Questions-réponses avec le PDG et cofondateur Changming Liu
Ans: SIEMLes systèmes d'information constituent le fondement des opérations de sécurité depuis des décennies, et nous devons le reconnaître. Cependant, SIEMDe nombreuses promesses ont été faites, mais à ce jour, beaucoup n'ont pas été tenues, notamment la vision d'une corrélation automatique et holistique des détections. C'est le problème clé que nous nous efforçons de résoudre chez Stellar Cyber avec notre solution. Open XDR
SIEMs – DES PROMESSES VIDES ?
SIEMLes systèmes d'information constituent le fondement des opérations de sécurité depuis des décennies, et il convient de le reconnaître. Cependant, SIEMIls ont fait beaucoup de belles promesses, et à ce jour, ils n'en ont pas tenu beaucoup…
Q. Clarifions cette affirmation. Quand vous parlez de corrélation des détections, qu'entendez-vous par là et pourquoi ne peut-on pas… SIEMet le faire ?
Ans: Les détections sont des événements qui semblent anormaux ou malveillants. Et le problème aujourd'hui dans un centre d'opérations de sécurité moderne (SOCLe problème est que les détections peuvent provenir de nombreux outils cloisonnés. Par exemple, vous disposez d'un pare-feu et d'un système de détection et de réponse réseau (NDR) pour la protection de votre réseau, d'un système de détection et de réponse des terminaux (EDR) pour la protection de vos terminaux et d'un courtier de sécurité des applications cloud (CASB) pour vos applications SaaS. La difficulté réside dans la corrélation de ces détections pour obtenir une vision d'ensemble, car les pirates utilisent désormais des techniques plus complexes pour accéder à vos applications et à vos données, ce qui accroît la surface d'attaque. Votre équipe constate soit de faux positifs, soit une incapacité à analyser ces détections et à distinguer les informations critiques des informations superflues. L'objectif principal de SIEMs consiste à collecter et à agréger des données telles que les journaux provenant de différents outils et applications pour la visibilité des activités et l'enquête sur les incidents.
Cela dit, il reste encore beaucoup de tâches manuelles nécessaires, comme la transformation des données, y compris la fusion des données pour créer un contexte pour les données, c'est-à-dire l'enrichissement avec des informations sur les menaces, l'emplacement, les actifs et / ou les informations utilisateur.
Q. Revenons donc au titre, pourquoi est-ce si important pour les professionnels de la sécurité?
Ans: Prenons l'exemple du cabinet d'analystes Gartner. Lors de leur sommet sur la sécurité, la deuxième tendance – parmi les sept principales tendances en matière de sécurité et de risques pour 2020 – est un regain d'intérêt pour la mise en œuvre ou la maturation des systèmes de sécurité. SOCavec un accent sur la détection et la réponse aux menaces. Ils notent en outre : « En réponse à la pénurie croissante de compétences en sécurité et aux tendances des attaquants, la détection et la réponse étendues (XDR« Des outils, l’apprentissage automatique (ML) et les capacités d’automatisation émergent pour améliorer la productivité des opérations de sécurité et la précision de la détection. »
Q. C'est révélateur, mais prenons un peu de recul et expliquons plus en détail pourquoi. XDR est nouveau, et ne se limite pas à une simple interface autour d'un outil existant.
Ans: XDR est une plateforme d'opérations de sécurité cohérente, intégrant étroitement de nombreuses applications de sécurité sur une seule plateforme. SIEM est l'une des nombreuses applications nativement prises en charge et fonctionne avec d'autres, notamment l'analyse comportementale des utilisateurs et des entités (UBA et EBA), l'analyse du trafic réseau (NTA) et l'analyse du trafic des pare-feu (FTA), le renseignement sur les menaces, etc. Chez Stellar Cyber, nous définissons Open XDR en se concentrant sur la détection automatique des menaces et la réponse aux incidents en corrélant les événements de sécurité provenant de nombreux outils de sécurité. Ce sont là les principaux défis. SIEM-uniquement des produits, ce qui en fait l'outil principal pour la gestion des journaux et la conformité.
Q. Qu'en est-il de l'architecture? Dans quelle mesure cela est-il important pour l'acheteur?
Ans: Open XDR Développée à l'aide d'une nouvelle architecture et de services natifs du cloud, notamment une architecture basée sur des microservices avec conteneurs et clustering, cette solution offre une grande flexibilité de déploiement et des performances évolutives. Son moteur de recherche basé sur Lucene permet d'obtenir des informations en quelques secondes, contre plusieurs heures ou jours auparavant. SIEMLes produits sont exclusivement dédiés à l'analyse de données massives. Ce même logiciel peut être déployé sur site avec des appliances physiques renforcées, des machines virtuelles, ou dans un cloud privé ou public, offrant une évolutivité horizontale et une haute disponibilité essentielles à l'analyse de données massives sur un lac de données ouvert. Ces caractéristiques sont également cruciales face à l'augmentation constante des volumes de données et à l'exigence de conformité zéro perte de données.
Q. Que disent les autres analystes?
Ans: Forrester, ESG, IDC et Omdia affirment tous qu'il existe des silos et des lacunes dans le secteur actuel. SOCLes outils doivent analyser les détections sur l'ensemble du réseau, du cloud, des terminaux et des utilisateurs. Tous les analystes évoquent l'idée de corrélations entre ces domaines comme un véritable indicateur de XDR capacité. Par exemple, votre SIEM Vous constatez un journal indiquant qu'un utilisateur a accédé à SQL à une heure inhabituelle, votre outil NTA vous signale que le trafic est envoyé hors de votre pays, et votre outil UBA vous indique qu'en outre, l'utilisateur n'utilise généralement pas cette application à ces heures-là ni à ces débits de données. Ceci dessine le tableau d'une attaque complexe, mais des outils cloisonnés nécessitent une intervention manuelle pour en tirer la conclusion. XDR Les systèmes peuvent automatiquement dresser ce tableau grâce à l'IA/ML.
Q. Comment aideriez-vous ceux qui apprennent à XDR présélectionner les entreprises et prendre les bonnes décisions ?
Ans: C'est essentiel, et nous pensons qu'il existe cinq exigences fondamentales principales. XDR:
- Centralisation de normalisée et enrichi des données provenant de diverses sources de données, notamment les journaux, le trafic réseau, les applications, le cloud, Threat Intelligence, etc.
- Détection automatique d'événements de sécurité à partir des données collectées avec des analyses avancées telles que NTA, UBA et EBA
- Corrélation des événements de sécurité individuels dans une vue de haut niveau.
- Capacité de réponse centralisée qui interagit avec les produits de sécurité individuels.
- Architecture de micro-services cloud native pour la flexibilité de déploiement, l'évolutivité et la haute disponibilité.
Et en plus pour Stellar Cyber, l'idée de Open XDR signifie que nous avons un écosystème ouvert pour vous assurer de tirer parti de vos outils de sécurité existants et de vos meilleures pratiques. Nous pensons que nous réduisons les risques sans interruption et améliorons la fidélité de tous vos outils existants.
Donc, plutôt que d'être juste un outil comme un SIEM, Stellar Cyber's Open XDR Il met en corrélation les données provenant de nombreux outils différents, y compris sa propre suite d'outils intégrée et les outils existants, afin de produire des alertes plus fiables, de réduire les faux positifs et de dynamiser la productivité des analystes.
