Domande e risposte con il CEO e il co-fondatore Changming Liu
Ans: SIEMsono stati il fondamento delle operazioni di sicurezza per decenni, e dovremmo riconoscerlo. Tuttavia, SIEMAbbiamo fatto molte grandi promesse e, fino ad oggi, non ne abbiamo mantenute molte, in particolare la visione della correlazione automatica delle rilevazioni in modo olistico. Questo è il problema chiave che cerchiamo di affrontare in Stellar Cyber con i nostri Open XDR piattaforma
SIEMs – PROMESSE VUOTE?
SIEMsono stati il fondamento delle operazioni di sicurezza per decenni, e questo dovrebbe essere riconosciuto. Tuttavia, SIEMhanno fatto molte grandi promesse e, fino ad oggi, non ne hanno mantenute molte...
D. Chiariamo questa affermazione. Quando parli di correlazione delle rilevazioni, cosa intendi e perché non puoi... SIEMlo facciamo?
Ans: I rilevamenti sono eventi che sembrano anomali o dannosi. E il problema oggi in un moderno centro operativo di sicurezza (SOC) è che i rilevamenti possono provenire da molti strumenti isolati. Ad esempio, hai firewall e rilevamento e risposta di rete (NDR) per la protezione della tua rete, rilevamento e risposta di endpoint (EDR) per la protezione dei tuoi endpoint e Cloud Application Security Broker (CASB) per le tue applicazioni SaaS. Il problema è correlare questi rilevamenti per tracciare un quadro più ampio, poiché gli hacker ora utilizzano tecniche più complesse per accedere alle tue applicazioni e ai tuoi dati con superfici di attacco maggiori. Il tuo team afferma di avere falsi positivi o di non essere in grado di vedere attraverso questi rilevamenti e di capire cosa è critico rispetto al rumore. Lo scopo principale di SIEMconsiste nel raccogliere e aggregare dati quali registri provenienti da diversi strumenti e applicazioni per la visibilità delle attività e l'indagine sugli incidenti.
Detto questo, sono ancora necessarie molte attività manuali, come la trasformazione dei dati, inclusa la fusione dei dati, per creare un contesto per i dati, ovvero l'arricchimento con informazioni sulle minacce, posizione, risorse e / o utenti.
D. Quindi torniamo al titolo, perché è così fondamentale per i professionisti della sicurezza?
Ans: Prendiamo come esempio la società di analisi Gartner. Per il loro Security Summit, la seconda tendenza – tra le 7 principali tendenze in materia di sicurezza e rischio per il 2020 – è un rinnovato interesse nell'implementazione o nel perfezionamento di SOCcon un focus sul rilevamento e la risposta alle minacce. Notano inoltre: "In risposta al crescente divario di competenze in materia di sicurezza e alle tendenze degli aggressori, è necessario un rilevamento e una risposta estesi (XDR) stanno emergendo strumenti, apprendimento automatico (ML) e capacità di automazione per migliorare la produttività delle operazioni di sicurezza e la precisione del rilevamento."
D. Questo è significativo, ma facciamo un passo indietro e spieghiamo meglio perché XDR è una novità e non è solo un wrapper per uno strumento esistente.
Ans: XDR è una piattaforma operativa di sicurezza coesa con una stretta integrazione di numerose applicazioni di sicurezza su un'unica piattaforma. SIEM è una delle tante applicazioni supportate nativamente e funziona con le altre, tra cui l'analisi del comportamento degli utenti e delle entità (UBA ed EBA), l'analisi del traffico di rete (NTA) e l'analisi del traffico del firewall (FTA), l'intelligence sulle minacce, ecc. In Stellar Cyber, definiamo Open XDR concentrandosi sul rilevamento automatico delle minacce e sui casi d'uso di risposta agli incidenti correlando gli eventi di sicurezza da molti strumenti di sicurezza. Queste sono le principali sfide con SIEM-prodotti esclusivi, che li rendono lo strumento principale per la gestione dei log e la conformità.
D. E l'architettura? Quanto è importante per l'acquirente?
Ans: Open XDR È sviluppato utilizzando una nuova architettura e servizi cloud-native, tra cui un'architettura basata su microservizi con container e clustering. È molto flessibile in termini di implementazione, scalabile nelle prestazioni e abbinato a un motore di ricerca basato su Lucene per rendere la ricerca di informazioni estremamente veloce, in pochi secondi anziché in ore o giorni come accade in molti altri. SIEMProdotti esclusivi. Lo stesso software può essere distribuito on-premise con appliance fisiche rinforzate, macchine virtuali, cloud privato o pubblico con scalabilità orizzontale e funzionalità di alta disponibilità, essenziali per l'analisi dei big data su un data lake aperto. Queste caratteristiche sono fondamentali anche per i volumi di dati in continua crescita e per il requisito di conformità a zero perdite di dati.
D. Cosa dicono gli altri analisti?
Ans: Forrester, ESG, IDC e Omdia affermano che ci sono silos e lacune nel mercato odierno SOCGli strumenti devono considerare i rilevamenti su rete, cloud, endpoint e utenti. Tutti gli analisti parlano dell'idea di correlazioni tra queste aree come un vero indicatore di XDR capacità. Ad esempio, il tuo SIEM visualizza un registro che indica che un utente ha effettuato l'accesso a SQL in un momento della giornata non tipico, lo strumento NTA indica che l'utente sta inviando il traffico al di fuori del tuo Paese e lo strumento UBA indica inoltre che l'utente non ha utilizzato l'app in quegli orari o a quelle velocità di trasmissione dati. Questo dipinge il quadro di un attacco complesso, ma gli strumenti isolati richiedono un intervento manuale per trarne le conclusioni. Oggi XDR i sistemi possono dipingere questo quadro automaticamente tramite AI/ML.
D. Come aiuteresti coloro che stanno imparando XDR per selezionare le aziende e prendere le decisioni giuste?
Ans: Questo è fondamentale e pensiamo che ci siano cinque requisiti fondamentali primari XDR:
- Centralizzazione di normalizzato and arricchito dati da una varietà di origini dati inclusi log, traffico di rete, applicazioni, cloud, Threat Intelligence, ecc.
- Rilevamento automatico di eventi di sicurezza dai dati raccolti con analisi avanzate come NTA, UBA e EBA
- Correlazione dei singoli eventi di sicurezza in una visualizzazione di alto livello.
- Capacità di risposta centralizzata che interagisce con i singoli prodotti di sicurezza.
- Architettura di microservizi cloud-native per flessibilità di implementazione, scalabilità e alta disponibilità.
E inoltre per Stellar Cyber, l'idea di Open XDR significa che abbiamo un ecosistema aperto per assicurarti di sfruttare gli strumenti di sicurezza e le migliori pratiche esistenti. Crediamo di ridurre il rischio senza interruzioni e di migliorare la fedeltà di tutti i tuoi strumenti esistenti.
Quindi, piuttosto che essere solo uno strumento come un file SIEM, Cyber stellari Open XDR correla gli input provenienti da numerosi strumenti diversi, tra cui il proprio set di strumenti integrato e quelli già esistenti, per produrre avvisi più affidabili, ridurre i falsi positivi e potenziare la produttività degli analisti.
