Samuel Jones, Vizepräsident für Produktmanagement bei Stellar Cyber, erläutert, wie SIEMSie sollten die ultimative Sicherheitsanalyseplattform sein. Dennoch haben viele Nutzer das Gefühl, dass sie ihre Versprechen nicht erfüllt haben. Nun, erweiterte Erkennung und Reaktion (XDR) verspricht, die ultimative Plattform zu sein. Sollten Sie sich dafür entscheiden XDRWas bedeutet das für Sie? SIEM?
Sicherheitsinformations- und Ereignismanagement (SIEMs) Daten aus Sicherheitsprotokollen sammeln und dadurch blinde Flecken identifizieren, Fehlalarme und Alarmmüdigkeit reduzieren sowie die Erkennung und Reaktion auf komplexe Cyberangriffe vereinfachen. SIEMBisherige Systeme haben diese Versprechen nicht erfüllt. Nun verfolgt man den neuen Ansatz der erweiterten Erkennung und Reaktion. Welche Vorteile bietet er, und sollte er neben bestehenden Systemen bestehen oder diese ersetzen? SIEMDieser Artikel untersucht die aktuelle Cybersicherheitslandschaft und wie SIEM passt in diese Landschaft und wie XDR Plattformen können die Transparenz, Analyse und Reaktion auf Sicherheitsvorfälle deutlich verbessern.
Die Sicherheitslandschaft
Das Offensichtlichste an der heutigen Sicherheitslandschaft ist, dass Bedrohungen zunehmen:
- Laut Accenture fühlten sich 68 % der Unternehmensleiter Cybersicherheitsrisiken stiegen im Jahr 2020 an.
- RiskBased berichtete, dass im ersten Halbjahr 36 durch Datenschutzverletzungen 2020 Milliarden Datensätze offengelegt wurden.
- Proofpoint stellte fest, dass im Jahr 88 2019 Prozent der weltweiten Unternehmen Spear-Phishing-Angriffen ausgesetzt waren.
Zudem werden Angriffe komplexer. Hacker zielten einst auf einen einzelnen Vektor, beispielsweise einen Firewall-Port, ab, heute zielen sie jedoch auf mehrere Vektoren ab. Ein Angreifer kann sich beispielsweise von einem unbekannten Standort aus beim Netzwerk anmelden, auf das Active Directory-System zugreifen, die Berechtigungen eines Benutzers ändern und dann mit dem Herunterladen von Daten von einem Server beginnen. Jeder dieser Indikatoren kann von den Systemen, die ihn verfolgen, als falsch positiv angesehen werden, aber in Wirklichkeit sind sie alle Teil eines einzigen Angriffs.
In diesem Umfeld haben Unternehmen Schwierigkeiten, Angriffe zu erkennen und zu beheben. Der traditionelle Ansatz, eine Gruppe von isolierten Werkzeugen (wie EDR, NTA, SIEM und UEBA) zur Analyse des Datenverkehrs in Netzwerken, Servern, Endpunkten, Cloud und anderen Teilen des Sicherheitsinfrastruktur funktioniert einfach nicht. In derselben Umfrage stellte ESG fest, dass 75 % der Unternehmen Schwierigkeiten haben, die Ergebnisse verschiedener Sicherheitstools zu synthetisieren, um Angriffe zu erkennen. Darüber hinaus zeigt die Umfrage, dass 75 % der Unternehmen ein oder mehrere Sicherheitstools eingesetzt haben, die ihr Versprechen nicht gehalten haben.
Schließlich gibt es eine Lücke in der Menschenkenntnis. Die Umfrage von ESG hat gezeigt, dass 75 % der Unternehmen eine Lücke in der Personalkompetenz haben und nicht genug erfahrene Analysten einstellen können, um Sicherheitsanalysen und -abläufe zu unterstützen.
Erfahren Sie mehr: Ihre Reise zum intelligenten NG-SOC Beginnt hier
Wie Tools die Herausforderungen angehen
SIEMs sammeln Daten aus vielen verschiedenen Quellen, darunter Firewalls, Netzwerk-Erkennung und -Reaktion (NDRSysteme wie Endpoint Detection and Response (EDR)-Systeme und Cloud Application Security Broker (CASBs) sind Beispiele dafür. Die Idee ist gut: Ein einzelnes Tool sammelt Daten von der gesamten Angriffsfläche und aggregiert sie zur Analyse, Erkennung und Reaktion. Es gibt jedoch Probleme mit SIEM Werkzeuge:
- Jedes isolierte Tool erzeugt Daten in seinem eigenen Format.
- Es sind noch viele manuelle Aufgaben erforderlich, wie die Transformation der Daten (einschließlich der Datenfusion), um einen Kontext für die Daten zu schaffen, dh Anreicherung mit Bedrohungsinformationen, Standort-, Asset- und/oder Benutzerinformationenor
- Es gibt so viele Daten, dass Analysten große Schwierigkeiten haben, komplexe Angriffe zu erkennen.
- Analysten können komplexe Angriffe aufgrund der Datenmenge und des Aufwands, der erforderlich ist, um separate Erkennungen manuell zu korrelieren, nicht erkennen. Tatsache ist, dass ein menschliches Gehirn nicht mehr als drei Informationsquellen gleichzeitig korrelieren kann, so dass es schwierig oder unmöglich ist, durch eine Flut von Informationen zu waten.
Kein Wunder, dass auch mit SIEMIm Arbeitsalltag benötigen viele Unternehmen Wochen oder Monate, um komplexe Angriffe zu erkennen: Die durchschnittliche Zeit bis zur Identifizierung einer komplexen Sicherheitslücke beträgt über 200 Tage. Sicherheitsanalysten werden mit Fehlalarmen überschwemmt und sehen die eigentlichen Gefahren nicht mehr, weil sie bis zum Hals im Wasser stecken und kaum noch Luft holen können.
XDRDen Wald und all die Bäume sehen
Wenn die Idee dahinter SIEMDie Idee, Daten aus der gesamten Infrastruktur zu sammeln, war die richtige; die erweiterte Erkennung und Reaktion stellt die Weiterentwicklung dieses Konzepts dar. Ziel ist es, die gesamte Angriffsfläche von einer einzigen Konsole aus überwachen zu können.
XDR ist eine zusammenhängende Sicherheitsoperationsplattform mit enger Integration vieler Sicherheitsanwendungen unter einer einzigen Benutzeroberfläche. XDR Die Plattform nimmt Daten auf von SIEM, NDR, EDR, CASB, Analyse des Nutzerverhaltens (UEBA) und andere Werkzeuge und, im Gegensatz zu einem SIEM, normalisiert diese unterschiedlichen Datensätze in ein gemeinsames Format. Der gemeinsame Datenpool ist leicht durchsuchbar, sodass Analysten Warnungen aufschlüsseln können, um die Ursachen von Angriffen zu erkennen. Außerdem, XDR benutzt auch KI und maschinelles Lernen um Erkennungen automatisch zu korrelieren und High-Fidelity-Warnungen auszugeben, wodurch Fehlalarme erheblich reduziert werden.
Im Gegensatz zum Menschen können Computer eine unbegrenzte Anzahl von Datenpunkten korrelieren, daher können sie durch die Verwendung normalisierter Daten und KI-Tools XDR Kann komplexe Angriffe in vielen Fällen automatisch erkennen, oft innerhalb von Minuten oder Stunden statt Wochen oder Monaten. Darüber hinaus ermöglicht die enge Integration mit isolierten Sicherheitstools Folgendes: XDR um automatisch auf Warnmeldungen zu reagieren, z. B. durch Blockieren eines Firewall-Ports.
Erfahren Sie mehr: XDR In 300 Wörtern erklärt
Open XDR: Machen XDR Erschwinglicher
Most XDR Plattformen auf dem Markt sind Single-Vendor-Lösungen, die auf einem EDR Basis und Firewalls. Unternehmen, die sich für einen einzigen Anbieter entscheiden XDR Sie müssen daher ihre bestehenden Investitionen in Werkzeuge aufgeben, um diese einzuführen. XDRDie meisten Unternehmen haben Millionen für den Erwerb und das Erlernen des Umgangs mit ihren bestehenden Tools ausgegeben, daher zögern sie, dies zu tun.
Open XDR ist ein XDR Variante, die mit bestehenden Sicherheitstools funktioniert – jede EDR und jede Firewall. Es ermöglicht Benutzern daher, ihre Investitionen in die Cybersicherheit beizubehalten und sie gleichzeitig zu verbessern, indem sie alle ihre Daten aggregieren, Angriffe erkennen, High-Fidelity-Warnungen aus der gesamten Infrastruktur unter einer einzigen Schnittstelle anzeigen und in vielen Fällen automatisch reagieren, um eine sofortige Verbesserung des Gesamtsystems zu erzielen Sicherheitslage.
Zudem hat auch Frau Open XDR Plattformen integrieren ihre eigenen Sätze von own SIEM, NTA, UEBA und andere Werkzeuge. Dies ermöglicht Benutzern, einige ihrer vorhandenen Tools im Laufe der Zeit einzustellen, wodurch die Lizenzkosten und die Betriebskomplexität schrittweise reduziert werden.
Fazit
SIEM ist seit mehreren Jahren die Grundlage für Sicherheitsoperationen, verursacht jedoch oft mehr Arbeit mit weniger Ergebnissen. Analysten sind mit unzähligen Warnungen überlastet, Daten sind schwer zu normalisieren und es ist unmöglich, genügend Analysten einzustellen, um den Bedarf zu decken.
Durch die Bereitstellung schneller, eindeutiger Erkennungen von bestehenden Systemen mit automatisierten Reaktionen, XDR Die Systeme beschleunigen die Erkennung und Behebung von Angriffen und entlasten gleichzeitig die Analystenteams, was zu einer besseren Gesamtsicherheit und zufriedeneren Mitarbeitern führt.
