Stellar Cyber ​​Abrir XDR - logotipo
Buscar
Cierra este cuadro de búsqueda.

Una conversación sobre la nueva ola de ciberseguridad

Conversación sobre la nueva ola de ciberseguridad

Es hora, nuevamente, de cambiar la conversación en ciberseguridad.

No es ni basada en datos ni Impulsado por IA la seguridad cibernética, que es posible que haya escuchado antes, es tanto y más, mucho más.

Está impulsado por la correlación la seguridad cibernética. Se trata de correlaciones de muchas detecciones, desde muy básicas como NGFW hasta muy avanzadas como EDR basado en IA, de varias fuentes de datos en una única plataforma cohesiva.

ciberseguridad, seguridad impulsada por IA, ciberseguridad, xdr, inteligencia artificial, herramientas SIEM, análisis de tráfico de red, tráfico de red

Escuchamos acerca de muchos desafíos de seguridad de prospectos, clientes y socios, ¿por qué? Porque es parte de lo que hacen los humanos: ¡compartir el dolor! Como puede que sepa o no, los atacantes tienen acceso a las mismas herramientas que todos nosotros. Tienen acceso a tecnologías de Big Data y AI para ataques más avanzados.

Sin embargo, con el aumento de amenazas complejas, todos estamos de acuerdo: no es de extrañar que escuchemos temas tan consistentes:

  • No tengo suficientes datos para tener una detección efectiva, o
  • Al contrario, tengo demasiados datos y estoy abrumado
  • Recibo demasiado ruido en los datos o demasiadas falsas alarmas
  • Recientemente probé algunas herramientas avanzadas que usan AI / ML para reducir el ruido o los falsos positivos, pero esa inteligencia es específica solo para cada herramienta.
  • Tengo muchas herramientas independientes que no se comunican entre sí y dan lugar a respuestas aisladas y altos costos.

¿Qué puede hacer con un ataque complejo que utiliza estos desafíos en su contra? A continuación, se muestra un ejemplo sencillo:

  • Su director ejecutivo recibe un correo electrónico con una URL incrustada
  • Su CEO descarga un archivo a su computadora portátil yendo a la URL
  • Su director ejecutivo accede a un servidor de archivos a las 2 a.m. de un día laborable
  • La computadora portátil de su CEO envía mucho tráfico de DNS

Por sí mismos, cada uno de estos eventos individuales puede parecer normal. Si tiene implementadas las herramientas de seguridad adecuadas, algunas de las cuales están avanzadas con aprendizaje automático como EDR y UBA, puede descubrir que:

  • Su CEO recibe un SUPLANTACIÓN DE IDENTIDAD correo electrónico con un incrustado MALICIOSO URL.
  • Tu director ejecutivo descarga un Malware archivo a su computadora portátil yendo a la URL
  • Su director ejecutivo accede a un servidor de archivos a las 2 a. M. De un día laborable, COMPORTAMIENTO ANORMAL en un término de la UBA
  • La computadora portátil de su CEO envía mucho tráfico de DNS a través de DNS SINTONIZANDO

Eso es mucho análisis independiente por cuatro herramientas diferentes. ¿Qué tan rápido y con qué facilidad puede correlacionar estos eventos para rastrear esta infracción, y cuántas personas necesita para resolverlo todo al observar muchas pantallas diferentes?

Demos un paso atrás y preguntémonos cómo llegamos aquí. Claramente hay tres oleadas de la seguridad cibernética, que se construyen uno encima del otro: el aumento de los datos, el aumento de la IA y el aumento de las correlaciones.

1. El auge de los datos: aumentar la cantidad de datos para lograr una visibilidad completa.

La seguridad basada en datos fue el tema principal de la era de Big Data, donde los datos son el nuevo "oro". Comenzó con registros y paquetes de red sin procesar, por separado. El propósito principal de SIEM era recopilar y agregar registros de diferentes herramientas y aplicaciones para el cumplimiento, la investigación de incidentes y la gestión de registros. ArcSight, uno de los heredados Herramientas SIEM, lanzado en 2000, fue un ejemplo típico de un SIEM y sistema de gestión de registros. Los paquetes sin procesar se recopilaron y almacenaron tal cual para los forenses a pesar del hecho de que requieren mucho espacio de almacenamiento y es muy difícil examinar esta gran cantidad de paquetes para encontrar algún indicio de infracciones. En 2006, NetWitness encontró una solución analizando paquetes sin procesar.

Rápidamente, nos dimos cuenta de que ni los registros sin procesar ni los paquetes sin procesar individualmente son suficientes para ser efectivos en la detección de infracciones, y los paquetes sin procesar son demasiado pesados ​​y tienen un uso limitado además de la ciencia forense. La información extraída del tráfico como Netflow / IPFix, que se utiliza tradicionalmente para la visibilidad de la red y la supervisión del rendimiento, comenzó a utilizarse para la seguridad. SIEM también comenzó a ingerir y almacenar Netflow / IPFix también. Sin embargo, debido a problemas de escalabilidad técnica y costos, SIEM nunca se han convertido en la herramienta principal para el análisis del tráfico.

Con el paso del tiempo, se recopilan más datos: archivos, información del usuario, inteligencia de amenazas, etc. El objetivo de recopilar más datos era válido: obtener una visibilidad generalizada, pero el desafío de la red, responder a los ataques críticos, es como encontrar agujas en un pajar. , especialmente a través de búsquedas manuales o reglas definidas por humanos manualmente. Requiere mucha mano de obra y no requiere mucho tiempo.

Hay dos desafíos técnicos que enfrenta la seguridad basada en datos: cómo almacenar grandes volúmenes de datos a escala, lo que permite búsquedas y análisis eficientes, y cómo tratar la variedad de datos, especialmente los datos no estructurados, ya que los datos pueden tener cualquier formato. Las bases de datos relacionales tradicionales basadas en SQL se encontraron con ambos problemas. Los proveedores anteriores se apresuraron a resolver estos problemas con muchas soluciones locales. Desafortunadamente, la mayoría de ellos no fueron tan eficientes como los que estamos usando hoy basados ​​en bases de datos NoSQL para lagos de Big Data.

Existe un desafío más al que se enfrenta la seguridad basada en datos: la arquitectura de software para construir de manera rentable un sistema escalable para clientes empresariales. La arquitectura típica de 3 niveles con lógica empresarial de front-end y niveles de base de datos se convirtió en un gran obstáculo. Las arquitecturas nativas de la nube de hoy, basadas en la arquitectura de microservicios con contenedores, brindan soluciones mucho más escalables y rentables.

2. El auge de la IA: utilice el aprendizaje automático con análisis de macrodatos para ayudar a encontrar y automatizar las detecciones.

Una vez que tienes muchos datos, ¿qué haces con ellos? Como se mencionó anteriormente, con un gran volumen de datos, examinarlos en busca de patrones significativos es tedioso y requiere mucho tiempo. Si su infraestructura de TI, desafortunadamente, es pirateada de alguna manera, puede llevar días descubrirlo. Es demasiado tarde porque el daño ya está hecho o ya se han robado datos confidenciales. En este caso, demasiados datos se convierten en un problema. Afortunadamente, hemos visto el auge del aprendizaje automático gracias a los avances de los algoritmos de aprendizaje automático, así como a la potencia informática.

Las máquinas son muy buenas para realizar trabajos repetitivos y tediosos de manera muy rápida, muy eficiente e incansable las 24 horas del día, los 7 días de la semana. Cuando las máquinas están equipadas con inteligencia como capacidades de aprendizaje, ayudan a los humanos a escalar. Muchos investigadores y proveedores de seguridad comenzaron a aprovechar la inteligencia artificial para resolver el problema, para ayudarlos a encontrar esas agujas o para ver tendencias que están ocultas dentro de grandes conjuntos de datos. Por lo tanto, el surgimiento de Seguridad impulsada por IA. Hay muchas innovaciones en este espacio. Por ejemplo, hay muchas empresas de detección y respuesta de puntos finales (EDR) que utilizan IA para abordar los problemas de seguridad de los puntos finales; muchas empresas de análisis de comportamiento de entidades y usuarios (UEBA) que utilizan IA para abordar las amenazas internas, y muchas análisis de tráfico de red (NTA) empresas que utilizan IA para encontrar tráfico de red .

Si los datos son el nuevo oro, las infracciones detectadas a través de la inteligencia artificial son como joyas hechas de oro. Se requiere mucho tiempo, paciencia y trabajo duro para hacer hermosas joyas a mano con oro puro. Con la ayuda de máquinas, especialmente maquinaria avanzada, se hace posible la producción comercial de grandes joyas.

En la superficie, con Seguridad impulsada por IA, muchos datos se vuelven un problema menor, ya que ML generalmente requiere muchos datos para entrenar el modelo y aprender los patrones. Por el contrario, la falta de datos es obviamente un problema, ya que cuanto menos datos, menos preciso y, por lo tanto, menos útil se vuelve el modelo ML. Sin embargo, con el paso del tiempo, los investigadores se dieron cuenta gradualmente de que los datos correctos son mucho más importantes. Demasiados datos sin la información correcta es solo un desperdicio de potencia informática para ML, así como un desperdicio de almacenamiento al mismo tiempo. Muchos proveedores anteriores de UEBA con soluciones basadas en registros de Herramientas SIEM aprendí esta dura lección. El SIEM puede haber recopilado muchos registros, pero solo algunos de ellos contienen la información correcta relacionada con los comportamientos de los usuarios. Por lo tanto, aunque la seguridad basada en datos crea una gran base para Seguridad impulsada por IA, para construir escalable y precisa Seguridad impulsada por IA, los datos correctos son mucho más importantes.

El uso de IA definitivamente ayuda a aliviar los dolores del Big Data, pero tiene sus propios desafíos. Por ejemplo, tanto UEBA como NTA aprovechan el aprendizaje automático no supervisado para el análisis del comportamiento. Sin embargo, un comportamiento anormal observado para un usuario o desde tráfico de red no significa necesariamente un incidente de seguridad. Estas herramientas pueden generar mucho ruido y provocar fatiga por alerta. Además, los hackers inteligentes suelen pasar por varias etapas de la cadena de muerte antes de que puedan ser atrapados. ¿Cómo se puede recuperar el rastro de una infracción y solucionar la causa raíz?

Hay otro gran desafío al que se enfrenta Seguridad impulsada por IA colectivamente: costo: el costo de capital de las herramientas en sí, el costo de la infraestructura de computación y almacenamiento utilizada por estas herramientas, y el costo de operaciones de tantas herramientas diferentes en sus silos con diferentes pantallas.

Por lo tanto, incluso si cada herramienta tiene la capacidad de destilar gigabytes o terabytes de datos a una lista corta de algunas detecciones críticas, la pregunta sigue siendo: "¿Qué se está perdiendo al no consolidar estas herramientas en una sola plataforma y correlacionar las detecciones? en todas las herramientas y feeds? "

3. El auge de las correlaciones: correlacione las detecciones y automatice la respuesta en toda la superficie de ataque en una única plataforma.

Con esta nueva ola, la conversación pasa de los datos y la inteligencia artificial a las correlaciones. Obviamente, esta ola se basa en las dos olas anteriores. Sin embargo, se trata de superar los datos y las herramientas, y se trata de agrupar todo en una sola plataforma. Siguiendo nuestra analogía inicial entre el oro y las joyas, se trata de combinar un conjunto de joyas adecuadas y ponerlas juntas en una persona para que se vea bien como un todo.

Analistas en seguridad de ASG, Gartner, Forrester, IDC y Buenos dias Todos están de acuerdo en que este cambio de pensamiento de herramientas en silos a una plataforma consolidada es clave para ayudarnos a ver y responder a las brechas críticas. Específicamente, la plataforma debe adoptar un enfoque holístico y analizar las detecciones correlativas en la red, la nube, los puntos finales y las aplicaciones: toda la superficie de ataque.

Los objetivos clave de las correlaciones de detecciones entre herramientas, fuentes y entornos son mejorar la precisión de la detección, detectar ataques complejos mediante la combinación de señales más débiles de múltiples herramientas para detectar ataques que de otro modo podrían ignorarse y mejorar la eficiencia operativa y la productividad. La visibilidad completa ya no significa encontrar los datos correctos, sino que significa encontrar los ataques complejos.

Para hacerlo, debe considerar Abrir XDR. XDR es una solución de operaciones de seguridad cohesiva con una estrecha integración de muchas aplicaciones de seguridad en una sola plataforma con un solo panel de vidrio. Recopila y correlaciona automáticamente datos de múltiples herramientas, mejora las detecciones y proporciona respuestas automatizadas. Una plataforma que une herramientas y aplicaciones reduce de forma innata el costo, tanto en el costo de las herramientas como en el costo de la infraestructura, al tiempo que mejora la eficiencia operativa con un panel de vidrio único fácil de usar.

Creemos que hay cinco requisitos fundamentales principales de XDR:

  1. Centralización de datos normalizados y enriquecidos de una variedad de fuentes de datos, incluidos registros, tráfico de red, aplicaciones, nube, inteligencia de amenazas, etc.
  2. Detección automática de eventos de seguridad a partir de los datos recopilados a través de análisis avanzados como NTA, UBA y EBA.
  3. Correlación de eventos de seguridad individuales en una vista de alto nivel.
  4. Capacidad de respuesta centralizada que interactúa con productos de seguridad individuales.
  5. Arquitectura de microservicios nativa de la nube para flexibilidad de implementación, escalabilidad y alta disponibilidad.

En conclusión, Stellar Cyber ​​es la única plataforma Abrir XDR especialmente diseñada que ingiere y selecciona todos la seguridad cibernética datos para detectar, correlacionar y responder en toda la cadena de eliminación. La ola de correlaciones ha comenzado, ¡y le invitamos a viajar con nosotros disfrutando del viaje juntos!

SIAM: promesas vacías

SIEM - ¿PROMESAS VACÍAS?

Los SIEM han sido la base de las operaciones de seguridad durante décadas, y eso debe reconocerse. Sin embargo, los SIEM han hecho muchas grandes promesas y, hasta el día de hoy, no han cumplido muchas de ellas ...

Descargar eBook

Ir al Inicio