Stellar Cyber ​​Open XDR - Logo
Suche
Schließen Sie dieses Suchfeld.

Ein Gespräch über die neue Welle der Cybersicherheit

Gespräch über die neue Welle der Cybersicherheit

Es ist wieder an der Zeit, das Gespräch im Bereich Cybersicherheit zu ändern.

Es ist weder datengesteuerte noch KI-gesteuert Internet-Sicherheit, was Sie vielleicht schon einmal gehört haben - es ist beides und mehr, viel mehr.

Es ist korrelationsgetrieben Internet-Sicherheit. Es geht um Korrelationen vieler Erkennungen, von sehr einfachen wie NGFW bis zu sehr fortgeschrittenen wie AI-basierten EDR, aus verschiedenen Datenquellen in einer einzigen zusammenhängenden Plattform.

Cybersicherheit, KI-gesteuerte Sicherheit, Cybersicherheit, xdr, künstliche Intelligenz, SIEM-Tools, Netzwerkverkehrsanalyse, Netzwerkverkehr

Wir hören von potenziellen Kunden, Partnern und Partnern über viele Sicherheitsherausforderungen - warum? Weil es Teil dessen ist, was Menschen tun - Schmerz teilen! Wie Sie vielleicht wissen oder nicht, haben Angreifer Zugriff auf dieselben Tools wie wir alle. Sie haben Zugriff auf Big Data- und KI-Technologien für fortgeschrittenere Angriffe.

Angesichts der zunehmenden komplexen Bedrohungen sind wir uns alle einig - kein Wunder, dass wir so konsistente Themen hören:

  • Ich habe nicht genügend Daten, um eine effektive Erkennung zu haben, oder
  • Im Gegenteil, ich habe zu viele Daten und bin überfüllt
  • Ich bekomme zu viel Rauschen in den Daten oder zu viele Fehlalarme
  • Ich habe kürzlich einige fortschrittliche Tools ausprobiert, die AI / ML verwenden, um das Rauschen oder Fehlalarme zu reduzieren, aber diese Intelligenz ist nur für jedes Tool spezifisch.
  • Ich habe viele unabhängige Tools, die nicht miteinander sprechen und zu isolierten Antworten und hohen Kosten führen

Was können Sie gegen einen komplexen Angriff tun, bei dem diese Herausforderungen gegen Sie eingesetzt werden? Hier ist ein einfaches Beispiel:

  • Ihr CEO erhält eine E-Mail mit einer eingebetteten URL
  • Ihr CEO lädt eine Datei auf seinen Laptop herunter, indem er auf die URL zugreift
  • Ihr CEO greift an einem Wochentag um 2 Uhr morgens auf einen Dateiserver zu
  • Der Laptop Ihres CEO sendet viel DNS-Verkehr

Jedes dieser einzelnen Ereignisse kann für sich genommen normal aussehen. Wenn Sie zufällig die richtigen Sicherheitstools bereitgestellt haben, werden einige mit maschinellem Lernen wie EDR und weiterentwickelt UBA, können Sie herausfinden, dass:

  • Ihr CEO erhält eine Phishing E-Mail mit einem eingebetteten bösartig URL.
  • Ihr CEO lädt a Malware Datei auf seinen Laptop, indem Sie auf die URL gehen
  • Ihr CEO greift an einem Wochentag um 2 Uhr morgens auf einen Dateiserver zu ABNORMALES VERHALTEN in einem UBA-Begriff
  • Der Laptop Ihres CEO sendet viel DNS-Verkehr über DNS TUNELLING

Das ist eine Menge unabhängiger Analysen mit vier verschiedenen Tools. Wie schnell und wie einfach können Sie diese Ereignisse korrelieren, um diesen Verstoß zu verfolgen, und wie viele Personen benötigen Sie, um alles zusammenzufassen, indem Sie auf viele verschiedene Bildschirme schauen?

Machen wir einen Schritt zurück und fragen uns, wie wir hierher gekommen sind. Klar gibt es drei Wellen von Internet-Sicherheit, die aufeinander aufgebaut sind: der Anstieg von Daten, der Anstieg von KI und der Anstieg von Korrelationen.

1. Der Anstieg der Daten - Erhöhen der Datenmenge, um eine umfassende Sichtbarkeit zu erreichen.

Datengesteuerte Sicherheit war das Hauptthema der Big Data-Ära, in der Daten das neue „Gold“ sind. Es begann separat mit Protokollen und unformatierten Netzwerkpaketen. Der Hauptzweck von SIEMs war es, Protokolle von verschiedenen Tools und Anwendungen für Compliance, Vorfalluntersuchung und Protokollverwaltung zu sammeln und zu aggregieren. ArcSight, eines der Vermächtnisse SIEM-Werkzeuge, veröffentlicht im Jahr 2000, war ein typisches Beispiel für eine SIEM und Protokollverwaltungssystem. Die Rohpakete wurden gesammelt und unverändert für die Forensik gespeichert, obwohl sie viel Speicherplatz benötigen und es sehr schwierig ist, diese große Anzahl von Paketen zu durchsuchen, um Hinweise auf Verstöße zu finden. Im Jahr 2006 fand NetWitness eine Lösung zur Analyse von Rohpaketen.

Schnell wurde uns klar, dass weder Rohprotokolle noch Rohpakete einzeln ausreichen, um Verstöße effektiv zu erkennen, und Rohpakete sind zu schwer und werden neben der Forensik nur begrenzt verwendet. Aus dem Datenverkehr extrahierte Informationen wie Netflow / IPFix, die traditionell für die Netzwerksichtbarkeit und Leistungsüberwachung verwendet werden, wurden aus Sicherheitsgründen verwendet. SIEMs begann auch, Netflow / IPFix aufzunehmen und zu speichern. Aufgrund von Bedenken hinsichtlich der technischen Skalierbarkeit und der Kosten SIEMs sind nie zum Mainstream-Tool für die Verkehrsanalyse geworden.

Mit der Zeit werden mehr Daten gesammelt: Dateien, Benutzerinformationen, Bedrohungsinformationen usw. Das Ziel, mehr Daten zu sammeln, war gültig - allgegenwärtige Sichtbarkeit -, aber die Nettoherausforderung, auf kritische Angriffe zu reagieren, besteht darin, Nadeln im Heuhaufen zu finden , insbesondere durch manuelle Suche oder von Menschen manuell definierte Regeln. Es ist arbeitsintensiv und zeitlich ineffizient.

Es gibt zwei technische Herausforderungen für die datengesteuerte Sicherheit: das Speichern großer Datenmengen in großem Maßstab, das Ermöglichen einer effizienten Suche und Analyse und das Behandeln der Datenvielfalt - insbesondere unstrukturierter Daten -, da Daten in jedem Format vorliegen können. Herkömmliche relationale Datenbanken, die auf SQL basieren, stießen auf beide Probleme. Frühere Anbieter haben sich bemüht, diese Probleme mit vielen selbst entwickelten Lösungen zu lösen. Leider waren die meisten von ihnen nicht so effizient wie das, was wir heute basierend auf NoSQL-Datenbanken für Big Data-Seen verwenden.

Es gibt noch eine weitere Herausforderung für die datengesteuerte Sicherheit: die Softwarearchitektur zum kostengünstigen Aufbau eines skalierbaren Systems für Unternehmenskunden. Die typische dreistufige Architektur mit Front-End-Geschäftslogik und Datenbankebenen wurde zu einer großen Hürde. Die heutigen Cloud-nativen Architekturen, die auf der Mikrodienstarchitektur mit Containern aufbauen, bieten wesentlich skalierbarere und kostengünstigere Lösungen.

2. Der Aufstieg der KI - Verwenden Sie maschinelles Lernen mit Big-Data-Analyse, um Erkennungen zu finden und zu automatisieren

Was machen Sie damit, wenn Sie viele Daten haben? Wie bereits erwähnt, ist es bei einem großen Datenvolumen mühsam und zeitaufwändig, nach aussagekräftigen Mustern zu suchen. Wenn Ihre IT-Infrastruktur leider gehackt wird, kann es Tage dauern, bis Sie es herausfinden. Es ist zu spät, weil der Schaden bereits angerichtet wurde oder sensible Daten bereits gestohlen wurden. In diesem Fall werden zu viele Daten zum Problem. Glücklicherweise haben wir den Aufstieg des maschinellen Lernens dank der Fortschritte der Algorithmen für maschinelles Lernen sowie der Rechenleistung gesehen.

Maschinen sind sehr gut darin, sich wiederholende und mühsame Arbeiten sehr schnell, sehr effizient und unermüdlich rund um die Uhr auszuführen. Wenn Maschinen mit intelligenten Lernfähigkeiten ausgestattet sind, helfen sie dem Menschen beim Skalieren. Viele Sicherheitsforscher und -anbieter haben begonnen, KI zu nutzen, um das Problem zu lösen, ihnen zu helfen, diese Nadeln zu finden oder Trends zu erkennen, die in großen Datenmengen verborgen sind. So ist der Aufstieg von KI-gesteuerte Sicherheit. In diesem Bereich gibt es viele Innovationen. Beispielsweise gibt es viele EDR-Unternehmen (Endpoint Detection and Response), die AI verwenden, um Endpoint-Sicherheitsprobleme zu lösen. Viele UEBA-Unternehmen (User and Entity Behavior Analysis) verwenden KI, um Insider-Bedrohungen zu begegnen, und viele Netzwerkverkehrsanalyse (NTA) Unternehmen, die KI verwenden, um Anomalien zu finden Netzwerktraffic Muster.

Wenn es sich bei den Daten um das neue Gold handelt, sind über AI erkannte Verstöße wie Schmuck aus Gold. Es erfordert viel Zeit, Geduld und harte Arbeit, um schönen Schmuck von Hand aus einfachem Gold herzustellen. Mit Hilfe von Maschinen, insbesondere fortschrittlichen Maschinen, wird die kommerzielle Herstellung von großartigem Schmuck möglich.

An der Oberfläche mit KI-gesteuerte SicherheitViele Daten werden weniger problematisch, da ML normalerweise viele Daten benötigt, um das Modell zu trainieren und die Muster zu lernen. Im Gegenteil, nicht genügend Daten sind offensichtlich ein Problem, da das ML-Modell umso weniger genau und damit weniger nützlich wird, je weniger Daten vorhanden sind. Mit der Zeit erkannten die Forscher jedoch allmählich, dass die richtigen Daten weitaus wichtiger sind. Zu viele Daten ohne die richtigen Informationen sind für ML nur eine Verschwendung von Rechenleistung und gleichzeitig eine Verschwendung von Speicher. Viele frühere UEBA-Anbieter mit Lösungen, die auf Protokollen von basieren SIEM-Werkzeuge habe diese harte Lektion gelernt. Das SIEM hat möglicherweise viele Protokolle gesammelt, aber nur wenige enthalten die richtigen Informationen zum Benutzerverhalten. Obwohl datengesteuerte Sicherheit eine gute Grundlage für KI-gesteuerte Sicherheit, um skalierbar und genau zu bauen KI-gesteuerte SicherheitDie richtigen Daten sind weitaus wichtiger.

Die Verwendung von KI hilft definitiv dabei, die Probleme mit Big Data zu lindern, hat jedoch seine eigenen Herausforderungen. Beispielsweise nutzen sowohl UEBA als auch NTA unbeaufsichtigtes maschinelles Lernen für die Verhaltensanalyse. Es wurde jedoch ein abnormales Verhalten für einen Benutzer oder von beobachtet Netzwerktraffic bedeutet nicht unbedingt einen Sicherheitsvorfall. Diese Werkzeuge können viel Lärm erzeugen und zu Alarmermüdung führen. Darüber hinaus durchlaufen die Smart Hacks normalerweise mehrere Phasen der Kill-Kette, bevor sie gefangen werden können. Wie können Sie die Spur eines Verstoßes wiederherstellen und die Grundursache beheben?

Es gibt eine weitere große Herausforderung KI-gesteuerte Sicherheit zusammen: Kosten - die Kapitalkosten der Tools selbst, die Kosten für die von diesen Tools verwendete Rechen- und Speicherinfrastruktur und die Betriebskosten für so viele verschiedene Tools in ihren Silos mit unterschiedlichen Bildschirmen.

Selbst wenn jedes Tool Gigabyte oder Terabyte an Daten auf eine kurze Liste einiger kritischer Erkennungen reduzieren kann, bleibt die Frage: „Was fehlt Ihnen, wenn Sie diese Tools nicht auf einer einzigen Plattform konsolidieren und die Erkennungen korrelieren über alle Werkzeuge und Feeds hinweg? “

3. Der Anstieg der Korrelationen - Korrelieren Sie Erkennungen und automatisieren Sie die Reaktion auf der gesamten Angriffsfläche auf einer einzigen Plattform

Mit dieser neuen Welle wird die Konversation von Daten und KI zu Korrelationen verschoben. Offensichtlich baut diese Welle auf den beiden vorherigen Wellen auf. Es geht jedoch darum, sowohl die Daten als auch die Tools zu übertreffen und alles auf einer einzigen Plattform zusammenzufassen. In Anlehnung an unsere frühe Gold-zu-Schmuck-Analogie geht es darum, ein Set des richtigen Schmucks zusammenzustellen und es auf eine Person zusammenzustellen, damit es insgesamt schön aussieht.

Analysten für Sicherheit von ESG, Gartner, Forrester, IDC und Odyssee Alle sind sich einig, dass diese Änderung des Denkens von isolierten Tools zu einer konsolidierten Plattform der Schlüssel ist, um kritische Verstöße zu erkennen und darauf zu reagieren. Insbesondere muss die Plattform einen ganzheitlichen Ansatz verfolgen und die korrelierenden Erkennungen über Netzwerk, Cloud, Endpunkte und Anwendungen hinweg untersuchen - die gesamte Angriffsfläche.

Das Hauptziel von Korrelationen von Erkennungen zwischen Tools, Feeds und Umgebungen besteht darin, die Erkennungsgenauigkeit zu verbessern, komplexe Angriffe zu erkennen, indem schwächere Signale von mehreren Tools kombiniert werden, um Angriffe zu erkennen, die ansonsten möglicherweise ignoriert werden, und die betriebliche Effizienz und Produktivität zu verbessern. Umfassende Sichtbarkeit bedeutet nicht mehr, die richtigen Daten zu finden, sondern die komplexen Angriffe.

Um dies zu tun, sollten Sie berücksichtigen Öffnen Sie XDR. XDR ist eine zusammenhängende Lösung für Sicherheitsvorgänge mit einer engen Integration vieler Sicherheitsanwendungen in einer einzigen Plattform mit einer einzigen Glasscheibe. Es sammelt und korreliert automatisch Daten von mehreren Tools, verbessert die Erkennung und bietet automatisierte Antworten. Eine Plattform, die Tools und Anwendungen miteinander verbindet, senkt die Kosten sowohl für Tools als auch für die Infrastruktur, während sie die Betriebseffizienz durch eine benutzerfreundliche einzelne Glasscheibe verbessert.

Wir glauben, dass es fünf grundlegende Anforderungen an XDR gibt:

  1. Zentralisierung normalisierter und angereicherter Daten aus einer Vielzahl von Datenquellen, einschließlich Protokollen, Netzwerktraffic, Anwendungen, Cloud, Threat Intelligence usw.
  2. Automatische Erkennung von Sicherheitsereignissen aus den Daten, die durch erweiterte Analysen wie z NTA, UBA und EBA.
  3. Korrelation einzelner Sicherheitsereignisse zu einer übergeordneten Ansicht.
  4. Zentralisierte Antwortfunktion, die mit einzelnen Sicherheitsprodukten interagiert.
  5. Cloud-native Mikrodienstarchitektur für Bereitstellungsflexibilität, Skalierbarkeit und Hochverfügbarkeit.

Zusammenfassend ist Stellar Cyber ​​die einzige speziell entwickelte Open XDR-Plattform, die alle Daten aufnimmt und kuratiert Internet-Sicherheit Daten zum Erkennen, Korrelieren und Reagieren über die gesamte Tötungskette. Die Welle der Korrelationen hat begonnen, und Sie können gerne mitfahren und die gemeinsame Reise genießen!

SIAMs - Leere Versprechen

SIEMs - LEERE VERSPRECHEN?

SIEMs sind seit Jahrzehnten die Grundlage für Sicherheitsmaßnahmen, und das sollte anerkannt werden. SIEMs haben jedoch viele große Versprechungen gemacht und bis heute viele von ihnen nicht erfüllt…

EBook herunterladen

Nach oben scrollen