Sesi Tanya Jawab dengan CEO dan Pendiri Bersama Changming Liu
Jawab: SIEMtelah menjadi dasar operasi keamanan selama beberapa dekade, dan kita harus mengakui hal itu. Namun, SIEMBanyak janji besar telah dibuat, dan hingga hari ini, banyak di antaranya belum terpenuhi, khususnya visi korelasi otomatis deteksi secara holistik. Inilah masalah utama yang kami upayakan untuk atasi di Stellar Cyber dengan solusi kami. Open XDR Platform
SIEMs – JANJI KOSONG?
SIEMTeknologi telah menjadi dasar operasi keamanan selama beberapa dekade, dan hal itu harus diakui. Namun, SIEMMereka telah membuat banyak janji besar, dan hingga hari ini, belum banyak yang terpenuhi…
T: Mari kita klarifikasi klaim tersebut. Ketika Anda mengatakan korelasi deteksi, apa yang Anda maksud dan mengapa tidak bisa? SIEMApakah kamu melakukannya?
Jawab: Deteksi adalah suatu peristiwa yang tampak anomali atau berbahaya. Dan masalah yang dihadapi pusat operasi keamanan modern saat ini (SOCSalah satu masalahnya adalah deteksi dapat muncul dari banyak alat yang terpisah. Misalnya, Anda memiliki firewall dan deteksi dan respons jaringan (NDR) untuk perlindungan jaringan Anda, Deteksi dan Respons Titik Akhir (EDR) untuk perlindungan titik akhir Anda, dan Cloud Application Security Broker (CASB) untuk aplikasi SaaS Anda. Mengkorelasikan deteksi-deteksi tersebut untuk mendapatkan gambaran yang lebih besar adalah masalahnya, karena peretas sekarang menggunakan teknik yang lebih kompleks untuk mengakses aplikasi dan data Anda dengan permukaan serangan yang lebih luas. Tim Anda mungkin mengklaim adanya false positive atau ketidakmampuan untuk melihat melalui deteksi-deteksi ini dan memahami apa yang penting versus noise. Tujuan utama dari SIEMTujuannya adalah untuk mengumpulkan dan menggabungkan data seperti log dari berbagai alat dan aplikasi untuk visibilitas aktivitas dan investigasi insiden.
Meski demikian, masih banyak tugas manual yang diperlukan, seperti transformasi data termasuk penggabungan data untuk membuat konteks bagi data, yaitu pengayaan dengan intelijen ancaman, lokasi, aset dan/atau informasi pengguna.
T. Jadi mari kita kembali ke judulnya, mengapa ini sangat penting bagi profesional keamanan?
Jawab: Mari kita ambil contoh firma analis, Gartner. Untuk Security Summit mereka, tren nomor 2 — dari 7 Tren Keamanan dan Risiko Teratas untuk tahun 2020 — adalah minat yang diperbarui dalam mengimplementasikan atau mematangkan SOCdengan fokus pada deteksi dan respons ancaman. Mereka lebih lanjut mencatat, “Sebagai tanggapan terhadap kesenjangan keterampilan keamanan yang semakin meningkat dan tren penyerang, deteksi dan respons yang diperluas (XDRBerbagai alat, pembelajaran mesin (ML), dan kemampuan otomatisasi bermunculan untuk meningkatkan produktivitas operasi keamanan dan akurasi deteksi.
T: Itu sangat informatif, tetapi mari kita mundur selangkah dan menjelaskan lebih lanjut mengapa. XDR Ini adalah hal baru, dan bukan sekadar pembungkus pada alat yang sudah ada.
Jawab: XDR adalah platform operasi keamanan yang terpadu dengan integrasi erat dari banyak aplikasi keamanan dalam satu platform. SIEM adalah salah satu dari banyak aplikasi yang didukung secara native dan bekerja dengan aplikasi lain, termasuk Analisis Perilaku Pengguna dan Entitas (UBA & EBA), Analisis Lalu Lintas Jaringan (NTA) dan Analisis Lalu Lintas Firewall (FTA), intelijen ancaman, dll. Di Stellar Cyber, kami mendefinisikan Open XDR dengan berfokus pada deteksi ancaman otomatis dan kasus penggunaan respons insiden dengan mengkorelasikan peristiwa keamanan dari berbagai alat keamanan. Ini adalah tantangan utama yang dihadapi. SIEM-hanya produk, yang menjadikannya alat utama untuk manajemen log dan kepatuhan.
T. Bagaimana dengan arsitektur? Seberapa pentingkah hal itu bagi pembeli?
Jawab: Open XDR Dikembangkan menggunakan arsitektur dan layanan cloud-native baru, termasuk arsitektur berbasis microservices dengan container dan clustering. Sangat fleksibel dalam hal deployment, skalabel dalam hal performa, dan dipadukan dengan mesin pencari berbasis Lucene untuk mempercepat pencarian informasi – dalam hitungan detik, bukan jam atau hari seperti yang terlihat pada banyak platform lainnya. SIEM-hanya produk. Perangkat lunak yang sama dapat diimplementasikan secara on-premises dengan perangkat fisik yang tangguh, mesin virtual, cloud pribadi atau publik dengan skalabilitas horizontal dan kemampuan ketersediaan tinggi yang menjadi kunci analitik big data yang berjalan di data lake terbuka. Karakteristik ini juga sangat penting untuk volume data yang terus meningkat dan persyaratan kepatuhan terhadap zero data loss (nol kehilangan data).
T. Apa kata analis lainnya?
Jawab: Forrester, ESG, IDC, dan Omdia semuanya mengatakan ada sekat dan kesenjangan dalam sistem saat ini. SOCAlat-alat tersebut perlu mempertimbangkan deteksi di seluruh jaringan, cloud, titik akhir, dan pengguna. Semua analis membicarakan gagasan korelasi di seluruh area ini sebagai indikator yang akurat. XDR kemampuan. Sebagai contoh, Anda SIEM Jika Anda melihat log yang menunjukkan bahwa pengguna telah mengakses SQL pada waktu yang tidak lazim, alat NTA Anda memberi tahu Anda bahwa pengguna tersebut mengirimkan lalu lintas ke luar negara Anda, dan alat UBA Anda memberi tahu Anda bahwa, selain itu, pengguna tersebut biasanya tidak menggunakan aplikasi ini pada waktu atau kecepatan data tersebut. Ini menggambarkan serangan yang kompleks, namun alat-alat yang terpisah membutuhkan intervensi manual untuk menarik kesimpulan. Saat ini XDR Sistem dapat melukiskan gambaran ini secara otomatis melalui AI/ML.
T: Bagaimana Anda akan membantu mereka yang sedang belajar tentang XDR untuk menyeleksi perusahaan dan membuat keputusan yang tepat?
Jawab: Ini kuncinya, dan kami pikir ada lima persyaratan dasar utama dari XDR:
- Sentralisasi dinormalisasi ke diperkaya data dari berbagai sumber data termasuk log, lalu lintas jaringan, aplikasi, cloud, Threat Intelligence, dll.
- Deteksi otomatis peristiwa keamanan dari data yang dikumpulkan dengan analitik tingkat lanjut seperti NTA, UBA dan EBA
- Korelasi peristiwa keamanan individual ke dalam tampilan tingkat tinggi.
- Kemampuan respons terpusat yang berinteraksi dengan produk keamanan individual.
- Arsitektur layanan mikro berbasis cloud untuk fleksibilitas penerapan, skalabilitas, dan ketersediaan tinggi.
Dan juga untuk Stellar Cyber, idenya adalah Open XDR berarti kami memiliki ekosistem terbuka untuk memastikan Anda memanfaatkan alat keamanan dan praktik terbaik yang ada. Kami yakin kami mengurangi risiko tanpa gangguan, dan meningkatkan kesetiaan semua alat yang ada.
Jadi, bukan hanya menjadi satu alat seperti SIEM, Cyber Stellar Open XDR Menggabungkan masukan dari berbagai alat yang berbeda, termasuk perangkat terintegrasi miliknya sendiri dan alat-alat yang sudah ada, untuk menghasilkan peringatan dengan akurasi lebih tinggi, mengurangi kesalahan positif palsu, dan meningkatkan produktivitas analis.
