在資安運維(SecOps)的日常工作中,許多初級工程師常會陷入一個誤區:認為只要處理完所有警報(Alerts),系統就是安全的。然而,隨著漏洞發現速度加快(文中稱之為 Mythos Era),單靠警報已不足以應對威脅。警報本質上是一種假設或傾向,而非確定性的證據。當面對複雜的攻擊時,我們真正需要回答的是:到底發生了什麼?有哪些實質證據?我們是否掌握了完整的上下文?
要回答這些問題,必須將關注點從預防(Prevention)轉向攔截(Interdiction)。
攔截的核心概念與實務脈絡
傳統的資安思維傾向於 Shift Left(將安全提前到開發階段)或加強邊界防禦,但現實是沒有任何預防措施能達到百分之百的成功。例如,即使有強大的防火牆,攻擊者仍能透過盜用憑證(Stolen Credentials)合法進入內部網路,或利用零日漏洞繞過防禦。
因此,成熟的防禦體系應專注於攔截。攔截是指在攻擊者突破初步防線後,但在其達成最終目標(如竊取數據或部署勒索軟體)之前,及時識別並中斷其惡意活動。這要求我們必須在網路內部建立深層的可視化能力,而不是僅僅依賴邊界的阻擋清單。
NDR 如何提供決定性的證據
這正是 NDR(Network Detection and Response,網路偵測與回應)發揮作用的地方。NDR 透過監控網路流量,提供比端點日誌更難被竄改的地面真相(Ground Truth)。為了進行有效的攔截,工程師應關注四類關鍵的網路證據:
完整封包擷取(Full Packet Captures):最詳細的原始紀錄,可用於事後精確還原攻擊過程。 提取的文件(Extracted Files):分析攻擊者傳輸的惡意程式或工具。 交易日誌(Transaction Logs):紀錄誰在什麼時間與誰通訊,建立行為基線。 偵測警報(Alerts and Detections):作為調查的起點而非終點。
透過這些證據,資安團隊可以從被動地等待警報,轉變為主動的威脅狩獵(Threat Hunting)。
從假設出發的威脅狩獵
對於初學者來說,最重要的一個觀念轉變是:威脅狩獵不應該是警報的後續跟進,而應該始於一個假設(Hypothesis)。
正確的流程是:先根據攻擊者的常見手法(TTPs)提出假設,例如假設攻擊者正在進行橫向移動(Lateral Movement),接著利用網路日誌去驗證或推翻這個假設。具體的觀察指標包括:識別異常的可執行檔、追蹤不尋常的協定使用、監控大量對外數據傳輸,以及分析憑證暴露情況。
AI 在 NDR 中的實務角色
AI 並非取代分析師,而是用來降低認知負荷並加速證據收集。在 NDR 的應用中,AI 主要負責三個方向:
優化警報框架:決定在網路的邊緣或中心擷取哪些數據,以提升分析效率。 代理分流(Agentic Triage):利用 AI 代理執行標準作業程序(Playbooks),將重複性的初篩工作自動化,讓人類分析師專注於戰略決策。 工具協同(Tool Interoperability):將網路數據與端點、雲端平台、應用程式的資訊整合,打破資訊孤島。
但必須注意,AI 仍可能產生幻覺(Hallucinations),因此人類的驗證(Human Verification)在目前階段依然是不可或缺的最後一道防線。
提升運維效率的兩個實務建議
為了避免資安團隊陷入警報疲勞(Alert Fatigue),建議採取以下兩種策略:
零基線策略(Zero-Baseline Strategy):不要啟用所有預設規則,而是從零開始,根據環境實際需求逐步建立基線,避免被海量無用警報淹沒。 重新定義警報:將警報視為調查的開始,而非事件的定論。警報只是告訴你這裡可能有問題,而真正的結論必須建立在上述的網路證據之上。
總結
在現代資安對抗中,網路證據是唯一無法被攻擊者輕易抹除的真實紀錄。透過 NDR 建立攔截能力,將調查邏輯從警報驅動轉向證據驅動,才能在攻擊發生時快速定位並在損害擴大前將其終止。
來源:thehackernews.com (Surviving the Mythos Era: Richard Bejtlich on the Case for NDR)
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。