جلسة أسئلة وأجوبة مع الرئيس التنفيذي والمؤسس المشارك Changming Liu
الجواب: SIEMلقد شكلت هذه التقنيات أساس العمليات الأمنية لعقود، ويجب أن نعترف بذلك. ومع ذلك، SIEMلقد قطعت هذه الشركات وعودًا عظيمة كثيرة، ولكنها لم تفِ بالكثير منها حتى يومنا هذا، ولا سيما رؤيتها المتمثلة في الربط التلقائي بين عمليات الكشف بشكل شامل. هذه هي المشكلة الرئيسية التي نعمل على معالجتها في شركة ستيلر سايبر من خلال Open XDR المنصة
SIEMs – وعود فارغة؟
SIEMلقد شكلت هذه الإجراءات أساس العمليات الأمنية لعقود، وهذا أمر يجب الاعتراف به. ومع ذلك، SIEMلقد قطعوا وعوداً عظيمة كثيرة، وحتى يومنا هذا، لم يفوا بالكثير منها...
س: دعنا نوضح هذا الادعاء. عندما تقول "ارتباط بين عمليات الكشف"، ماذا تقصد ولماذا لا يمكن SIEMهل يفعل ذلك؟
الجواب: تُعرَّف عمليات الكشف بأنها أحداث تبدو غير طبيعية أو خبيثة. والمشكلة اليوم في مركز عمليات الأمن الحديث (SOCتكمن المشكلة في أن عمليات الكشف قد تنجم عن العديد من الأدوات المنعزلة. على سبيل المثال، لديك جدار حماية ونظام كشف واستجابة للشبكة (NDR) لحماية شبكتك، ونظام كشف واستجابة لنقاط النهاية (EDR) لحماية نقاط النهاية، ووسيط أمان تطبيقات السحابة (CASB) لتطبيقات SaaS الخاصة بك. تكمن المشكلة في ربط عمليات الكشف هذه لرسم صورة أشمل، حيث يستخدم المخترقون الآن تقنيات أكثر تعقيدًا للوصول إلى تطبيقاتك وبياناتك مع زيادة مساحات الهجوم. يدّعي فريقك إما وجود إنذارات خاطئة أو عدم القدرة على التمييز بين هذه الإنذارات وفهم ما هو بالغ الأهمية وما هو غير ذي صلة. الهدف الرئيسي من SIEMتتمثل المهمة في جمع وتجميع البيانات مثل السجلات من الأدوات والتطبيقات المختلفة من أجل رؤية النشاط والتحقيق في الحوادث.
ومع ذلك ، لا يزال هناك الكثير من المهام اليدوية المطلوبة ، مثل تحويل البيانات بما في ذلك دمج البيانات لإنشاء سياق للبيانات ، أي الإثراء بذكاء التهديد ، والموقع ، والأصول و / أو معلومات المستخدم.
س: دعنا نعود إلى العنوان الرئيسي ، لماذا يعد هذا أمرًا أساسيًا لمتخصصي الأمن؟
الجواب: لنأخذ شركة التحليلات غارتنر كمثال. ففي قمة الأمن التي نظمتها، كان ثاني أهم اتجاه - من بين أهم سبعة اتجاهات في مجال الأمن والمخاطر لعام 2020 - هو الاهتمام المتجدد بتطبيق أو تطوير SOCمع التركيز على اكتشاف التهديدات والاستجابة لها. ويشيرون كذلك إلى أنه "استجابةً للفجوة المتزايدة في مهارات الأمن واتجاهات المهاجمين، فإن الكشف والاستجابة الموسعين (XDRتظهر أدوات التعلم الآلي وقدرات التشغيل الآلي لتحسين إنتاجية عمليات الأمن ودقة الكشف.
س: هذا أمرٌ دال، لكن دعونا نعود خطوة إلى الوراء ونتحدث أكثر عن السبب. XDR جديد، وليس مجرد غلاف لأداة موجودة.
الجواب: XDR هي منصة عمليات أمنية متماسكة تتميز بتكامل وثيق للعديد من تطبيقات الأمان على منصة واحدة. SIEM يُعدّ هذا التطبيق واحدًا من بين العديد من التطبيقات المدعومة أصلاً، ويعمل بالتكامل مع التطبيقات الأخرى، بما في ذلك تحليل سلوك المستخدم والكيان (UBA & EBA)، وتحليل حركة مرور الشبكة (NTA)، وتحليل حركة مرور جدار الحماية (FTA)، ومعلومات التهديدات، وغيرها. في ستيلار سايبر، نُعرّف... Open XDR يتمثل ذلك في التركيز على حالات استخدام الكشف التلقائي عن التهديدات والاستجابة للحوادث من خلال ربط الأحداث الأمنية من العديد من أدوات الأمان. هذه هي التحديات الرئيسية التي تواجهها SIEMالمنتجات التي لا تحتوي إلا على - مما يجعلها الأداة الأساسية لإدارة السجلات والامتثال.
س: وماذا عن العمارة؟ ما مدى أهمية ذلك بالنسبة للمشتري؟
الجواب: Open XDR تم تطويره باستخدام بنية وخدمات سحابية أصلية جديدة، بما في ذلك بنية الخدمات المصغرة مع الحاويات والتجميع. يتميز بمرونة عالية في النشر، وقابلية توسع عالية في الأداء، بالإضافة إلى محرك بحث قائم على Lucene، مما يجعل الاستعلام عن المعلومات سريعًا للغاية - في ثوانٍ بدلاً من ساعات أو أيام كما هو الحال في العديد من الأنظمة الأخرى. SIEMمنتجات حصرية. يمكن نشر نفس البرنامج محليًا باستخدام أجهزة مادية مُحصّنة، أو أجهزة افتراضية، أو سحابة خاصة أو عامة، مع قابلية توسع أفقية وتوافر عالٍ، وهما عنصران أساسيان لتحليلات البيانات الضخمة التي تعمل على بحيرة بيانات مفتوحة. تُعد هذه الخصائص بالغة الأهمية أيضًا لأحجام البيانات المتزايدة باستمرار ومتطلبات الامتثال التي تضمن عدم فقدان أي بيانات.
س: ماذا يقول المحللون الآخرون؟
الجواب: تؤكد كل من فورستر، وإي إس جي، وآي دي سي، وأومديا على وجود فجوات وعزلة في السوق الحالية SOCيجب أن تنظر الأدوات إلى عمليات الكشف عبر الشبكة، والسحابة، ونقاط النهاية، والمستخدمين. ويتحدث جميع المحللين عن فكرة وجود ارتباطات بين هذه المجالات كمؤشر حقيقي على XDR القدرة. على سبيل المثال، قدرتك SIEM يُظهر سجل النظام أن المستخدم قد وصل إلى قاعدة بيانات SQL في وقت غير معتاد، ويُشير برنامج تحليل حركة مرور الشبكة (NTA) إلى أن المستخدم يُرسل البيانات خارج بلدك، ويُشير برنامج تحليل سلوك المستخدم (UBA) إلى أن المستخدم لم يستخدم هذا التطبيق عادةً في تلك الأوقات أو بمعدلات البيانات تلك. كل هذا يُشير إلى هجوم مُعقد، ومع ذلك، تتطلب الأدوات المُنعزلة تدخلاً يدوياً للوصول إلى الاستنتاج. XDR يمكن للأنظمة رسم هذه الصورة تلقائياً من خلال الذكاء الاصطناعي / التعلم الآلي.
س: كيف ستساعد أولئك الذين يتعلمون عن XDR لتحديد الشركات المختارة واتخاذ القرارات الصحيحة؟
الجواب: هذا أمر أساسي، ونعتقد أن هناك خمسة متطلبات أساسية رئيسية لـ XDR:
- مركزية تطبيع و المخصب البيانات من مجموعة متنوعة من مصادر البيانات بما في ذلك السجلات وحركة مرور الشبكة والتطبيقات والسحابة وذكاء التهديدات وما إلى ذلك.
- الكشف التلقائي الأحداث الأمنية من البيانات التي تم جمعها باستخدام التحليلات المتقدمة مثل NTA, UBA و EBA
- ارتباط الأحداث الأمنية الفردية في عرض عالي المستوى.
- قدرة استجابة مركزية تتفاعل مع منتجات الأمان الفردية.
- بنية الخدمات الدقيقة السحابية الأصلية لمرونة النشر وقابلية التوسع والتوافر العالي.
بالإضافة إلى فكرة Stellar Cyber Open XDR يعني أن لدينا نظامًا بيئيًا مفتوحًا لضمان الاستفادة من أدوات الأمان الحالية وأفضل الممارسات. نعتقد أننا نحد من المخاطر دون انقطاع ، ونحسن دقة جميع أدواتك الحالية.
لذا ، بدلاً من أن تكون مجرد أداة واحدة مثل ملف SIEM، Stellar Cyber's Open XDR يقوم بربط المدخلات من العديد من الأدوات المختلفة، بما في ذلك مجموعة الأدوات المتكاملة الخاصة به والأدوات الموجودة بالفعل، لإنتاج تنبيهات ذات دقة أعلى، وتقليل النتائج الإيجابية الخاطئة، وتعزيز إنتاجية المحللين بشكل كبير.
