Banyak MSSP (Persatuan Pelajar Swasta) menggunakan SIEMs dan solusi manajemen/agregasi/analisis log lainnya untuk visibilitas keamanan siber, tetapi apakah analisis log cukup? Kita semakin banyak mendengar tentang solusi keamanan holistik seperti XDR platform yang mengklaim dapat mencakup seluruh permukaan serangan, terutama karena serangan jaringan pipa terbaru memperkuat sifat gabungan dari serangan siber multi-tahap yang canggih saat ini. Para penyerang mengakui bahwa mereka tidak menduga serangan mereka akan mematikan jaringan pipa, tetapi hasilnya sangat menghancurkan. Mari kita lihat sekilas apa yang kita dapatkan dari log, dan apa yang tidak kita dapatkan dari log.
Log pada hakikatnya adalah pandangan ke masa lalu. Log memberi kita visibilitas ke aktivitas server file dan aplikasi, sistem manajemen pengguna seperti Active Directory, server email, dan alat lainnya. Jika log dikorelasikan dan dianalisis dengan benar, kita dapat mengetahui kapan anomali terjadi dalam sistem ini.
Namun, bagaimana dengan serangan zero-day? Jika file ransomware tidak memiliki reputasi, bagaimana cara mendeteksinya? Jawabannya adalah Anda tidak dapat mendeteksinya hingga ransomware tersebut berkembang biak di lingkungan Anda hingga terlihat melalui beberapa peringatan SETELAH menginfeksi sebagian besar lingkungan Anda.
Jadi, bagaimana kita memperoleh visibilitas yang lebih besar ini? Pertama, alih-alih hanya memasukkan log mentah, kita perlu mempertimbangkan bagaimana cara mengekstrak metadata keamanan dari log tersebut dari berbagai sumber. Selanjutnya, kita perlu menjalankan data tersebut melalui berbagai umpan intelijen ancaman. Jika tidak ada kecocokan pada file tersebut dari intelijen ancaman, perlu ada cara otomatis untuk membagikan file tersebut dengan sandbox. Setelah sandbox mengklasifikasikannya, reputasi tersebut perlu disertakan dalam peristiwa tersebut. Inilah mengapa idenya adalah... XDR menggabungkan langkah-langkah ini menjadi sebuah dashboard tunggal menjadi topik yang hangat – serangan yang kompleks tidak mudah terlihat dengan tim dan alat yang terisolasi.
Pada akhirnya, otomatisasi ini akan secara signifikan menyederhanakan alur kerja bagi SOC analis. Mereka dapat fokus pada peristiwa yang berkorelasi alih-alih menunggu situasi menghasilkan sejumlah besar peringatan sebelum menarik perhatian mereka. Ini akan secara signifikan mengurangi MTTD. Dengan informasi yang tepat, mereka juga dapat bertindak cepat, mengurangi MTTR.
Log memiliki perannya dalam keamanan siber dari perspektif kepatuhan. Namun, jika Anda hanya mengandalkan log untuk analisis dan perbaikan, Anda kehilangan peluang besar untuk memanfaatkan otomatisasi dan visibilitas di seluruh alat dan deteksi guna meningkatkan postur keamanan Anda dan mengurangi kemungkinan serangan yang dapat memengaruhi operasi bisnis Anda secara signifikan.
Anda dapat melihat bagaimana MSSP memanfaatkan “Keterbukaan” Stellar Cyber. XDR untuk mendorong pendapatan dengan margin tinggi di sini, atau hubungi saya langsung brian@stellarcyber.ai.
