Sicherheitsereignis und Informationsmanagementplattformen (SIEMs) Sie sammeln Daten aus Sicherheitsprotokollen und sollen dadurch blinde Flecken aufdecken, Fehlalarme und Alarmmüdigkeit reduzieren sowie die Erkennung und Reaktion auf komplexe Cyberangriffe vereinfachen. SIEMDiese Versprechen wurden nicht eingehalten. Nun gibt es eine neue Idee: XDR – was sind seine Vorteile und sollte es mit a . koexistieren oder ersetzen? SIEM? Dieses Papier untersucht die aktuelle Cybersicherheitslandschaft, wie SIEM passt in diese Landschaft und wie XDR Plattformen können die Transparenz, Analyse und Reaktion auf Sicherheitsvorfälle deutlich verbessern.
Die Sicherheitslandschaft
Das Offensichtlichste an der heutigen Sicherheitslandschaft ist, dass Bedrohungen zunehmen:
- Laut Accenture fühlten sich 68 Prozent der Unternehmensleiter Cybersicherheitsrisiken stiegen im Jahr 2020 an.
- Risk Based berichtete, dass im ersten Halbjahr 36 durch Datenschutzverletzungen 2020 Milliarden Datensätze offengelegt wurden.
- Proofpoint fand heraus, dass im Jahr 88 2019 Prozent der weltweiten Unternehmen von Spear-Phishing-Angriffen betroffen waren.
Zudem werden Angriffe komplexer. Hacker zielten einst auf einen einzelnen Vektor, z. B. einen Firewall-Port, ab, aber heute zielen sie auf mehrere Vektoren ab. Ein Angreifer kann sich beispielsweise von einem unbekannten Standort aus beim Netzwerk anmelden, auf das Active Directory-System zugreifen, die Berechtigungen eines Benutzers ändern und dann mit dem Herunterladen von Daten von einem Server beginnen. Jeder dieser Indikatoren kann von den Systemen, die ihn verfolgen, als falsch positiv angesehen werden, aber in Wirklichkeit sind sie alle Teil eines einzigen Angriffs.
In diesem Umfeld haben Unternehmen Schwierigkeiten, Angriffe zu erkennen und zu beheben. Der traditionelle Ansatz, eine Gruppe von isolierten Werkzeugen (wie EDR, NTA, SIEM und UEBA) zur Analyse des Datenverkehrs in Netzwerken, Servern, Endpunkten, Cloud und anderen Teilen der Sicherheitsinfrastruktur funktioniert einfach nicht. In einer Umfrage im Jahr 2020 Unternehmensstrategiegruppe (ESG) fanden heraus, dass 75 Prozent der Unternehmen Schwierigkeiten haben, die Ergebnisse verschiedener Sicherheitstools zu synthetisieren, um Angriffe zu erkennen. Darüber hinaus zeigt die Umfrage, dass 75 Prozent der Unternehmen ein oder mehrere Sicherheitstools eingesetzt haben, die ihr Versprechen nicht gehalten haben.
Schließlich gibt es eine Lücke in der Menschenkenntnis. Die Umfrage von ESG hat gezeigt, dass 75 Prozent der Unternehmen eine Lücke in der Personalkompetenz haben – sie können nicht genug erfahrene Analysten einstellen, um Sicherheitsanalysen und -abläufe zu unterstützen.
Wie Tools die Herausforderungen angehen
SIEMs Sammeln von Daten aus vielen verschiedenen Quellen, einschließlich Firewalls, Netzwerkerkennung und Reaktion (NDR) Systeme, Endpoint Detection and Response (EDR)-Systeme und Cloud Application Security Broker (CASB). Die Idee ist gut: Ein einziges Tool sammelt Daten von der gesamten Angriffsfläche und aggregiert sie für Analyse, Erkennung und Reaktion. Aber es gibt Probleme mit SIEM Werkzeuge:
- Jedes isolierte Tool erzeugt Daten in seinem eigenen Format.
- Es sind noch viele manuelle Aufgaben erforderlich, wie die Transformation der Daten (einschließlich der Datenfusion), um einen Kontext für die Daten zu schaffen, dh Anreicherung mit Bedrohungsinformationen, Standort-, Asset- und/oder Benutzerinformationen.
- Es gibt so viele Daten, dass Analysten große Schwierigkeiten haben, komplexe Angriffe zu erkennen.
- Analysten können komplexe Angriffe aufgrund der Datenmenge und des Aufwands, der erforderlich ist, um separate Erkennungen manuell zu korrelieren, nicht erkennen. Ein menschliches Gehirn kann nicht mehr als drei Informationsquellen gleichzeitig korrelieren, daher ist es schwierig oder unmöglich, durch eine Flut von Informationen zu waten.
Kein Wunder, dass auch mit SIEMs Bei der Arbeit brauchen viele Unternehmen Wochen oder Monate, um komplexe Angriffe zu erkennen: Die durchschnittliche Zeit, um einen komplexen Verstoß zu erkennen, beträgt über 200 Tage. Sicherheitsanalysten werden von falsch positiven Ergebnissen überschwemmt, sodass sie die Alligatoren im Sumpf nicht sehen können, weil sie bis zum Hals im Wasser stehen und nur versuchen zu atmen.
XDR – Den Wald und alle Bäume sehen
Wenn die Idee dahinter SIEMs war der richtige Weg, um Daten aus der gesamten Infrastruktur zu sammeln, XDR (Alles rund um Erkennung und Reaktion) ist die Weiterentwicklung dieser Idee. Die Idee ist, sicherzustellen, dass die gesamte Angriffsfläche von einer einzigen Konsole aus überwacht werden kann.
XDR ist eine kohärente Sicherheitsbetriebsplattform mit enger Integration vieler Sicherheitsanwendungen unter einem Dashboard, um Ereignisse über die gesamte Angriffsfläche zu aussagekräftigen Vorfällen zu korrelieren. Ein XDR Lernumgebung nimmt Daten auf von SIEM, NDR, EDR, CASB, Verhaltensanalyse der Benutzerentität (UEBA) und anderen Tools und im Gegensatz zu a SIEM, normalisiert diese unterschiedlichen Datensätze in ein gemeinsames Format. Der gemeinsame Datenpool ist leicht durchsuchbar, sodass Analysten Warnungen aufschlüsseln können, um die Ursachen von Angriffen zu erkennen. Außerdem, XDR verwendet auch KI und maschinelles Lernen, um Erkennungen automatisch zu korrelieren und High-Fidelity-Warnungen auszugeben, wodurch Fehlalarme erheblich reduziert werden.
Im Gegensatz zu Menschen können Computer eine unbegrenzte Anzahl von Datenpunkten korrelieren, also durch die Verwendung normalisierter Daten und AI-Werkzeuge, XDR Kann komplexe Angriffe in vielen Fällen automatisch erkennen, oft innerhalb von Minuten oder Stunden statt Wochen oder Monaten. Darüber hinaus ermöglicht die enge Integration mit isolierten Sicherheitstools Folgendes: XDR um automatisch auf Warnmeldungen zu reagieren, z. B. durch Blockieren eines Firewall-Ports.
Open XDR – Herstellung XDR Erschwinglicher
Most XDR Plattformen auf dem Markt sind Single-Vendor-Lösungen, die auf den EDR Basis und Firewalls. Unternehmen, die sich für einen einzigen Anbieter entscheiden XDR Sie müssen daher ihre bestehenden Investitionen in Werkzeuge aufgeben, um diese einzuführen. XDRDie meisten Unternehmen haben Millionen für den Erwerb und das Erlernen des Umgangs mit ihren bestehenden Tools ausgegeben, daher zögern sie, dies zu tun.
Open XDR ist ein XDR Variante, die mit bestehenden Sicherheitstools funktioniert – jede EDR und jede Firewall. Es ermöglicht Benutzern daher, ihre Investitionen in die Cybersicherheit beizubehalten und sie gleichzeitig zu verbessern, indem sie alle ihre Daten aggregieren, Angriffe erkennen, High-Fidelity-Warnungen aus der gesamten Infrastruktur unter einer einzigen Schnittstelle anzeigen und in vielen Fällen automatisch reagieren, um eine sofortige Verbesserung des Gesamtsystems zu erzielen Sicherheitslage.
Zudem hat auch Frau Open XDR Plattformen integrieren ihre eigenen Sätze von own SIEM, NTA, UEBA und andere Werkzeuge. Dies ermöglicht Benutzern, einige ihrer vorhandenen Tools im Laufe der Zeit einzustellen, wodurch die Lizenzkosten und die Betriebskomplexität schrittweise reduziert werden.
Fazit
SIEM ist seit mehreren Jahren die Grundlage für Sicherheitsoperationen, verursacht jedoch oft mehr Arbeit mit weniger Ergebnissen. Analysten sind mit unzähligen Warnungen überlastet, Daten sind schwer zu normalisieren und es ist unmöglich, genügend Analysten einzustellen, um den Bedarf zu decken.
Durch die Bereitstellung schneller, eindeutiger Erkennungen von bestehenden Systemen mit automatisierten Reaktionen, Open XDR Systeme Beschleunigen Sie die Identifizierung und Behebung von Angriffen und reduzieren Sie gleichzeitig die Belastung der Analystenteams, was zu einer besseren Gesamtsicherheit, zufriedeneren Mitarbeitern, weniger Störungen und geringeren Kosten führt.
Open XDR ist die Grundlage des Security Operations Center der nächsten Generation.
