Viele MSSPs - SIEMs und andere Protokollverwaltungs- / Aggregations- / Analyselösungen für die Transparenz der Cybersicherheit. Aber reicht die Protokollanalyse aus? Wir hören immer mehr über ganzheitliche Sicherheitslösungen wie XDR Plattformen dieser Anspruch, die gesamte Angriffsfläche abzudecken, insbesondere weil der jüngste Pipeline-Angriff die zusammengesetzte Natur der heutigen hoch entwickelten mehrstufigen Cyberangriffe verstärkt hat. Die Angreifer gaben zu, dass sie nicht damit gerechnet hatten, dass ihr Angriff die Pipeline schließen würde, aber das Ergebnis war verheerend. Lassen Sie uns einen kurzen Blick darauf werfen, was wir aus Protokollen erhalten und was wir nicht aus Protokollen erhalten.
Protokolle sind von Natur aus ein Blick in die Vergangenheit. Sie geben uns Einblick in die Aktivitäten von Datei- und Anwendungsservern, Benutzerverwaltungssystemen wie Active Directory, E-Mail-Servern und anderen Tools. Wenn die Protokolle richtig korreliert und analysiert sind, können wir feststellen, wann in diesen Systemen Anomalien auftreten.
Aber was ist mit Zero-Day-Angriffen? Wie erkennen Sie eine Ransomware-Datei, wenn sie keinen Ruf hat? Die Antwort ist, dass Sie es nicht können, bis es sich in Ihrer Umgebung so weit verbreitet hat, dass es durch mehrere Warnungen erkennbar wird, nachdem es einen erheblichen Teil Ihrer Umgebung infiziert hat.
Wie erreichen wir diese größere Sichtbarkeit? Zunächst müssen wir, anstatt einfach nur Rohdaten zu erfassen, überlegen, wie wir die Sicherheitsmetadaten aus diesen Daten aus verschiedenen Quellen extrahieren können. Anschließend müssen wir diese Daten mit mehreren Threat-Intelligence-Feeds abgleichen. Falls die Datei in den Threat-Intelligence-Feeds keinen Treffer findet, muss es eine automatisierte Methode geben, diese Datei mit einer Sandbox zu teilen. Sobald die Sandbox die Datei klassifiziert hat, muss diese Reputation in das Ereignis aufgenommen werden. Daher ist die Idee von … XDR diese Schritte zusammenfassen zu einem einzelnes Dashboard wird zu einem so heißen Thema - komplexe Angriffe sind mit isolierten Teams und Tools nicht leicht zu erkennen.
Letztendlich würde diese Automatisierung den Arbeitsablauf für die SOC Analysten könnten sich auf korrelierte Ereignisse konzentrieren, anstatt abzuwarten, bis eine Situation eine signifikante Anzahl von Warnmeldungen generiert, bevor sie ihre Aufmerksamkeit erregen. Dies wird die mittlere Zeit bis zur Entscheidung (MTTD) deutlich verkürzen. Mit den richtigen Informationen können sie zudem schnell handeln und so die Kosten reduzieren. MTTR.
Protokolle haben aus Compliance-Sicht ihren Platz in der Cybersicherheit. Wenn Sie sich jedoch nur auf Protokolle zur Analyse und Korrektur verlassen, verpassen Sie eine große Chance, die Automatisierung und Sichtbarkeit von Tools und Erkennungen zu nutzen, um Ihre Sicherheitslage zu verbessern und die Möglichkeit eines Angriffs zu verringern, der Ihre Geschäftsabläufe erheblich beeinträchtigen könnte.
Sie können sehen, wie MSSPs die „Open“-Lösung von Stellar Cyber nutzen. XDR um hohe Umsätze zu erzielen werden auf dieser Seite erläutert, oder wenden Sie sich direkt an mich unter brian@stellarcyber.ai.
