Stellar Cyber ​​Open XDR - الشعار
بحث
أغلق مربع البحث هذا.

محادثة حول الموجة الجديدة للأمن السيبراني

محادثة حول الموجة الجديدة للأمن السيبراني

حان الوقت ، مرة أخرى ، لتغيير المحادثة في الأمن السيبراني.

ليس كذلك تعتمد على البيانات ولا AI-مدفوعة الأمن السيبراني، الذي ربما سمعته من قبل - إنه كلاهما وأكثر ، أكثر من ذلك بكثير.

إنها مدفوعة بالارتباط الأمن السيبراني. يتعلق الأمر بارتباطات العديد من الاكتشافات ، من أساسي جدًا مثل NGFW إلى متقدم جدًا مثل EDR المستند إلى AI ، من مصادر بيانات مختلفة في نظام أساسي واحد متماسك.

الأمن السيبراني ، الأمن المستند إلى الذكاء الاصطناعي ، الأمن السيبراني ، xdr ، الذكاء الاصطناعي ، أدوات SIEM ، تحليل حركة مرور الشبكة ، حركة مرور الشبكة

نسمع عن العديد من التحديات الأمنية من العملاء المحتملين والعملاء والشركاء - لماذا؟ لأنه جزء مما يفعله البشر - يتشاركون الألم! كما قد تعلم أو لا تعرف ، يتمتع المهاجمون بإمكانية الوصول إلى نفس الأدوات التي نستخدمها جميعًا. لديهم إمكانية الوصول إلى كل من تقنيات البيانات الضخمة والذكاء الاصطناعي لهجمات أكثر تقدمًا.

ومع ذلك ، مع تزايد التهديدات المعقدة ، نتفق جميعًا - فلا عجب أننا نسمع مثل هذه المواضيع المتسقة:

  • ليس لدي بيانات كافية لاكتشاف فعال ، أو
  • على العكس من ذلك ، لدي الكثير من البيانات وأنا غارق في الغرق
  • أحصل على الكثير من الضوضاء في البيانات أو الكثير من الإنذارات الكاذبة
  • لقد جربت مؤخرًا بعض الأدوات المتقدمة التي تستخدم AI / ML لتقليل الضوضاء أو الإيجابيات الكاذبة ، لكن هذا الذكاء مخصص فقط لكل أداة.
  • لدي الكثير من الأدوات المستقلة التي لا تتحدث مع بعضها البعض وتؤدي إلى إجابات منعزلة وتكاليف باهظة

ماذا يمكنك أن تفعل حيال هجوم معقد يستخدم هذه التحديات ضدك؟ اليك مثال بسيط:

  • يتلقى رئيسك التنفيذي رسالة بريد إلكتروني تحتوي على عنوان URL مضمن
  • يقوم رئيسك التنفيذي بتنزيل ملف على جهاز الكمبيوتر المحمول الخاص به بالانتقال إلى عنوان URL
  • يصل رئيسك التنفيذي إلى خادم الملفات في الساعة 2 صباحًا في أحد أيام الأسبوع
  • يرسل الكمبيوتر المحمول الخاص بالرئيس التنفيذي الكثير من حركة مرور DNS

في حد ذاتها ، قد تبدو كل من هذه الأحداث الفردية طبيعية. إذا كان لديك أدوات الأمان المناسبة منتشرة ، مع تقدم بعضها باستخدام التعلم الآلي مثل EDR و UBA، قد تكتشف أن:

  • يتلقى رئيسك التنفيذي أ التصيد بريد إلكتروني مضمّن ضار URL.
  • يقوم رئيسك التنفيذي بتنزيل أ البرامج الضارة ملف إلى جهاز الكمبيوتر المحمول الخاص به عن طريق الانتقال إلى URL
  • يصل رئيسك التنفيذي إلى خادم الملفات في الساعة 2 صباحًا في أحد أيام الأسبوع ، وهو ملف سلوك غير طبيعي في مصطلح UBA
  • يرسل الكمبيوتر المحمول الخاص بالرئيس التنفيذي الكثير من حركة مرور DNS عبر DNS التنغيم

هذا كثير من التحليل المستقل بواسطة أربع أدوات مختلفة. ما مدى سرعة ومدى سهولة ربط هذه الأحداث من أجل تتبع هذا الخرق ، وكم عدد الأشخاص الذين تحتاج إلى لفها معًا من خلال النظر إلى العديد من الشاشات المختلفة؟

لنعد خطوة إلى الوراء ونسأل أنفسنا كيف وصلنا إلى هنا. من الواضح أن هناك ثلاث موجات من الأمن السيبراني، والتي بنيت فوق بعضها البعض: صعود البيانات ، وظهور الذكاء الاصطناعي ، وظهور العلاقات المتبادلة.

1. ارتفاع البيانات - زيادة كمية البيانات لتحقيق رؤية شاملة.

كان الأمان المستند إلى البيانات هو الموضوع الرئيسي لعصر البيانات الضخمة حيث تمثل البيانات "الذهب" الجديد. لقد بدأ مع السجلات وحزم الشبكة الأولية بشكل منفصل. الغرض الرئيسي من سيم جمع السجلات وتجميعها من الأدوات والتطبيقات المختلفة للامتثال والتحقيق في الحوادث وإدارة السجلات. ArcSight ، أحد الإرث أدوات SIEM، الذي تم إصداره في عام 2000 ، كان مثالًا نموذجيًا على ملف SIEM ونظام إدارة السجل. تم جمع الحزم الأولية وتخزينها كما هي للأدلة الجنائية على الرغم من أنها تتطلب مساحة تخزين كبيرة ومن الصعب للغاية غربلة هذه الأعداد الهائلة من الحزم للعثور على أي مؤشر على وجود خروقات. في عام 2006 ، وجد NetWitness حلاً لتحليل الحزم الأولية.

بسرعة ، أدركنا أنه لا السجلات الأولية ولا الحزم الأولية تكفي بشكل فردي لتكون فعالة في الكشف عن الخروقات ، وأن الحزم الأولية ثقيلة جدًا ولها استخدام محدود إلى جانب الطب الشرعي. بدأ استخدام المعلومات المستخرجة من حركة المرور مثل Netflow / IPFix ، والتي تُستخدم تقليديًا لرؤية الشبكة ومراقبة الأداء ، لأغراض الأمان. سيم بدأ أيضًا في استيعاب وتخزين Netflow / IPFix أيضًا. ومع ذلك ، نظرًا لمخاوف قابلية التوسع الفنية والمخاوف المتعلقة بالتكلفة ، سيم لم تصبح أبدًا الأداة الرئيسية لتحليل حركة المرور.

مع مرور الوقت ، يتم جمع المزيد من البيانات: الملفات ، ومعلومات المستخدم ، وذكاء التهديدات ، وما إلى ذلك. كان الهدف من جمع المزيد من البيانات صحيحًا - الحصول على رؤية شاملة - لكن التحدي الصافي ، الاستجابة للهجمات الحرجة ، يشبه العثور على إبر في كومة قش ، خاصة عبر عمليات البحث اليدوية أو القواعد التي يحددها البشر يدويًا. إنها تتطلب عمالة كثيفة وغير فعالة للوقت.

هناك نوعان من التحديات التقنية التي تواجه الأمان المستند إلى البيانات: كيفية تخزين كميات كبيرة من البيانات على نطاق واسع ، والسماح بعمليات البحث والتحليل الفعالة ، وكيفية التعامل مع مجموعة متنوعة من البيانات - خاصة البيانات غير المهيكلة - حيث يمكن أن تكون البيانات بأي تنسيق. واجهت قواعد البيانات العلائقية التقليدية المستندة إلى SQL كلا المشكلتين. سارع البائعون السابقون إلى حل هذه المشكلات من خلال العديد من الحلول المحلية. لسوء الحظ ، لم يكن معظمهم بنفس كفاءة ما نستخدمه اليوم استنادًا إلى قواعد بيانات NoSQL لبحيرات البيانات الكبيرة.

هناك تحدٍ آخر يواجه الأمان المستند إلى البيانات: بنية البرنامج لبناء نظام قابل للتطوير بشكل فعال من حيث التكلفة لعملاء المؤسسات. أصبحت البنية النموذجية المكونة من 3 طبقات مع منطق الأعمال الأمامية وطبقات قاعدة البيانات عقبة كبيرة. توفر البنى السحابية الأصلية اليوم ، المبنية على بنية الخدمات الدقيقة مع الحاويات ، حلولًا أكثر قابلية للتطوير وفعالية من حيث التكلفة.

2. صعود الذكاء الاصطناعي - استخدم التعلم الآلي مع تحليل البيانات الضخمة للمساعدة في العثور على الاكتشافات وأتمتتها

بمجرد أن يكون لديك الكثير من البيانات ، ماذا تفعل بها؟ كما ذكرنا سابقًا ، مع وجود حجم كبير من البيانات ، فإن غربلة البيانات بحثًا عن أنماط ذات مغزى أمر شاق ويستغرق وقتًا طويلاً. إذا تم اختراق البنية التحتية لتكنولوجيا المعلومات لديك بطريقة ما للأسف ، فقد يستغرق الأمر أيامًا لاكتشافها. لقد فات الأوان لأن الضرر قد حدث بالفعل ، أو أن البيانات الحساسة مسروقة بالفعل. في هذه الحالة ، يصبح الكثير من البيانات مشكلة. لحسن الحظ ، شهدنا ارتفاعًا في التعلم الآلي بفضل التقدم في خوارزميات التعلم الآلي بالإضافة إلى قوة الحوسبة.

الآلات جيدة جدًا في القيام بالأعمال المتكررة والمملة بسرعة كبيرة وبكفاءة عالية وبدون كلل على مدار الساعة طوال أيام الأسبوع. عندما تكون الآلات مزودة بذكاء مثل قدرات التعلم ، فإنها تساعد البشر على التوسع. بدأ الكثير من الباحثين والموردين في مجال الأمن في الاستفادة من الذكاء الاصطناعي لحل المشكلة ، أو مساعدتهم في العثور على تلك الإبر ، أو لمعرفة الاتجاهات المخفية داخل مجموعات البيانات الكبيرة. وهكذا ، فإن صعود أمن يحركه الذكاء الاصطناعي. هناك الكثير من الابتكارات في هذا المجال. على سبيل المثال ، هناك الكثير من شركات اكتشاف نقاط النهاية والاستجابة لها (EDR) التي تستخدم الذكاء الاصطناعي لمعالجة مشاكل أمان نقطة النهاية ؛ تستخدم الكثير من شركات تحليل سلوك المستخدم والكيان (UEBA) الذكاء الاصطناعي لمعالجة التهديدات الداخلية ، والكثير من تحليل حركة مرور الشبكة (NTA) الشركات التي تستخدم الذكاء الاصطناعي للعثور على أشياء غير طبيعية ازدحام انترنت أنماط - رسم.

إذا كانت البيانات هي الذهب الجديد ، فإن الاختراقات التي تم اكتشافها عبر الذكاء الاصطناعي تشبه المجوهرات المصنوعة من الذهب. يتطلب الأمر الكثير من الوقت والصبر والعمل الجاد من أجل صنع مجوهرات جميلة باليد من الذهب العادي. بمساعدة الآلات ، خاصة الآلات المتقدمة ، يصبح الإنتاج التجاري للمجوهرات الرائعة ممكنًا.

على السطح مع أمن يحركه الذكاء الاصطناعي، تصبح الكثير من البيانات مشكلة أقل لأن ML عادة ما يتطلب الكثير من البيانات لتدريب النموذج وتعلم الأنماط. على العكس من ذلك ، من الواضح أن عدم وجود بيانات كافية يمثل مشكلة ، فكلما قلت البيانات ، كلما قلت الدقة ، وبالتالي أصبح نموذج ML أقل فائدة. ومع ذلك ، مع مرور الوقت ، أدرك الباحثون تدريجيًا أن البيانات الصحيحة أكثر أهمية بكثير. الكثير من البيانات بدون المعلومات الصحيحة هو مجرد إهدار لقدرة الحوسبة لتعلم الآلة وكذلك إهدار للتخزين في نفس الوقت. الكثير من بائعي UEBA السابقين مع حلول تستند إلى سجلات من أدوات SIEM تعلمت هذا الدرس الصعب. ربما جمعت SIEM الكثير من السجلات ، لكن القليل منها فقط يحتوي على المعلومات الصحيحة المتعلقة بسلوكيات المستخدم. لذلك ، على الرغم من أن الأمان المستند إلى البيانات يبني أساسًا رائعًا لـ أمن يحركه الذكاء الاصطناعي، من أجل بناء قابل للتطوير ودقيق أمن يحركه الذكاء الاصطناعي، البيانات الصحيحة أكثر أهمية بكثير.

يساعد استخدام الذكاء الاصطناعي بالتأكيد في تخفيف المتاعب المتعلقة بالبيانات الضخمة ، لكن له تحدياته الخاصة. على سبيل المثال ، يستفيد كل من UEBA و NTA من التعلم الآلي غير الخاضع للإشراف لتحليل السلوك. ومع ذلك ، لوحظ سلوك غير طبيعي للمستخدم أو من ازدحام انترنت لا يعني بالضرورة وقوع حادث أمني. يمكن أن تولد هذه الأدوات الكثير من الضوضاء ، مما يتسبب في إجهاد التنبيه. علاوة على ذلك ، فإن الاختراق الذكي عادة ما يمر بعدة مراحل من سلسلة القتل قبل أن يتم القبض عليهم. كيف يمكنك استعادة أثر الخرق وإصلاح السبب الجذري؟

هناك تحد كبير آخر يواجه أمن يحركه الذكاء الاصطناعي بشكل جماعي: التكلفة - التكلفة الرأسمالية للأدوات نفسها ، وتكلفة البنية التحتية للحوسبة والتخزين التي تستخدمها هذه الأدوات ، وتكلفة عمليات العديد من الأدوات المختلفة في صوامعها ذات الشاشات المختلفة.

لذلك ، حتى إذا كانت كل أداة لديها القدرة على تقطير البيانات بالجيجابايت أو التيرابايت وصولاً إلى قائمة مختصرة من بعض الاكتشافات الحرجة ، فلا يزال السؤال المطروح ، "ما الذي تفتقده من خلال عدم دمج هذه الأدوات في نظام أساسي واحد وربط عمليات الاكتشاف عبر جميع الأدوات والخلاصات؟ "

3. صعود الارتباطات - عمليات الاكتشاف المترابطة وأتمتة الاستجابة عبر سطح الهجوم بأكمله في منصة واحدة

مع هذه الموجة الجديدة ، يتم تحويل المحادثة من البيانات والذكاء الاصطناعي إلى الارتباطات. من الواضح أن هذه الموجة مبنية على الموجتين السابقتين. ومع ذلك ، فإن الأمر كله يتعلق بتجاوز البيانات وكذلك الأدوات ، وهو يتعلق بجمع كل شيء معًا في نظام أساسي واحد. باتباع تشبيهنا المبكر بالذهب والمجوهرات ، يتعلق الأمر بمطابقة مجموعة من المجوهرات المناسبة ووضعها معًا على شخص ما لجعلها تبدو جميلة ككل.

محللون في الأمن من ESG، Gartner، Forrester، IDC و اومديا يتفق الجميع على أن هذا التغيير في التفكير من أدوات منعزلة إلى نظام أساسي موحد هو المفتاح لمساعدتنا على رؤية الانتهاكات الجسيمة والرد عليها. على وجه التحديد ، يحتاج النظام الأساسي إلى اتباع نهج شامل وإلقاء نظرة على الاكتشافات المترابطة عبر الشبكة والسحابة ونقاط النهاية والتطبيقات - سطح الهجوم بأكمله.

تتمثل الأهداف الرئيسية لارتباطات الاكتشافات عبر الأدوات والتغذية والبيئات في تحسين دقة الكشف ، واكتشاف الهجمات المعقدة من خلال الجمع بين الإشارات الأضعف من أدوات متعددة لاكتشاف الهجمات التي قد يتم تجاهلها بطريقة أخرى ، وتحسين الكفاءة التشغيلية والإنتاجية. لم تعد الرؤية الشاملة تعني العثور على البيانات الصحيحة - بل تعني العثور على الهجمات المعقدة.

للقيام بذلك ، يجب أن تفكر افتح XDR. XDR هو حل عمليات أمان متماسك مع تكامل محكم للعديد من تطبيقات الأمان في منصة واحدة مع لوح زجاجي واحد. يقوم تلقائيًا بجمع البيانات من أدوات متعددة وربطها ، وتحسين الاكتشافات ، وتوفير استجابات آلية. تعمل المنصة التي تربط الأدوات والتطبيقات معًا على خفض التكلفة بشكل فطري ، من حيث تكلفة الأدوات وتكلفة البنية التحتية ، بينما تعمل على تحسين الكفاءة التشغيلية من خلال جزء واحد سهل الاستخدام من الزجاج.

نعتقد أن هناك خمسة متطلبات أساسية أساسية لـ XDR:

  1. مركزية البيانات المعيارية والمُثرية من مجموعة متنوعة من مصادر البيانات بما في ذلك السجلات ، ازدحام انترنت، والتطبيقات ، والسحابة ، وذكاء التهديدات ، وما إلى ذلك.
  2. الكشف التلقائي عن الأحداث الأمنية من البيانات التي تم جمعها من خلال التحليلات المتقدمة مثل NTA, UBA و EBA.
  3. ربط الأحداث الأمنية الفردية بطريقة عرض عالية المستوى.
  4. قدرة استجابة مركزية تتفاعل مع منتجات الأمان الفردية.
  5. بنية الخدمات الصغيرة السحابية الأصلية لمرونة النشر وقابلية التوسع والتوافر العالي.

في الختام ، فإن Stellar Cyber ​​هي منصة Open XDR الوحيدة المصممة لهذا الغرض والتي تستوعب وتنظم كل شيء الأمن السيبراني بيانات للكشف والربط والاستجابة عبر سلسلة القتل بأكملها. بدأت موجة العلاقات المتبادلة ، فنحن نرحب بك لتركب معنا للاستمتاع بالرحلة معًا!

SIAMs - وعود فارغة

SIEMs - وعود فارغة؟

لقد كانت SIEMs هي أساس العمليات الأمنية لعقود من الزمن ، ويجب الاعتراف بذلك. ومع ذلك ، قدمت SIEM الكثير من الوعود العظيمة ، وحتى يومنا هذا ، لم تف بالكثير منها ...

تنزيل الكتاب الإلكتروني

انتقل إلى الأعلى