Negli ultimi mesi il XDR acronimo viene utilizzato da quasi tutti i produttori di prodotti per la sicurezza. Una cosa è dire che ce l'hai, ma il duro lavoro necessario per costruire i rilevamenti richiede anni. Non è sufficiente dire che hai una piattaforma di big data in cui puoi scaricare cose e cercare; sono necessari rilevamenti attuabili che portino a correlazioni significative. Ecco due cose fondamentali da considerare mentre guardi XDR.
Normalizzazione dei dati – Per ottenere la massima visibilità, la prima cosa da considerare sono i dati stessi. Ogni prodotto per la sicurezza presenta un modo diverso di presentare i propri registri e avvisi. Le soluzioni di rete, gli strumenti di sicurezza degli endpoint, i firewall, gli strumenti di identità, gli strumenti di sicurezza del cloud e molti altri hanno tutti i propri formati e frequenza di avviso. Ogni SIEM può memorizzare i registri da questi dispositivi: questa è la parte facile.
Il problema è che creare regole complesse e multidimensionali per stare al passo con l'attuale ritmo degli attacchi è quasi impossibile. Ad esempio, su un IDS potresti visualizzare fino a un milione di avvisi al giorno. Le regole di Suricata possono essere in grado di filtrare le vulnerabilità note fino a 200,000, ma da lì normalmente dovresti creare una serie di regole basate sulla tua conoscenza dell'ambiente del cliente.
Questo è un ambito in cui l'utilizzo del machine learning (ML) sui dati IDS può ridurre significativamente il numero di avvisi a una manciata gestibile. Invece di scrivere regole per rilevare le cose, è possibile sfruttare il ML per definire il comportamento normale su quella rete. Quando effettua normalmente l'accesso il cliente? Da dove effettua l'accesso? Per quanto tempo rimane normalmente connesso? Invece di 200,000 avvisi, i rilevamenti ML possono ridurre questo numero a una manciata. Vedere queste informazioni correlate tra tutti i tuoi strumenti di sicurezza è significativamente più veloce e semplice per il tuo SOC analista da gestire.
Integrazioni aperte – Inoltre, assicurarsi che il XDR piattaforma stai considerando è aprire. Poiché le tecnologie di sicurezza cambiano rapidamente nei prossimi anni, queste piattaforme ti aiuteranno a evitare il lock-in del fornitore. Questo ti aiuterà a mantenere la tua capacità di adattarti al mutevole panorama della sicurezza informatica e alle esigenze dei tuoi clienti.
A Stellar Cyber – pensiamo un'API-driven o Open XDR è la strada migliore da seguire – indipendentemente da dove provieni e quali strumenti esistenti utilizzi e indipendentemente da dove vuoi andare in termini di maturità della sicurezza. Per noi questo significa che aiutiamo a comporre una strategia che funzioni per te come azienda o per i tuoi clienti come MSSP, sfruttando gli investimenti che entrambi avete fatto. Contattami per una vivace discussione: ssalinas@stellarcyber.ai
