數位轉型中的風險與因應： XVR 的關鍵作用

當企業走向數位化時，他們面臨的風險和挑戰不僅僅是來自外部的惡意攻擊者，內部員工的行為也可能成為安全漏洞的來源。此外，隨著雲端計算和移動裝置的普及，企業的資訊資產分散在各種不同的地方，增加了安全管理的複雜性。 這意味著企業需要一個全面的安全資訊與事件管理中心 ( Security Information and Event Management, SIEM ) 用於蒐集端點、網路與應用程式所產出重要事件。在 2024 年，上市公司公開的資安重大事件頻率增加了 234%，其中以網路攻擊、疑似個資外洩和勒索軟體為前三名。

面對重大資安危害時，通常都是由日常微小的異常行為所積累而成，且潛伏期可長達數週或數月，很多時候都為時已晚只能亡羊補牢。除此之外，透過傳統的解決方案來找尋問題來源時，使用者得使用不同產品進行比對、查找異常行為。只是傳統的解決方案都是基於規則導向，並非每次告警都是真正的駭客攻擊及異常行為。例如 : 不同部門員工的行為都不相同、內外部使用者剛好觸及人為設計的規則導致告警……等等，最終只會疲於奔命處理告警，產生告警疲勞。

為了因應這些挑戰，以基於 ML/AI 所建立的模型來即時且集中彙整企業資安訊息的 XVR，扮演著至關重要的角色。XVR 經過網路流量與端點日誌，結合多方事件進行行為偵測，蒐集實際營運環境運作情境，提供企業客製化、AI 經學習後所設計動態式規則，隨時偵測可能的威脅行為與產製可視化的事件程序，提供簡單、易於處理及回應的資安事件告警，可快速查找所有相關可疑行為資訊並進行進一步處理：

1. 對內部電腦即時狀態掌握

XVR 可以即時監控內部設備的狀態，包括非法使用 USB 儲存裝置、安裝非法軟體、私設網路網卡行為、未安裝安全更新等。

2. 對外來攻擊分析來源路徑

XVR 技術能夠追蹤和分析外部攻擊的來源路徑，捕獲和應對勒索病毒、惡意程式行為、權限提升行為、網路阻斷服務攻擊、 攻擊查探掃描等威脅。

3. 內部異常行為調查發生原因

XVR 具備檢測內部異常行為的功能，可幫助企業發現並調查資料外洩、連線至可疑網站、異常登入狀況、異常網路連線、可疑程式執行等情況。

4. 設備日誌蒐集事後稽核調查

XVR 技術能夠蒐集設備日誌，進行事後稽核調查，避免零散保存、日誌無法篩選、 日誌無跨設備搜尋、無自動分析警示等問題。

作為集中彙整企業資安訊息的資安維運中心（Security Operation Center，SOC）的一環，XVR 幫助我們監控每日成千上萬的行為，挑選並收斂成值得關注的事件。在事件發生時，我們可以初步透過 XVR 提供的可視化資訊了解目前情形，再依照事件類型，找網路、系統人員等參與協助，大幅降低學習與維運門檻，減少不必要的人力資源浪費。

綜上所述，面對數位轉型帶來的眾多風險，建立強大的 XVR 系統成為企業不可或缺的選擇。只有通過 AI/ML 模型以及 全方位的蒐集日誌、監控、偵測、分析和回應能力，企業才能更好地因應日益複雜 的網路安全挑戰，保護自身資料與資產的安全。