Événement de sécurité et Plateformes de gestion de l'information (SIEMs) La collecte de données issues des journaux de sécurité est censée permettre d'identifier les angles morts, de réduire le bruit et la lassitude face aux alertes, et de simplifier la détection et la réponse aux cyberattaques complexes. Cependant, SIEMIls n'ont pas tenu leurs promesses. Désormais, la nouvelle idée est XDR – quels sont ses avantages, et doit-il coexister avec ou remplacer un SIEM? Cet article explore le paysage actuel de la cybersécurité, comment SIEM s'intègre dans ce paysage, et comment XDR Ces plateformes peuvent améliorer considérablement la visibilité, l'analyse et la réponse aux incidents de sécurité.
Le paysage de la sécurité
La chose la plus évidente dans le paysage de la sécurité d'aujourd'hui est que les menaces sont en augmentation :
- Selon Accenture, 68 % des chefs d'entreprise ont le sentiment que leur risques de cybersécurité augmentaient en 2020.
- Risk Based a rapporté que les violations de données ont exposé 36 milliards d'enregistrements au cours du premier semestre 2020.
- Proofpoint a découvert que 88 % des organisations dans le monde ont été victimes d'attaques de spear phishing en 2019.
De plus, les attaques deviennent de plus en plus complexes. Les pirates ciblaient autrefois un seul vecteur, tel qu'un port de pare-feu, mais aujourd'hui, ils ciblent plusieurs vecteurs. Par exemple, un attaquant peut se connecter au réseau à partir d'un emplacement non reconnu, accéder au système Active Directory et modifier les privilèges d'un utilisateur, puis commencer à télécharger des données à partir d'un serveur. En soi, chacun de ces indicateurs peut être considéré comme de faux positifs par les systèmes qui les suivent, mais en réalité, ils font tous partie d'une seule attaque.
Dans cet environnement, les entreprises ont du mal à identifier et à corriger les attaques. L'approche traditionnelle consistant à collecter un groupe d'outils cloisonnés (tels que EDR, NTA, SIEM et UEBA) pour analyser le trafic dans les réseaux, les serveurs, les points de terminaison, le cloud et d'autres tranches de l'infrastructure de sécurité ne fonctionne tout simplement pas. Dans une enquête de 2020, Groupe de stratégie d'entreprise (ESG) ont constaté que 75 % des entreprises ont du mal à synthétiser les résultats de différents outils de sécurité pour déterminer les attaques. De plus, l'enquête montre que 75 % des entreprises ont déployé un ou plusieurs outils de sécurité qui n'ont pas tenu leurs promesses.
Enfin, il y a une lacune dans les compétences humaines. L'enquête d'ESG a montré que 75 % des entreprises ont un manque de compétences humaines - elles ne peuvent pas embaucher suffisamment d'analystes expérimentés pour prendre en charge les analyses et les opérations de sécurité.
Comment les outils relèvent les défis
SIEMs collecter des données à partir de nombreuses sources différentes, y compris les pare-feu, détection et réponse de réseau (NDR) systèmes, systèmes de détection et de réponse aux points de terminaison (EDR) et courtiers en sécurité des applications cloud (CASB). L'idée est bonne : qu'un seul outil collecte les données de toute la surface d'attaque et les agrège pour l'analyse, la détection et la réponse. Mais il y a des problèmes avec SIEM outils:
- Chaque outil en silo produit des données dans son propre format.
- De nombreuses tâches manuelles sont encore nécessaires, comme la transformation des données (y compris la fusion des données) pour créer un contexte pour les données, c'est-à-dire l'enrichissement avec des informations sur les menaces, l'emplacement, les actifs et/ou les utilisateurs.
- Il y a tellement de données que les analystes ont beaucoup de mal à repérer les attaques complexes.
- Les analystes ne peuvent pas voir les attaques complexes en raison du volume de données et de l'effort nécessaire pour corréler manuellement des détections distinctes. Un cerveau humain ne peut pas corréler plus de trois sources d'informations à la fois, il est donc difficile, voire impossible, de parcourir un flot d'informations.
Il n'est pas étonnant que même avec SIEMs au travail, de nombreuses entreprises mettent des semaines ou des mois pour identifier des attaques complexes : le temps moyen pour identifier une violation complexe est de plus de 200 jours. Les analystes de la sécurité sont inondés de faux positifs, ils ne peuvent donc pas voir les alligators dans le marais parce qu'ils sont dans l'eau jusqu'au cou et essaient juste de respirer.
XDR – Voir la forêt et tous les arbres
Si l'idée derrière SIEMs était la bonne en termes de collecte de données à travers l'infrastructure, XDR (Tout sur la détection et la réponse) est l'évolution de cette idée. L'idée est de s'assurer que toute la surface d'attaque peut être surveillée à partir d'une seule console.
XDR est une plate-forme d'opérations de sécurité cohérente avec une intégration étroite de nombreuses applications de sécurité sous un même tableau de bord pour corréler les événements en incidents significatifs sur toute la surface d'attaque. Un XDR ingère les données de SIEM, NDR, EDR, CASB, analyse du comportement de l'entité utilisateur (UEBA) et d'autres outils et, contrairement à un SIEM, normalise ces ensembles de données disparates dans un format commun. Le pool de données commun est facilement consultable afin que les analystes puissent analyser les alertes afin de détecter les causes profondes des attaques. De plus, XDR utilise également l'IA et l'apprentissage automatique pour corréler automatiquement les détections et émettre des alertes haute fidélité, réduisant considérablement les faux positifs.
Contrairement aux humains, les ordinateurs peuvent corréler un nombre illimité de points de données, donc en utilisant des données normalisées et des outils d'IA, XDR Elle peut identifier automatiquement les attaques complexes dans de nombreux cas, souvent en quelques minutes ou heures au lieu de plusieurs semaines ou mois. De plus, une intégration étroite avec des outils de sécurité cloisonnés permet XDR pour déclencher automatiquement des réponses aux alertes, comme le blocage d'un port de pare-feu.
Open XDR - Fabrication XDR Plus abordable
pont XDR plates-formes sur le marché sont des solutions à fournisseur unique qui s'appuient sur les EDR base et pare-feu. Entreprises optant pour un fournisseur unique XDR doivent donc abandonner leurs investissements existants dans l'outillage afin d'adopter XDRLa plupart des entreprises ont dépensé des millions pour acquérir et apprendre à utiliser leurs outils existants, elles sont donc réticentes à le faire.
Open XDR est un XDR variante compatible avec les outils de sécurité existants – n'importe quelle EDR et tout pare-feu. Il permet donc aux utilisateurs de conserver leurs investissements en matière de cybersécurité tout en les améliorant en agrégeant toutes leurs données, en détectant les attaques, en présentant des alertes haute fidélité de l'ensemble de l'infrastructure sous une seule interface et en répondant automatiquement dans de nombreux cas pour offrir une amélioration immédiate de l'ensemble posture de sécurité.
Par ailleurs, Open XDR plates-formes intégrer leurs propres ensembles de SIEM, NTA, UEBA et d'autres outils. Cela permet aux utilisateurs de supprimer certains de leurs outils existants au fil du temps, réduisant progressivement les coûts de licence et la complexité opérationnelle.
Conclusion
SIEM a été la base des opérations de sécurité pendant plusieurs années, mais il crée souvent plus de travail avec moins de résultats. Les analystes sont surchargés d'alertes, les données sont difficiles à normaliser et il est impossible d'embaucher suffisamment d'analystes pour répondre aux besoins.
En fournissant des détections rapides et claires à partir des systèmes existants avec des réponses automatisées, Open XDR les systèmes accélérer l'identification et la résolution des attaques tout en réduisant la charge des équipes d'analystes, ce qui permet d'améliorer la sécurité globale, des employés plus heureux, moins de perturbations et des coûts réduits.
Open XDR constitue le fondement du centre d'opérations de sécurité de nouvelle génération.
