當 XDR 遇上身份威脅檢測和響應

端點安全是當今企業組織所面臨的重要問題，並且隨著混合工作模式而變得更加複雜。網路犯罪分子還採用現代攻擊策略，包括重複使用竊盜憑據、利用零日漏洞、使用勒索軟體和利用受信任的內部人員。不幸的是，只需要一個錯誤、安全性較差的設備或弱密碼即可為攻擊者提供進入內網所需的機會。一旦他們進入，他們可以毫無阻力地橫向移動，尋求特權和有價值的數據來加密或洩露。

及早識別這些威脅至關重要。然而，基於身份的威脅檢測需要一種傳統防禦中沒有的特殊方法。組織使用端點檢測和響應 (EDR) 平台是大多數資安團隊的主要事件響應工具，另有端點保護平台 (EPP) 和其他有價值的工具。

這些解決方案是一個很好的起點，但阻止當今的威脅需要更統一的方法。擴展檢測和響應 (XDR) 解決方案可以透過增強檢測和響應能力提高安全操作的可靠性和效率。XDR 解決方案是 EDR 的自然演變，將多個安全產品整合到一個安全事件檢測和響應平台中，能夠近乎實時的識別可疑活動。

為什麼選擇 XDR 進行威脅檢測和事件響應？

Gartner 將 XDR 解決方案稱為「一個統一的安全事件檢測和響應平台，可以自動收集和連結源自多個專有安全組件的資料。」 這樣的描述說明了XDR的主要好處：今日的資安團隊經常使用許多不同的工具，但 XDR 提供了統一多個數據串流的能力，並為多種形式的檢測和響應提供了選項。

的確，XDR聽起來類似於安全訊息和事件管理 (SIEM) 以及安全編排、自動化和響應 (SOAR) 解決方案，但在速度和有效性是有差異的。例如，組織通常將 SIEM 工具主要用於日誌存儲和合規性，收集訊息以供未來分析，但不提供實時檢測功能，從而限制了此類方案的價值。XDR 解決方案主要關注威脅檢測和事件響應用例，使它們能夠從安裝的那一刻起就為安全佈署增加重要價值。

無論攻擊者是人為還是自動攻擊，XDR 解決方案都能提供早期準確的威脅檢測，並可以立即隔離受感染的端點。查看日誌或 SIEM 數據可能只會在離開端點後發現攻擊者的存在，而 XDR 解決方案可以實時鎖定它們。

ITDR 和欺敵如何適應 XDR

身份威脅檢測和響應 (ITDR, Identity Threat Detection and Response) 和基於網路欺敵的檢測可以增強 XDR 平台，它可以連結外部的攻擊數據並啟動事件響應操作。ITDR 解決方案透過有效檢測和響應基於身份的攻擊來增加防禦層。它們可防止端點上的憑據被盜或特權升級，並破壞 Active Directory (AD) 身份洩露。

欺敵技術提供了一種全面的檢測結構，用欺敵性憑證、共享、誘餌和其他可能在攻擊生命週期早期引起攻擊者注意的誘餌覆蓋網路。事實證明，欺敵是誘騙攻擊者暴露自己的一種高效方法。傳統的欺敵技術還可以與隱藏技術相結合，隱藏和拒絕對生產網路資產的訪問，阻止攻擊者利用憑證存儲、AD對象和數據。

除了高效確實檢測警報外，欺敵還可以通過將攻擊者引導為誘餌，然後與 XDR 平台共享 TTP 和 IoC 來安全地吸引攻擊者。

XDR 的未來

多年來，攻擊者已經學會如何逃避安全控制。破壞端點並使用存儲的憑據、查詢AD、橫向移動和提升權限是當今攻擊者的標準動作。現代 XDR 解決方案提供的額外情報可以在幫助防禦者快速識別和響應可疑或與攻擊相關的活動方面產生重大影響，以免對手顯著滲透網路。

然而，正如 Gartner 的 Peter Firstbrook 所說，「沒有 ITDR，XDR 是不完整的。」透過身份安全和網路欺敵來增強 XDR有效性，從而提高組織的資源效率和能力。隨著時間的推移，攻擊者變得越來越老練，XDR、ITDR 和欺敵技術提供的情報將在很大程度上阻止攻擊者成功完成任務。

本文轉載自橙鋐科技。