Per anni ho sentito parlare dei vantaggi dell'inoltro e della raccolta dei log. Invia tutti i tuoi dati a un SIEM e il tuo programma di sicurezza sarà migliore e più maturo. In realtà, ogni CISO con cui ho parlato negli ultimi 5 anni si lamenta di SIEM e al di fuori degli scopi di conformità, il loro SIEM offre scarso valore. Alcuni nella comunità della sicurezza informatica sostengono, proprio come gli antivirus (AV) 10 anni fa, SIEM è morto! Francamente, nel suo stato attuale, sono d'accordo.
Alcuni di voi chiederanno: "Se SIEM è morto, cosa dovremmo fare?" Questa è la domanda da un milione di dollari. La mia risposta è Open XDR. Cosa fa Open XDR ha a che fare con il titolo del blog? Beh, normalmente penseresti che CIA sia sinonimo di Riservatezza, Integrità e Disponibilità (non Central Intelligence Agency). In questo caso, pensa a Correlazione, Integrazione e Automazione (se avessi potuto trovare un posto per V (visibilità), l'avrei fatto). Open XDR ti darà questo e molto di più!
Open XDR, per definizione, è un'estensione (X) di Rilevamento e Risposta. Pensa all'App Store che usi sul tuo iPhone. Quando hai acquistato quel telefono (pensa alla piattaforma), era dotato di alcune app preinstallate, e poi ne hai aggiunte altre da eseguire su quella piattaforma. Le foto che hai scattato e inviato via SMS, o caricato su Facebook, utilizzavano tutte una piattaforma comune. Open XDR è lo stesso concetto.
Stellar Cyber ha sviluppato il primo App Store per la sicurezza informatica. Cosa significa questo per te? Una piattaforma correlata, integrata e automatizzata che ti offre visibilità su tutti i tuoi set di strumenti di sicurezza. La piattaforma, in questo caso Starlight, ti consente di collegare le tue app (ad esempio endpoint, antivirus, firewall, proxy, ecc.) insieme alle app che forniamo (SIEM, SOAR, machine learning driven (ML)-IDS, malware, inganno, ecc.). Dietro le quinte, normalizziamo, arricchiamo, correliamo, forniamo rilevamenti e, in definitiva, risposte attive e automatizzate per mitigare tali rischi.
Cosa rende Starlight aperto? Innanzitutto, attraverso le API RESTful, possiamo integrarci con gli strumenti endpoint, i firewall e gli strumenti CASB esistenti ed estenderne il valore. Il valore dell'App Store strettamente integrato è consentire al tuo ecosistema di fornitori di lavorare meglio insieme, il che significa che Starlight può aiutarti a vedere eventi più rilevanti dopo l'integrazione e creare la tua soluzione su misura. Starlight lega app sia innate che integrate alla nostra tecnologia Interflow ™, che semplifica il rilevamento e l'indagine delle anomalie creando un contesto tra gli eventi. Interflow normalizza i dati di sicurezza condivisi tra applicazioni integrate e applicazioni di terze parti, guidando visibilità e controllo su un unico pannello di controllo tra i set di strumenti di sicurezza.
Inoltre, Stellar Cyber fornisce alla nostra comunità di utenti i mezzi per scrivere le proprie app, scrivere i propri parser, scrivere le proprie firme ML-IDS e condividere tutto con la comunità. Questo approccio comunitario aiuta tutti a migliorare la sicurezza e la maturità delle rispettive aziende.
Immagina un unico pannello di controllo che ti consenta di visualizzare (visibilità) tutti i tuoi controlli di sicurezza, di correlarli tra loro e di rispondere alle minacce. Questo si tradurrà in una minore proliferazione di strumenti di sicurezza, meno avvisi e tempi di risposta migliori. Questa correlazione e automazione, alimentate da eventi accurati e fruibili, riducono in definitiva il numero di analisti necessari per monitorare e gestire le tue operazioni di sicurezza. SIEM è morto! Lunga vita alla CIA
Autore: Dave Barton, CISO di Stellar Cyber
