什麼是威脅偵測、調查與應變 (TDIR)？

威脅偵測、調查與應變 (TDIR) 是組織用來找出、分析及緩和安全威脅的網路安全架構。TDIR 結合持續監控、系統化分析和協調應變行動，避免威脅造成重大損害，為資安團隊提供一套有條有理的方法，從初步偵測到最終修復，都能有效處理事件。

TDIR 生命週期

TDIR 生命週期是不斷重複的程序，力求辨識潛在威脅、瞭解威脅的本質和嚴重程度，然後採取行動防堵或消除威脅。團隊會持續改進，制定出完善的事件應變計畫。生命週期的每個階段都很重要，有助建立結構完善的威脅防禦機制。

威脅偵測

威脅偵測是 TDIR 的第一個階段，會持續監控環境，辨識潛在的安全事件。這個階段會收集並分析基礎架構內的資料，找出可疑活動、異常狀況或已知攻擊模式，目標是提早發出警告，在威脅造成嚴重損害前先啟動調查和應變機制。

資安團隊在偵測威脅時，會採用多種程序和技術：

監控與警告：系統會收集端點、網路和應用程式的記錄與事件，並在符合預先定義的條件或門檻時產生警告。Google Security Operations - 偵測工具涵蓋 SIEM 功能，可集中監控整個環境。
整合威脅情報：外部威脅情報和安全漏洞資料庫提供新興威脅、已知惡意指標和攻擊戰術的背景資訊，有助辨識符合已知攻擊模式的威脅。
行為分析：機器學習模型會建立正常使用者和系統行為的基準，然後標示可能代表遭入侵的異常行為，抓出不符合特徵偵測規則的威脅。
異常偵測：透過統計分析，找到網路流量、系統存取或資料移動的異常模式，並進一步調查。這些異常狀況通常會顯示繞過傳統偵測方法的攻擊。

調查

調查階段會分析偵測到的威脅，瞭解其性質、範圍和對貴組織的潛在影響，目標是全面瞭解事件經過，制定有效的應變措施。組織調查威脅時，應依照以下重要步驟：

驗證威脅並確定範圍：檢查證據和背景資訊，確認警告是誤判還是實際的資安事件。
評估影響和根本原因：分析威脅進入環境的方式、攻擊者利用的安全漏洞或錯誤設定，以及採取的行動。Google Cloud Threat Intelligence 提供攻擊者戰術和攻擊活動的背景資訊，協助您瞭解威脅的來源和可能目標。
決定修復方式並推動應變：根據調查結果，決定遏止及消除威脅所需的行動。Google Security Operations - 調查工具有助找出事件和證據的關聯，建立時間軸，做為制定應變策略的參考。

應變

在應變階段，會採取行動來遏止、消除已發現的威脅，並加以復原。這個階段要執行事件應變計畫，阻止威脅擴散、移除惡意構件，並恢復受到影響的系統，目標是將組織的損害降至最低，盡快恢復正常運作。

資安團隊在應變階段會採取多項行動：

區隔策略：將遭入侵的系統與網路隔離，防止橫向移動；撤銷可能遭竊的憑證；在 perimeter 阻擋惡意 IP 位址或網域。
修復步驟：從受影響的系統中移除惡意軟體和其他惡意構件，修補遭攻擊的安全漏洞，以及最初遭入侵的安全漏洞。
復原措施：以乾淨的備份檔還原系統和資料、重設遭入侵的憑證，確認所有惡意存取行為都已終止。Google Security Operations - 應變工具可自動執行許多復原工作，加速恢復正常運作。

導入 TDIR 的步驟

如要導入 TDIR，您必須評估現有能力、開發符合組織需求的架構，並部署適當的技術，以支援生命週期的各個階段。

導入程序通常包含以下步驟：

評估目前的資安態勢：盤查現有的偵測能力、調查及應變程序，找出不足之處和弱點。記錄目前監控的資料來源、團隊使用的工具，以及偵測和應變事件所需的時間。
制定 TDIR 策略和架構：根據風險狀況和法規遵循要求，為 TDIR 生命週期各個階段定義目標。製作應變手冊，指導團隊應如何處理不同類型的資安事件，並設定評估成效的指標。
選擇並採用適合的技術及工具：選擇能整合現有資安基礎架構的解決方案，並提供偵測、調查和應變功能。部署這些工具時，務必確保資安團隊都能掌握狀況，發現威脅時迅速採取行動。

導入 TDIR 的優點

導入 TDIR 可帶來許多優勢，強化資安營運：

強化資安態勢

TDIR 有助持續掌握環境，依據系統化程序應對威脅，降低整體風險。

加快事件應變速度

結構化工作流程和自動化程序，縮短從偵測到修復的時間，限縮環境中受到威脅的時間。

掌握威脅情勢

TDIR 整合組織內所有基礎架構的資料，運用進階分析技術，辨識傳統工具可能遺漏的威脅，更深入掌握攻擊者的手法。

提升資安營運效率

自動化功能可處理偵測和應變期間的重複性工作，讓資安團隊專注於複雜的調查作業，並據此調整策略，提高效率，使用同樣的資源即可完成更多工作。

減低業務影響

更快速的偵測和應變能力，代表停機時間更短、復原成本更低，且資料侵害事件較少，避免聲譽受損。

導入 TDIR 的挑戰

各組織在實作 TDIR 時可能會遇到以下阻礙：

資料過載：資安工具會產生大量記錄及警告，難以有效分析。如果沒有適當的篩選和排序機制，重大威脅就會埋沒在雜訊中。
技能落差：TDIR 需要威脅分析、數位鑑識和事件應變方面的專業知識，許多組織難以找到並留住這類人才。網路安全人才短缺，資安營運團隊人力時常不足。
工具整合：許多組織並用多間供應商的安全性工具，但這些工具無法共享資料或協調行動，增加調查作業的阻礙，整合這些分散系統需要投入大量資源。
警告過量：偽陽率過高會導致分析師對警告麻木，更有可能略過或未處理真正的威脅，風險因此提高。調整偵測規則，降低雜訊，同時維持靈敏度，正是持續面臨的挑戰。

TDIR 最佳做法

組織可遵循以下做法，提升威脅偵測與應變成效：

制定明確的程序和應對手冊：記錄常見事件類型的標準作業程序，確保團隊能以一致且有效率的方式處理。
投資合適的技術：選擇整合式平台，啟用偵測、調查和應變功能，不採用拼湊而成、造成資料孤島的單點解決方案。尋找能自動執行重複性工作的工具，提供團隊所需的背景資訊，協助快速做出決策。
訓練資安團隊：持續提供培訓，涵蓋新興威脅、最新攻擊技術及組織的 TDIR 程序。舉辦沙盤推演和模擬情境，讓團隊在受控環境中練習應對事件。
定期檢討及改善 TDIR 策略：使用平均偵測時間和平均應變時間等指標，評估成效後找出改良方向。每次出現重大安全性事件後仔細檢討，確認哪些做法有效，哪些需要調整。

運用 Google Cloud 安全性進行 TDIR

Google Cloud 安全性提供全方位解決方案，支援 TDIR 生命週期的各個階段：