Merci beaucoup MSSP utilisé SIEM et d'autres solutions de gestion / agrégation / analyse de journaux pour la visibilité de la cybersécurité, mais l'analyse des journaux est-elle suffisante? Nous entendons de plus en plus parler de solutions de sécurité holistiques telles que Plates-formes XDR qui prétendent couvrir toute la surface d'attaque, en particulier parce que la dernière attaque de pipeline a renforcé la nature complexe des cyberattaques sophistiquées en plusieurs étapes d'aujourd'hui. Les attaquants ont admis qu'ils ne s'attendaient pas à ce que leur attaque ferme le pipeline, mais le résultat a été dévastateur. Jetons un coup d'œil à ce que nous obtenons des journaux et à ce que nous n'obtenons pas des journaux.
Les journaux, de par leur nature même, sont une vision du passé. Ils nous donnent une visibilité sur l'activité des serveurs de fichiers et d'applications, des systèmes de gestion des utilisateurs comme Active Directory, des serveurs de messagerie et d'autres outils. Lorsque les journaux sont correctement corrélés et analysés, nous pouvons savoir quand des anomalies se produisent dans ces systèmes.
Mais qu'en est-il des attaques zero-day? S'il n'y a pas de réputation pour un fichier ransomware, comment le détectez-vous? La réponse est que vous ne pouvez pas tant qu'il n'a pas proliféré dans votre environnement au point où il est perceptible à travers plusieurs alertes APRÈS avoir infecté une partie importante de votre environnement.
Alors, comment gagner cette plus grande visibilité? Tout d'abord, au lieu de simplement ingérer des journaux bruts, nous devons examiner comment extraire les métadonnées de sécurité de ces journaux à partir de plusieurs sources. Ensuite, nous devons exécuter ces données au-delà de plusieurs flux d'informations sur les menaces. S'il n'y a pas de hit sur le fichier à partir des renseignements sur les menaces, il doit y avoir un moyen automatisé de partager ce fichier avec un bac à sable. Une fois que le bac à sable l'a classé, cette réputation doit être incluse dans l'événement. C'est pourquoi l'idée de XDR rassemblant ces étapes en un tableau de bord unique devient un sujet brûlant - les attaques complexes ne sont pas faciles à voir avec des équipes et des outils cloisonnés.
En fin de compte, cette automatisation simplifierait considérablement le flux de travail pour l'analyste SOC. Ils pourraient se concentrer sur des événements corrélés au lieu d'attendre que les situations génèrent un nombre important d'alertes avant qu'elles n'attirent leur attention. Cela réduira considérablement le MTTD. Munis des bonnes informations, ils peuvent également agir rapidement, réduisant ainsi le MTTR.
Les journaux ont leur place dans la cybersécurité du point de vue de la conformité. Mais si vous comptez uniquement sur les journaux pour l'analyse et la correction, vous manquez une grande opportunité de tirer parti de l'automatisation et de la visibilité des outils et des détections pour améliorer votre posture de sécurité et réduire la possibilité d'une attaque qui pourrait affecter de manière significative vos opérations commerciales.
Vous pouvez voir comment les MSSP exploitent le XDR «ouvert» de Stellar Cyber pour générer des revenus à marge élevée ici, ou contactez-moi directement brian@stellarcyber.ai.
