Stellar Cyber ​​Open XDR-logo
Rechercher
Fermez ce champ de recherche.

Une conversation sur la nouvelle vague de cybersécurité

Conversation sur la nouvelle vague de cybersécurité

Il est temps, encore une fois, de changer la conversation en cybersécurité.

Ce n'est ni l'un ni l'autre data-driven ni Axé sur l'IA cybersécurité, que vous avez peut-être déjà entendu - c'est à la fois et plus, bien plus.

Il est axé sur la corrélation cybersécurité. Il s'agit de corrélations de nombreuses détections, de très basiques comme NGFW à très avancées comme EDR basé sur l'IA, à partir de diverses sources de données dans une seule plate-forme cohésive.

cybersécurité, sécurité basée sur l'IA, cybersécurité, xdr, intelligence artificielle, outils SIEM, analyse du trafic réseau, trafic réseau

Nous entendons parler de nombreux défis de sécurité de la part des prospects, des clients et des partenaires. Pourquoi? Parce que cela fait partie de ce que font les humains - partager la douleur! Comme vous le savez peut-être ou non, les attaquants ont accès aux mêmes outils que nous tous. Ils ont accès aux technologies Big Data et AI pour des attaques plus avancées.

Néanmoins, avec l'augmentation des menaces complexes, nous sommes tous d'accord - il n'est pas étonnant que nous entendions des thèmes aussi cohérents:

  • Je n'ai pas assez de données pour avoir une détection efficace, ou
  • Au contraire, j'ai trop de données et je suis débordé
  • Je reçois trop de bruit dans les données ou trop de fausses alarmes
  • J'ai récemment essayé quelques outils avancés qui utilisent l'IA / ML pour réduire le bruit ou les faux positifs, mais cette intelligence n'est spécifique qu'à chaque outil.
  • J'ai beaucoup d'outils indépendants qui ne se parlent pas et mènent à des réponses cloisonnées et à des coûts élevés

Que pouvez-vous faire contre une attaque complexe qui utilise ces défis contre vous? Voici un exemple simple:

  • Votre PDG reçoit un e-mail avec une URL intégrée
  • Votre PDG télécharge un fichier sur son ordinateur portable en accédant à l'URL
  • Votre PDG accède à un serveur de fichiers à 2 heures du matin un jour de semaine
  • L'ordinateur portable de votre PDG envoie beaucoup de trafic DNS

En eux-mêmes, chacun de ces événements individuels peut sembler normal. Si vous avez déployé les bons outils de sécurité, certains étant avancés avec l'apprentissage automatique comme EDR et UBA, vous découvrirez peut-être que:

  • Votre PDG reçoit un HAMEÇONNAGE e-mail avec un MAL INTENTIONNÉ URL.
  • Votre PDG télécharge un MALWARE fichier sur son ordinateur portable en accédant à l'URL
  • Votre PDG accède à un serveur de fichiers à 2 heures du matin un jour de la semaine, un UN COMPORTEMENT ANORMAL dans un terme UBA
  • L'ordinateur portable de votre PDG envoie beaucoup de trafic DNS via DNS TUNELAGE

C'est beaucoup d'analyses indépendantes par quatre outils différents. À quelle vitesse et avec quelle facilité pouvez-vous corréler ces événements afin de retracer cette violation, et de combien de personnes avez-vous besoin pour tout regrouper en regardant de nombreux écrans différents?

Prenons du recul et demandons-nous comment nous en sommes arrivés là. Il y a clairement trois vagues de cybersécurité, qui sont construits les uns sur les autres: la montée en puissance des données, la montée de l'IA et la montée des corrélations.

1. L'essor des données - Augmenter la quantité de données pour obtenir une visibilité complète.

La sécurité axée sur les données était le thème principal de l'ère du Big Data, où les données sont le nouvel «or». Cela a commencé avec les journaux et les paquets réseau bruts, séparément. L'objectif principal de SIEM était de collecter et d'agréger les journaux de différents outils et applications pour la conformité, l'enquête sur les incidents et la gestion des journaux. ArcSight, l'un des héritages Outils SIEM, sorti en 2000, était un exemple typique de SIEM et système de gestion des journaux. Les paquets bruts ont été collectés et stockés tels quels pour la criminalistique malgré le fait qu'ils nécessitent beaucoup d'espace de stockage et qu'il est très difficile de passer au crible ces énormes nombres de paquets pour trouver une indication de violations. En 2006, NetWitness a trouvé une solution analysant les paquets bruts.

Rapidement, nous nous sommes rendu compte que ni les journaux bruts ni les paquets bruts ne suffisent individuellement pour détecter efficacement les violations, et que les paquets bruts sont trop lourds et ont une utilisation limitée en dehors de la criminalistique. Les informations extraites du trafic telles que Netflow / IPFix, traditionnellement utilisées pour la visibilité du réseau et la surveillance des performances, ont commencé à être utilisées pour la sécurité. SIEM a également commencé à ingérer et à stocker Netflow / IPFix. Cependant, en raison à la fois de problèmes d'évolutivité technique et de coûts, SIEM ne sont jamais devenus l'outil principal d'analyse du trafic.

Au fil du temps, plus de données sont collectées: fichiers, informations sur les utilisateurs, renseignements sur les menaces, etc. L'objectif de collecter plus de données était valable - obtenir une visibilité omniprésente - mais le défi net, répondre aux attaques critiques, c'est comme trouver des aiguilles dans une botte de foin , notamment via des recherches manuelles ou des règles définies manuellement par les humains. Cela demande beaucoup de travail et de temps.

La sécurité axée sur les données est confrontée à deux défis techniques: comment stocker de grands volumes de données à grande échelle, permettant des recherches et des analyses efficaces, et comment gérer la variété de données - en particulier les données non structurées - car les données peuvent être de n'importe quel format. Les bases de données relationnelles traditionnelles basées sur SQL se sont heurtées à ces deux problèmes. Les fournisseurs précédents se sont efforcés de résoudre ces problèmes avec de nombreuses solutions locales. Malheureusement, la plupart d'entre eux n'étaient pas aussi efficaces que ce que nous utilisons aujourd'hui sur la base de bases de données NoSQL pour les lacs Big Data.

Il y a un autre défi auquel est confrontée la sécurité axée sur les données: l'architecture logicielle permettant de créer à moindre coût un système évolutif pour les entreprises clientes. L'architecture typique à 3 niveaux avec une logique métier frontale et des niveaux de base de données est devenue un obstacle majeur. Les architectures cloud natives d'aujourd'hui, s'appuyant sur une architecture de micro-services avec conteneurs, fournissent des solutions beaucoup plus évolutives et rentables.

2. L'essor de l'IA: utilisez l'apprentissage automatique avec l'analyse de données volumineuses pour trouver et automatiser les détections.

Une fois que vous avez beaucoup de données, que faites-vous avec? Comme mentionné précédemment, avec un grand volume de données, passer au crible à la recherche de modèles significatifs est fastidieux et prend du temps. Si votre infrastructure informatique est malheureusement piratée, cela peut prendre des jours pour le découvrir. Il est trop tard car le dommage est déjà fait ou des données sensibles sont déjà volées. Dans ce cas, trop de données devient un problème. Heureusement, nous avons assisté à l'essor de l'apprentissage automatique grâce aux progrès des algorithmes d'apprentissage automatique ainsi qu'à la puissance de calcul.

Les machines sont très douées pour effectuer des travaux répétitifs et fastidieux très rapidement, très efficacement et sans relâche 24 × 7. Lorsque les machines sont équipées d'intelligence comme des capacités d'apprentissage, elles aident les humains à évoluer. De nombreux chercheurs et fournisseurs en sécurité ont commencé à tirer parti de l'IA pour résoudre le problème, pour les aider à trouver ces aiguilles ou pour voir les tendances cachées dans de grands ensembles de données. Ainsi, la montée de Sécurité basée sur l'IA. Il y a beaucoup d'innovations dans cet espace. Par exemple, de nombreuses entreprises de détection et de réponse des points finaux (EDR) utilisent l'IA pour résoudre les problèmes de sécurité des points finaux; de nombreuses entreprises d'analyse du comportement des utilisateurs et des entités (UEBA) utilisant l'IA pour lutter contre les menaces internes, et de nombreuses Analyse du trafic réseau (NTA) entreprises utilisant l'IA pour trouver des trafic réseau modèles

Si les données sont le nouvel or, les brèches détectées via l'IA sont comme des bijoux en or. Il faut beaucoup de temps, de patience et de travail acharné pour fabriquer de beaux bijoux à la main en or uni. Avec l'aide de machines, en particulier de machines de pointe, la production commerciale de grands bijoux devient possible.

En surface, avec Sécurité basée sur l'IA, beaucoup de données devient moins problématique car le ML nécessite généralement beaucoup de données pour entraîner le modèle et apprendre les modèles. Au contraire, le manque de données est évidemment un problème car moins il y a de données, moins le modèle ML devient précis et donc moins utile. Cependant, au fil du temps, les chercheurs ont progressivement réalisé que les bonnes données sont bien plus importantes. Trop de données sans les bonnes informations n'est qu'un gaspillage de puissance de calcul pour le ML ainsi qu'un gaspillage de stockage en même temps. De nombreux fournisseurs UEBA antérieurs avec des solutions basées sur les journaux de Outils SIEM appris cette dure leçon. Le SIEM a peut-être collecté de nombreux journaux, mais seuls quelques-uns d'entre eux contiennent les bonnes informations relatives aux comportements des utilisateurs. Ainsi, bien que la sécurité basée sur les données constitue une base solide pour Sécurité basée sur l'IA, afin de construire évolutif et précis Sécurité basée sur l'IA, les bonnes données sont bien plus importantes.

L'utilisation de l'IA permet certainement d'atténuer les problèmes liés au Big Data, mais elle a ses propres défis. Par exemple, UEBA et NTA exploitent l'apprentissage automatique non supervisé pour l'analyse du comportement. Cependant, un comportement anormal observé pour un utilisateur ou depuis trafic réseau ne signifie pas nécessairement un incident de sécurité. Ces outils peuvent générer beaucoup de bruit, provoquant une fatigue d'alerte. De plus, les hacks intelligents passent généralement par plusieurs étapes de la chaîne de destruction avant de pouvoir être attrapés. Comment pouvez-vous récupérer la trace d'une violation et corriger la cause première?

Il y a un autre grand défi à relever Sécurité basée sur l'IA collectivement: coût - le coût en capital des outils eux-mêmes, le coût de l'infrastructure de calcul et de stockage utilisée par ces outils, et le coût des opérations de tant d'outils différents dans leurs silos avec différents écrans.

Ainsi, même si chaque outil a la capacité de distiller des gigaoctets ou des téraoctets de données jusqu'à une courte liste de quelques détections critiques, la question demeure: «Que manquez-vous en ne consolidant pas ces outils sur une plate-forme unique et en corrélant les détections? sur tous les outils et flux? »

3. La montée des corrélations: corrélez les détections et automatisez la réponse sur toute la surface d'attaque sur une seule plateforme.

Avec cette nouvelle vague, la conversation passe des données et de l'IA aux corrélations. Évidemment, cette vague est construite sur les deux vagues précédentes. Cependant, il s'agit de dépasser les données ainsi que les outils, et il s'agit de tout regrouper dans une seule plate-forme. Suivant notre analogie précoce entre l'or et les bijoux, il s'agit de faire correspondre un ensemble de bons bijoux et de les assembler sur une personne pour lui donner une belle apparence dans son ensemble.

Analystes en sécurité de ESG, Gartner, Forrester, IDC et Om jour tous conviennent que ce changement de mentalité, passant d'outils cloisonnés à une plate-forme consolidée, est essentiel pour nous aider à voir et à répondre aux violations critiques. Plus précisément, la plate-forme doit adopter une approche holistique et examiner la corrélation des détections sur le réseau, le cloud, les points de terminaison et les applications - toute la surface d'attaque.

Les principaux objectifs des corrélations de détections entre les outils, les flux et les environnements sont d'améliorer la précision de la détection, de détecter les attaques complexes en combinant des signaux plus faibles provenant de plusieurs outils pour repérer les attaques qui pourraient autrement être ignorées, et d'améliorer l'efficacité opérationnelle et la productivité. La visibilité complète ne signifie plus trouver les bonnes données, mais plutôt trouver les attaques complexes.

Pour ce faire, vous devez envisager Ouvrez XDR. XDR est une solution d'opérations de sécurité cohérente avec une intégration étroite de nombreuses applications de sécurité dans une plate-forme unique avec une seule vitre. Il collecte et corrèle automatiquement les données de plusieurs outils, améliore les détections et fournit des réponses automatisées. Une plate-forme reliant les outils et les applications réduit naturellement les coûts, à la fois en termes de coût des outils et de coût d'infrastructure, tout en améliorant l'efficacité opérationnelle avec un seul panneau de verre facile à utiliser.

Nous pensons qu'il existe cinq exigences fondamentales de XDR:

  1. Centralisation de données normalisées et enrichies à partir d'une variété de sources de données, y compris les journaux, trafic réseau, applications, cloud, Threat Intelligence, etc.
  2. Détection automatique des événements de sécurité à partir des données collectées grâce à des analyses avancées telles que NTA, UBA et EBA.
  3. Corrélation des événements de sécurité individuels dans une vue de haut niveau.
  4. Capacité de réponse centralisée qui interagit avec les produits de sécurité individuels.
  5. Architecture de micro-services cloud native pour une flexibilité de déploiement, une évolutivité et une haute disponibilité.

En conclusion, Stellar Cyber ​​est la seule plate-forme Open XDR spécialement conçue qui ingère et organise tous cybersécurité des données pour détecter, corréler et répondre tout au long de la chaîne de destruction. La vague de corrélations a commencé et vous êtes invités à rouler avec nous pour profiter du voyage ensemble!

SIAM - Promesses vides

SIEM - PROMESSES VIDES?

Les SIEM sont à la base des opérations de sécurité depuis des décennies, et cela doit être reconnu. Cependant, les SIEM ont fait beaucoup de grandes promesses et, à ce jour, n'en ont pas tenu bon nombre ...

Télécharger un livre électronique

Remonter en haut