Evento di sicurezza e Piattaforme di gestione delle informazioni (SIEMs) raccogliere dati dai registri di sicurezza e, così facendo, dovrebbero identificare i punti ciechi, ridurre il rumore e l'affaticamento degli avvisi e semplificare il rilevamento e la risposta ad attacchi informatici complessi. Tuttavia, SIEMnon hanno mantenuto queste promesse. Ora, la nuova idea è XDR – quali sono i suoi vantaggi, e dovrebbe coesistere o sostituire a SIEM? Questo documento esplora l'attuale panorama della sicurezza informatica, come SIEM si inserisce in quel paesaggio, e come XDR Le piattaforme possono migliorare significativamente la visibilità, l'analisi e la risposta agli incidenti di sicurezza.
Il panorama della sicurezza
La cosa più ovvia del panorama della sicurezza odierno è che le minacce sono in aumento:
- Secondo Accenture, il 68% dei dirigenti d'azienda si sentiva rischi per la sicurezza informatica erano in aumento nel 2020.
- Risk Based ha riferito che le violazioni dei dati hanno esposto 36 miliardi di record durante la prima metà del 2020.
- Proofpoint ha rilevato che l'88% delle organizzazioni mondiali ha subito attacchi di spear phishing nel 2019.
Inoltre, gli attacchi stanno diventando più complessi. Un tempo gli hacker prendevano di mira un singolo vettore, come una porta firewall, ma oggi prendono di mira più vettori. Ad esempio, un utente malintenzionato potrebbe accedere alla rete da una posizione non riconosciuta, accedere al sistema Active Directory e modificare i privilegi di un utente, quindi iniziare a scaricare dati da un server. Di per sé, ciascuno di questi indicatori potrebbe essere visto come un falso positivo dai sistemi che li tracciano, ma in realtà fanno tutti parte di un singolo attacco.
In questo ambiente, le aziende stanno lottando per identificare e rimediare agli attacchi. L'approccio tradizionale di raccolta di un gruppo di strumenti in silos (come EDR, NTA, SIEM e UEBA) per analizzare il traffico in reti, server, endpoint, cloud e altre sezioni dell'infrastruttura di sicurezza semplicemente non funziona. In un sondaggio del 2020, Gruppo di strategia aziendale (ESG) ha rilevato che il 75% delle aziende ha difficoltà a sintetizzare i risultati di diversi strumenti di sicurezza per determinare gli attacchi. Inoltre, il sondaggio mostra che il 75% delle aziende ha implementato uno o più strumenti di sicurezza che non sono stati all'altezza delle loro promesse.
Infine, c'è una lacuna nelle competenze delle persone. Il sondaggio di ESG ha mostrato che il 75% delle aziende ha un gap di competenze delle persone: non può assumere analisti esperti sufficienti per supportare l'analisi e le operazioni di sicurezza.
Come gli strumenti affrontano le sfide
SIEMs raccogliere dati da molte fonti diverse, inclusi firewall, rilevamento e risposta di rete (NDR) sistemi, sistemi di rilevamento e risposta degli endpoint (EDR) e broker di sicurezza delle applicazioni cloud (CASB). L'idea è buona: che un singolo strumento raccolga dati da tutta la superficie di attacco e li aggrega per l'analisi, il rilevamento e la risposta. Ma ci sono problemi con SIEM Strumenti:
- Ogni strumento in silos produce dati nel proprio formato.
- Sono ancora necessarie molte attività manuali, come la trasformazione dei dati (compresa la fusione dei dati) per creare un contesto per i dati, ad esempio l'arricchimento con informazioni sulle minacce, posizione, risorsa e/o utente.
- Ci sono così tanti dati che gli analisti hanno grandi difficoltà a individuare attacchi complessi.
- Gli analisti non possono vedere attacchi complessi a causa del volume di dati e dello sforzo necessario per correlare manualmente i rilevamenti separati. Un cervello umano non può correlare più di tre fonti di informazioni alla volta, quindi è difficile o impossibile guadare una marea di informazioni.
Non c'è da meravigliarsi che anche con SIEMs sul lavoro, molte aziende impiegano settimane o mesi per identificare attacchi complessi: il tempo medio per identificare una violazione complessa è di oltre 200 giorni. Gli analisti della sicurezza sono inondati di falsi positivi, quindi non possono vedere gli alligatori nella palude perché sono immersi fino al collo nell'acqua e cercano solo di respirare.
XDR – Vedere la foresta e tutti gli alberi
Se l'idea dietro SIEMs era quello giusto in termini di raccolta di dati da tutta l'infrastruttura, XDR (Rilevamento e risposta di tutto) è l'evoluzione di quell'idea. L'idea è quella di garantire che l'intera superficie di attacco possa essere monitorata da un'unica console.
XDR è una piattaforma coerente per le operazioni di sicurezza con una stretta integrazione di molte applicazioni di sicurezza in un'unica dashboard per correlare gli eventi in incidenti significativi sull'intera superficie di attacco. Un XDR piattaforma acquisisce dati da SIEM, NDR, EDR, CASB, analisi del comportamento dell'entità utente (UEBA) e altri strumenti e, a differenza di a SIEM, normalizza questi diversi set di dati in un formato comune. Il pool di dati comune è facilmente ricercabile in modo che gli analisti possano approfondire gli avvisi per rilevare le cause alla radice degli attacchi. Inoltre, XDR utilizza anche l'intelligenza artificiale e l'apprendimento automatico per correlare automaticamente i rilevamenti ed emettere avvisi ad alta fedeltà, riducendo significativamente i falsi positivi.
A differenza degli esseri umani, i computer possono correlare un numero illimitato di punti dati, quindi utilizzando dati normalizzati e Strumenti di intelligenza artificiale, XDR può identificare automaticamente attacchi complessi in molti casi, spesso in minuti o ore anziché settimane o mesi. Inoltre, la stretta integrazione con strumenti di sicurezza isolati consente XDR per attivare automaticamente le risposte agli avvisi, ad esempio bloccando una porta del firewall.
Open XDR - Fabbricazione XDR Più accessibile
ponte XDR piattaforme sul mercato sono soluzioni di un unico fornitore che si basano sul EDR base e firewall. Aziende che optano per il fornitore unico XDR devono quindi abbandonare i loro investimenti in strumenti esistenti per adottare XDRLa maggior parte delle aziende ha speso milioni per acquisire e imparare a utilizzare gli strumenti esistenti, quindi sono riluttanti a farlo.
Open XDR offre XDR variante che funziona con gli strumenti di sicurezza esistenti – qualsiasi EDR e qualsiasi firewall. Consente quindi agli utenti di mantenere i loro investimenti in sicurezza informatica migliorandoli aggregando tutti i loro dati, rilevando attacchi, presentando avvisi ad alta fedeltà da tutta l'infrastruttura sotto un'unica interfaccia e rispondendo automaticamente in molti casi per fornire un miglioramento immediato nel complesso posizione di sicurezza.
Inoltre, Open XDR piattaforme integrare i propri set di SIEM, NTA, UEBA e altri strumenti. Ciò consente agli utenti di abbandonare nel tempo alcuni degli strumenti esistenti, riducendo gradualmente i costi di licenza e la complessità operativa.
Conclusione
SIEM è stata la base delle operazioni di sicurezza per diversi anni, ma spesso crea più lavoro con meno risultati. Gli analisti sono sovraccarichi di masse di avvisi, i dati sono difficili da normalizzare ed è impossibile assumere un numero sufficiente di analisti per soddisfare le esigenze.
Fornendo rilevamenti rapidi e chiari dai sistemi esistenti con risposte automatizzate, Open XDR di riferimento velocizza l'identificazione e la risoluzione degli attacchi riducendo al contempo l'onere per i team di analisti, portando a una migliore sicurezza complessiva, dipendenti più felici, meno interruzioni e costi inferiori.
Open XDR è il fondamento del Security Operations Center di nuova generazione.
