Merci beaucoup MSSP utilisé SIEMs et d'autres solutions de gestion / agrégation / analyse de journaux pour la visibilité de la cybersécurité, mais l'analyse des journaux est-elle suffisante? Nous entendons de plus en plus parler de solutions de sécurité holistiques telles que XDR plates-formes qui prétendent couvrir toute la surface d'attaque, en particulier parce que la dernière attaque de pipeline a renforcé la nature complexe des cyberattaques sophistiquées en plusieurs étapes d'aujourd'hui. Les attaquants ont admis qu'ils ne s'attendaient pas à ce que leur attaque ferme le pipeline, mais le résultat a été dévastateur. Jetons un coup d'œil à ce que nous obtenons des journaux et à ce que nous n'obtenons pas des journaux.
Les journaux, de par leur nature même, sont une vision du passé. Ils nous donnent une visibilité sur l'activité des serveurs de fichiers et d'applications, des systèmes de gestion des utilisateurs comme Active Directory, des serveurs de messagerie et d'autres outils. Lorsque les journaux sont correctement corrélés et analysés, nous pouvons savoir quand des anomalies se produisent dans ces systèmes.
Mais qu'en est-il des attaques zero-day? S'il n'y a pas de réputation pour un fichier ransomware, comment le détectez-vous? La réponse est que vous ne pouvez pas tant qu'il n'a pas proliféré dans votre environnement au point où il est perceptible à travers plusieurs alertes APRÈS avoir infecté une partie importante de votre environnement.
Alors, comment gagner cette plus grande visibilité? Au lieu de simplement ingérer les journaux bruts, il nous faut d'abord réfléchir à la manière d'extraire les métadonnées de sécurité de ces journaux à partir de sources multiples. Ensuite, nous devons analyser ces données à l'aide de plusieurs flux de renseignements sur les menaces. Si aucun fichier n'est identifié par les services de renseignements sur les menaces, il est nécessaire de mettre en place un processus automatisé pour le partager avec un environnement de test isolé (sandbox). Une fois que l'environnement de test l'a classé, sa réputation doit être intégrée à l'événement. C'est pourquoi l'idée de XDR rassembler ces étapes en un tableau de bord unique devient un sujet brûlant - les attaques complexes ne sont pas faciles à voir avec des équipes et des outils cloisonnés.
À terme, cette automatisation simplifierait considérablement le flux de travail pour le SOC Les analystes pourraient se concentrer sur les événements corrélés au lieu d'attendre que les situations génèrent un nombre important d'alertes avant d'y prêter attention. Cela réduira considérablement le MTTD. Disposant des informations adéquates, ils pourront également agir rapidement, réduisant ainsi le MTTR.
Les journaux ont leur place dans la cybersécurité du point de vue de la conformité. Mais si vous comptez uniquement sur les journaux pour l'analyse et la correction, vous manquez une grande opportunité de tirer parti de l'automatisation et de la visibilité des outils et des détections pour améliorer votre posture de sécurité et réduire la possibilité d'une attaque qui pourrait affecter de manière significative vos opérations commerciales.
Vous pouvez constater comment les MSSP tirent parti de l'approche « Open » de Stellar Cyber. XDR générer des revenus à forte marge ici, ou contactez-moi directement brian@stellarcyber.ai.
