Molti MSSP uso SIEMs e altre soluzioni di gestione / aggregazione / analisi dei log per la visibilità della sicurezza informatica, ma l'analisi dei log è sufficiente? Sentiamo sempre di più parlare di soluzioni di sicurezza olistiche come XDR piattaforme che pretendono di coprire l'intera superficie di attacco, soprattutto perché l'ultimo attacco alla pipeline ha rafforzato la natura composta dei sofisticati attacchi informatici multistadio di oggi. Gli aggressori hanno ammesso che non si aspettavano che il loro attacco chiudesse il gasdotto, ma il risultato è stato devastante. Diamo una rapida occhiata a cosa otteniamo dai log e cosa non otteniamo dai log.
I tronchi per loro stessa natura sono una visione del passato. Ci danno visibilità sull'attività dei file e dei server delle applicazioni, dei sistemi di gestione degli utenti come Active Directory, dei server di posta elettronica e di altri strumenti. Quando i log sono adeguatamente correlati e analizzati, possiamo sapere quando si verificano anomalie in questi sistemi.
Ma per quanto riguarda gli attacchi zero-day? Se non c'è reputazione per un file ransomware, come lo rilevi? La risposta è che non puoi fino a quando non è proliferato nel tuo ambiente al punto da essere visibile attraverso più avvisi DOPO che ha infettato una parte significativa del tuo ambiente.
Allora, come si ottiene questa maggiore visibilità? Innanzitutto, invece di limitarci ad acquisire log grezzi, dobbiamo valutare come estrarre i metadati di sicurezza da tali log provenienti da più fonti. Successivamente, dobbiamo analizzare tali dati tramite più feed di threat intelligence. Se non viene rilevato alcun riscontro sul file da parte di threat intelligence, è necessario un modo automatizzato per condividere il file con una sandbox. Una volta che la sandbox lo classifica, la reputazione deve essere inclusa nell'evento. Ecco perché l'idea di XDR riunendo questi passaggi in un cruscotto singolo sta diventando un argomento così caldo: gli attacchi complessi non sono facili da vedere con team e strumenti in silos.
In definitiva, questa automazione semplificherebbe notevolmente il flusso di lavoro per l' SOC analista. Potrebbero concentrarsi su eventi correlati invece di aspettare che le situazioni generino un numero significativo di avvisi prima di attirare la loro attenzione. Ciò ridurrà significativamente l'MTTD. Dotati delle giuste informazioni, possono anche agire rapidamente, riducendo MTTR.
I registri hanno il loro posto nella sicurezza informatica dal punto di vista della conformità. Ma se ti affidi solo ai log per l'analisi e la riparazione, perdi una grande opportunità per sfruttare l'automazione e la visibilità su strumenti e rilevamenti per migliorare la tua posizione di sicurezza e ridurre la possibilità di un attacco che potrebbe influire in modo significativo sulle operazioni aziendali.
Puoi vedere come gli MSSP stanno sfruttando "Open" di Stellar Cyber XDR per generare ricavi ad alto margine Qui.oppure contattami direttamente brian@stellarcyber.ai.
