Preguntas y respuestas con el director ejecutivo y cofundador Changming Liu
Respuesta: SIEMHan sido la base de las operaciones de seguridad durante décadas, y debemos reconocerlo. Sin embargo, SIEMHemos hecho muchas promesas grandiosas y, hasta la fecha, no hemos cumplido muchas de ellas, en particular la visión de la correlación automática de detecciones de forma holística. Este es el problema clave que abordamos en Stellar Cyber con nuestro programa Abrir. XDR
SIEMs – ¿PROMESAS VACÍAS?
SIEMLas s han sido la base de las operaciones de seguridad durante décadas, y eso debe reconocerse. Sin embargo, SIEMHan hecho muchas grandes promesas y, hasta el día de hoy, no han cumplido muchas de ellas…
P. Aclaremos esa afirmación. Cuando habla de correlación de detecciones, ¿a qué se refiere y por qué no puede... SIEM¿lo hacemos?
Respuesta: Las detecciones son eventos que parecen anómalos o maliciosos. Y el problema actual en un centro de operaciones de seguridad moderno (SOC) es que las detecciones pueden surgir de muchas herramientas aisladas. Por ejemplo, tiene firewall y detección y respuesta de red (NDR) para la protección de su red, detección y respuesta de endpoints (EDR) para la protección de sus endpoints y Cloud Application Security Broker (CASB) para sus aplicaciones SaaS. Correlacionar estas detecciones para obtener una visión más amplia es el problema, ya que los hackers ahora utilizan técnicas más complejas para acceder a sus aplicaciones y datos con mayores superficies de ataque. Su equipo está alegando falsos positivos o no puede analizar estas detecciones y distinguir entre lo crítico y lo irrelevante. El objetivo principal de SIEMs consiste en recopilar y agregar datos como registros de diferentes herramientas y aplicaciones para la visibilidad de la actividad y la investigación de incidentes.
Dicho esto, todavía se necesitan muchas tareas manuales, como transformar los datos, incluida la fusión de datos, para crear contexto para los datos, es decir, enriquecimiento con inteligencia de amenazas, ubicación, activos y / o información del usuario.
P. Entonces, volvamos al titular, ¿por qué es esto tan clave para los profesionales de la seguridad?
Respuesta: Tomemos como ejemplo la firma de análisis Gartner. Para su Cumbre de Seguridad, la segunda tendencia, de las 7 principales tendencias de seguridad y riesgo para 2020, es un renovado interés en implementar o consolidar... SOCs con un enfoque en la detección y respuesta a amenazas. Además, señalan: “En respuesta a la creciente brecha de habilidades en seguridad y las tendencias de los atacantes, la detección y respuesta extendidas (XDR) Las herramientas, el aprendizaje automático (ML) y la capacidad de automatización están surgiendo para mejorar la productividad de las operaciones de seguridad y la precisión de la detección”.
P. Eso es revelador, pero demos un paso atrás y digamos más sobre por qué. XDR es nuevo y no solo un envoltorio de una herramienta existente.
Respuesta: XDR es una plataforma de operaciones de seguridad cohesiva con una estrecha integración de muchas aplicaciones de seguridad en una sola plataforma. SIEM es una de las muchas aplicaciones compatibles de forma nativa y funciona con las demás, incluidas las de análisis de comportamiento de usuarios y entidades (UBA y EBA), análisis de tráfico de red (NTA) y análisis de tráfico de firewall (FTA), inteligencia de amenazas, etc. En Stellar Cyber, definimos Abrir XDR como enfoque en casos de uso de detección automática de amenazas y respuesta a incidentes mediante la correlación de eventos de seguridad de diversas herramientas de seguridad. Estos son los principales desafíos con SIEM-sólo productos, lo que los convierte en la herramienta principal para la gestión de registros y el cumplimiento.
P. ¿Qué pasa con la arquitectura? ¿Qué importancia tiene eso para el comprador?
Respuesta: Abrir XDR Se desarrolla utilizando una nueva arquitectura y servicios nativos de la nube, incluyendo una arquitectura basada en microservicios con contenedores y agrupación en clústeres. Ofrece una implementación muy flexible y un rendimiento escalable, además de un motor de búsqueda basado en Lucene, lo que permite consultar información con gran rapidez: en segundos, en lugar de horas o días, como ocurre en muchos otros entornos. SIEMProductos exclusivos. El mismo software puede implementarse localmente con dispositivos físicos reforzados, máquinas virtuales y nube privada o pública, con escalabilidad horizontal y alta disponibilidad, clave para el análisis de big data en un lago de datos abierto. Estas características también son cruciales para el creciente volumen de datos y el requisito de cumplimiento de cero pérdida de datos.
P. ¿Qué dicen otros analistas?
Respuesta: Forrester, ESG, IDC y Omdia afirman que existen silos y brechas en la industria actual. SOCLas herramientas deben analizar las detecciones en la red, la nube, los endpoints y los usuarios. Todos los analistas hablan de la idea de las correlaciones entre estas áreas como un verdadero indicador de... XDR capacidad. Por ejemplo, su SIEM Ve un registro que indica que un usuario ha accedido a SQL en un horario inusual, su herramienta NTA indica que el usuario está enviando el tráfico fuera de su país y su herramienta UBA indica que, además, el usuario no ha usado esta aplicación habitualmente en esos horarios ni con esas velocidades de datos. Esto da la impresión de un ataque complejo, pero las herramientas aisladas requieren intervención manual para llegar a una conclusión. Hoy en día XDR Los sistemas pueden pintar esta imagen automáticamente a través de IA / ML.
P. ¿Cómo ayudaría a quienes están aprendiendo sobre XDR ¿Cómo seleccionar empresas y tomar las decisiones correctas?
Respuesta: Esto es clave y creemos que hay cinco requisitos fundamentales principales: XDR:
- Centralización de normalizado enriquecido datos de una variedad de fuentes de datos, incluidos registros, tráfico de red, aplicaciones, nube, inteligencia de amenazas, etc.
- Detección automática de eventos de seguridad a partir de los datos recopilados con análisis avanzados como NTA, UBA y EBA
- La correlación de eventos de seguridad individuales en una vista de alto nivel.
- Capacidad de respuesta centralizada que interactúa con productos de seguridad individuales.
- Arquitectura de microservicios nativa de la nube para flexibilidad de implementación, escalabilidad y alta disponibilidad.
Y además para Stellar Cyber, la idea de Abrir XDR significa que tenemos un ecosistema abierto para garantizar que aproveche sus herramientas de seguridad existentes y las mejores prácticas. Creemos que reducimos el riesgo sin interrupciones y mejoramos la fidelidad de todas sus herramientas existentes.
Por lo tanto, en lugar de ser solo una herramienta como SIEM, Abrir de Stellar Cyber XDR correlaciona las entradas de muchas herramientas diferentes, incluido su propio conjunto de herramientas integrado y las existentes ya instaladas, para producir alertas de mayor fidelidad, reducir los falsos positivos y potenciar la productividad de los analistas.
