Viele MSSPs - SIEMs und andere Protokollverwaltungs- / Aggregations- / Analyselösungen für die Transparenz der Cybersicherheit. Aber reicht die Protokollanalyse aus? Wir hören immer mehr über ganzheitliche Sicherheitslösungen wie XDR-Plattformen dieser Anspruch, die gesamte Angriffsfläche abzudecken, insbesondere weil der jüngste Pipeline-Angriff die zusammengesetzte Natur der heutigen hoch entwickelten mehrstufigen Cyberangriffe verstärkt hat. Die Angreifer gaben zu, dass sie nicht damit gerechnet hatten, dass ihr Angriff die Pipeline schließen würde, aber das Ergebnis war verheerend. Lassen Sie uns einen kurzen Blick darauf werfen, was wir aus Protokollen erhalten und was wir nicht aus Protokollen erhalten.
Protokolle sind von Natur aus ein Blick in die Vergangenheit. Sie geben uns Einblick in die Aktivitäten von Datei- und Anwendungsservern, Benutzerverwaltungssystemen wie Active Directory, E-Mail-Servern und anderen Tools. Wenn die Protokolle richtig korreliert und analysiert sind, können wir feststellen, wann in diesen Systemen Anomalien auftreten.
Aber was ist mit Zero-Day-Angriffen? Wie erkennen Sie eine Ransomware-Datei, wenn sie keinen Ruf hat? Die Antwort ist, dass Sie es nicht können, bis es sich in Ihrer Umgebung so weit verbreitet hat, dass es durch mehrere Warnungen erkennbar wird, nachdem es einen erheblichen Teil Ihrer Umgebung infiziert hat.
Wie erreichen wir diese größere Sichtbarkeit? Anstatt nur Rohprotokolle aufzunehmen, müssen wir zunächst überlegen, wie die Sicherheitsmetadaten aus mehreren Quellen aus diesen Protokollen abgerufen werden können. Als Nächstes müssen wir diese Daten an mehreren Feeds mit Bedrohungsinformationen vorbei ausführen. Wenn die Datei nicht von Bedrohungsinformationen getroffen wird, muss es eine automatisierte Möglichkeit geben, diese Datei für eine Sandbox freizugeben. Sobald die Sandbox sie klassifiziert hat, muss diese Reputation in das Ereignis einbezogen werden. Aus diesem Grund hat XDR die Idee, diese Schritte zu einem zusammenzuführen einzelnes Dashboard wird zu einem so heißen Thema - komplexe Angriffe sind mit isolierten Teams und Tools nicht leicht zu erkennen.
Letztendlich würde diese Automatisierung den Workflow für den SOC-Analysten erheblich vereinfachen. Sie könnten sich auf korrelierte Ereignisse konzentrieren, anstatt darauf zu warten, dass Situationen eine erhebliche Anzahl von Warnungen generieren, bevor sie ihre Aufmerksamkeit erregen. Dies wird die MTTD erheblich reduzieren. Mit den richtigen Informationen ausgestattet, können sie auch schnell handeln und die MTTR.
Protokolle haben aus Compliance-Sicht ihren Platz in der Cybersicherheit. Wenn Sie sich jedoch nur auf Protokolle zur Analyse und Korrektur verlassen, verpassen Sie eine große Chance, die Automatisierung und Sichtbarkeit von Tools und Erkennungen zu nutzen, um Ihre Sicherheitslage zu verbessern und die Möglichkeit eines Angriffs zu verringern, der Ihre Geschäftsabläufe erheblich beeinträchtigen könnte.
Sie können sehen, wie MSSPs den „Open“ XDR von Stellar Cyber nutzen, um hohe Margen zu erzielen hier, oder wenden Sie sich direkt an mich unter brian@stellarcyber.ai.
