面提到，現今惡意攻擊都是為躲避傳統資安防禦而設計，並將攻擊點鎖定防護力較薄弱的端點裝置，因此也帶動企業引進 EDR（Extended Detection and Response）的風潮。但坊間多數品牌EDR無法與其他品牌的資安設備連動，即便偵測到有惡意程式入侵時，也無法立即自動阻斷相關運作。因此，企業在面臨資安人員招募不易的狀況下，還得以手動操作方式封鎖惡意程式，面對蜂擁而至的大量資安告警訊息，亦不可能排定最佳優先處理順序，自然無法防堵惡意程式的無情攻擊。
相較之下，Trellix XDR 平臺除了能串連其他品牌資安設備，也可從大量告警訊息中排定優先處理順序，透過與不同資安設備之間的協同合作，在察覺威脅第一時間立即封鎖惡意程式，資料外洩之前預先進行阻斷網路連線。此種自動化處理的能力，能有效減輕資安團隊的工作負擔，進而讓整體資安防護能力獲得大幅提升。
吳育霖指出，Trellix XDR 平臺具備自動化、機器學習、擴充式架構，且可整併來自 SIEM 平台的威脅情報，加上可搭配多品牌的資安設備，能提供橫跨端點、基礎架構、應用程式、雲端等多平台的防護機制。特別是產品本身內建 SIEM 平台，能減少企業額外建置 SIEM 平台費用與後續維護工作，降低資安人員的工作負擔。

在落實 Living Security 資安框架的前提下，Trellix 將持續整合 McAfee 企業安全、FireEye 品牌的產品、技術、合作夥伴與通路，為全球客戶提供足以因應各種威脅變化的全方位安全解決方案。

Trellix 專業代理商 零壹科技