Fragen und Antworten mit dem CEO und Mitgründer Changming Liu
Ans: SIEMSie bilden seit Jahrzehnten die Grundlage von Sicherheitsoperationen, und das sollten wir anerkennen. SIEMEs wurden viele große Versprechen gemacht, von denen viele bis heute nicht eingelöst wurden, insbesondere die Vision der automatischen, ganzheitlichen Korrelation von Erkennungen. Dies ist das zentrale Problem, an dessen Lösung wir bei Stellar Cyber mit unserem Open XDR Lernumgebung
SIEMs – LEERE VERSPRECHEN?
SIEMSie bilden seit Jahrzehnten die Grundlage von Sicherheitsoperationen, und das sollte anerkannt werden. SIEMSie haben viele große Versprechen gemacht und bis heute viele davon nicht eingelöst…
F: Lassen Sie uns diese Behauptung genauer betrachten. Was genau meinen Sie mit Korrelation der Detektionen, und warum kann man das nicht einfach so machen? SIEMTun sie es?
Ans: Erkennungen sind Ereignisse, die anomal oder bösartig erscheinen. Und das Problem heutzutage in einem modernen Security Operations Center (SOCDas Problem besteht darin, dass Erkennungen von vielen isolierten Tools generiert werden können. Beispielsweise gibt es Firewall- und Netzwerk-Detection-and-Response-Systeme (NDR) für den Netzwerkschutz, Endpoint Detection and Response (EDR) für den Schutz von Endpunkten und Cloud Application Security Broker (CASB) für SaaS-Anwendungen. Die Korrelation dieser Erkennungen, um ein umfassenderes Bild zu erhalten, ist die Herausforderung, da Hacker heutzutage komplexere Techniken einsetzen, um auf Anwendungen und Daten mit vergrößerter Angriffsfläche zuzugreifen. Ihr Team meldet entweder Fehlalarme oder kann diese Erkennungen nicht richtig analysieren und kritische von irrelevanten Meldungen unterscheiden. Der Hauptzweck von SIEMs dient dazu, Daten wie Protokolle aus verschiedenen Tools und Anwendungen zu sammeln und zusammenzuführen, um die Aktivitäten transparent zu machen und Vorfälle zu untersuchen.
Es sind jedoch noch viele manuelle Aufgaben erforderlich, z. B. das Transformieren der Daten einschließlich der Datenfusion, um einen Kontext für die Daten zu erstellen, dh die Anreicherung mit Bedrohungsinformationen, Standort-, Asset- und / oder Benutzerinformationen.
Frage: "Kommen wir also zur Überschrift zurück. Warum ist dies für Sicherheitsexperten so wichtig?"
Ans: Nehmen wir das Analystenhaus Gartner als Beispiel. Auf ihrem Security Summit nannten sie als zweitwichtigsten Trend unter den Top 7 Sicherheits- und Risikotrends für 2020 ein erneutes Interesse an der Implementierung oder Weiterentwicklung von SOCmit Schwerpunkt auf Bedrohungserkennung und -abwehr. Sie merken außerdem an: „Als Reaktion auf die wachsende Lücke an Sicherheitskompetenzen und die Trends der Angreifer ist eine erweiterte Erkennung und Reaktion (XDR) Werkzeuge, maschinelles Lernen (ML) und Automatisierungsfunktionen gewinnen an Bedeutung, um die Produktivität von Sicherheitsoperationen und die Erkennungsgenauigkeit zu verbessern.“
F: Das ist aufschlussreich, aber lassen Sie uns einen Schritt zurücktreten und genauer darauf eingehen, warum. XDR ist neu und nicht nur eine Hülle für ein bestehendes Tool.
Ans: XDR ist eine zusammenhängende Sicherheitsoperationsplattform mit enger Integration vieler Sicherheitsanwendungen auf einer einzigen Plattform. SIEM ist eine von vielen solchen nativ unterstützten Anwendungen und arbeitet mit den anderen zusammen, darunter Benutzer- und Entitätsverhaltensanalyse (UBA & EBA), Netzwerkverkehrsanalyse (NTA) und Firewall-Verkehrsanalyse (FTA), Bedrohungsanalyse usw. Bei Stellar Cyber definieren wir Open XDR Der Fokus liegt dabei auf der automatischen Bedrohungserkennung und der Reaktion auf Sicherheitsvorfälle durch die Korrelation von Sicherheitsereignissen aus verschiedenen Sicherheitstools. Dies sind die größten Herausforderungen. SIEM-only products, which is them the primary tool for log management and compliance.
Frage: Was ist mit Architektur? Wie wichtig ist das für den Käufer?
Ans: Open XDR Es wurde mithilfe einer neuen Cloud-nativen Architektur und Diensten entwickelt, darunter eine Microservices-basierte Architektur mit Containern und Clustering. Es ist äußerst flexibel in der Bereitstellung, skalierbar in der Leistung und verfügt über eine Lucene-basierte Suchmaschine, die Informationsabfragen extrem schnell ermöglicht – in Sekunden statt Stunden oder Tagen, wie es bei vielen anderen Systemen der Fall ist. SIEMDieselbe Software lässt sich lokal mit gehärteten physischen Appliances, virtuellen Maschinen, in privaten oder öffentlichen Clouds mit horizontaler Skalierbarkeit und hoher Verfügbarkeit bereitstellen – Schlüsselfaktoren für Big-Data-Analysen in einem offenen Data Lake. Diese Eigenschaften sind auch angesichts der stetig wachsenden Datenmengen und der Compliance-Anforderung des vollständigen Datenverlusts unerlässlich.
Frage: Was sagen andere Analysten?
Ans: Forrester, ESG, IDC und Omdia bestätigen, dass es in der heutigen Zeit Silos und Lücken gibt. SOCTools müssen Erkennungen im gesamten Netzwerk, der Cloud, auf Endpunkten und bei Benutzern analysieren. Alle Analysten sprechen über die Bedeutung von Korrelationen zwischen diesen Bereichen als verlässlichen Indikator. XDR Fähigkeit. Zum Beispiel Ihre SIEM Ein Protokoll zeigt an, dass ein Benutzer zu einer ungewöhnlichen Tageszeit auf SQL zugegriffen hat. Ihr NTA-Tool meldet, dass der Benutzer den Datenverkehr außerhalb Ihres Landes sendet, und Ihr UBA-Tool gibt zusätzlich an, dass der Benutzer diese Anwendung normalerweise nicht zu diesen Zeiten oder mit diesen Datenraten verwendet hat. Dies deutet auf einen komplexen Angriff hin, doch isolierte Tools erfordern manuelle Eingriffe, um diese Schlussfolgerung zu ziehen. XDR Systeme können dieses Bild automatisch mithilfe von KI/ML erstellen.
F: Wie würden Sie denjenigen helfen, die etwas lernen? XDR Unternehmen in die engere Auswahl zu nehmen und die richtigen Entscheidungen zu treffen?
Ans: Das ist von entscheidender Bedeutung, und wir glauben, dass es fünf grundlegende Voraussetzungen gibt. XDR:
- Zentralisierung von normalisierte und angereichert Daten aus einer Vielzahl von Datenquellen, einschließlich Protokollen, Netzwerkverkehr, Anwendungen, Cloud, Threat Intelligence usw.
- Automatische Erkennung von Sicherheitsereignissen aus den Daten, die mit erweiterten Analysen wie z NTA, UBA und EBA
- Korrelation von einzelnen Sicherheitsereignissen in eine übergeordnete Ansicht.
- Zentralisierte Antwortfunktion, die mit einzelnen Sicherheitsprodukten interagiert.
- Cloud-native Mikrodienstarchitektur für Bereitstellungsflexibilität, Skalierbarkeit und Hochverfügbarkeit.
Und zusätzlich für Stellar Cyber die Idee von Open XDR Dies bedeutet, dass wir ein offenes Ökosystem haben, um sicherzustellen, dass Sie Ihre vorhandenen Sicherheitstools und Best Practices nutzen. Wir glauben, dass wir das Risiko ohne Unterbrechung reduzieren und die Wiedergabetreue aller Ihrer vorhandenen Tools verbessern.
Also, anstatt nur ein Werkzeug wie ein zu sein SIEM, Stellar Cyber's Open XDR korreliert Eingaben aus vielen verschiedenen Tools, darunter eigene integrierte Tools und bereits vorhandene, um präzisere Warnmeldungen zu erzeugen, Fehlalarme zu reduzieren und die Produktivität der Analysten deutlich zu steigern.
