CEO 겸 공동 창업자와의 질의응답 Changming Liu
Ans : SIEM보안은 수십 년 동안 보안 작전의 기반이 되어 왔으며, 우리는 이를 인정해야 합니다. 그러나 SIEM사이버 보안 기업들은 많은 훌륭한 약속을 했지만, 오늘날까지도 그중 상당 부분을 이행하지 못했습니다. 특히, 탐지 결과를 전체적으로 자동 연관시키는 비전은 제대로 실현되지 못했습니다. 이것이 바로 Stellar Cyber에서 우리가 해결하고자 하는 핵심 문제입니다. Open XDR 플랫폼
SIEMs – 공허한 약속들?
SIEM보안은 수십 년 동안 보안 작전의 기반이 되어 왔으며, 이는 인정되어야 합니다. 그러나 SIEM그들은 많은 훌륭한 약속을 했지만, 오늘날까지도 그중 많은 것을 지키지 못했습니다…
질문: 그 주장을 명확히 해봅시다. 탐지 결과의 상관관계라고 하셨는데, 구체적으로 무슨 의미이며, 왜 상관관계가 있을 수 없는지 설명해 주시겠습니까? SIEM그들이 그렇게 하는 건가요?
Ans : 탐지란 비정상적이거나 악의적인 것으로 보이는 이벤트를 의미합니다. 그리고 오늘날 현대 보안 운영 센터에서 중요한 문제는 (SOC문제는 탐지 결과가 여러 개의 분리된 도구에서 한꺼번에 쏟아져 나올 수 있다는 점입니다. 예를 들어, 네트워크 보호를 위해 방화벽과 네트워크 탐지 및 대응(NDR) 도구가 있고, 엔드포인트 보호를 위해 엔드포인트 탐지 및 대응(EDR) 도구가 있으며, SaaS 애플리케이션 보호를 위해 클라우드 애플리케이션 보안 브로커(CASB)가 있습니다. 해커들이 더욱 복잡한 기술을 사용하여 공격 표면을 넓혀 애플리케이션과 데이터에 접근하고 있기 때문에 이러한 탐지 결과를 종합하여 전체적인 상황을 파악하는 것이 관건입니다. 팀은 오탐을 지적하거나, 이러한 탐지 결과를 제대로 파악하지 못해 중요한 탐지와 불필요한 탐지를 구분하지 못하는 어려움을 겪고 있습니다. 이러한 문제를 해결하기 위한 주요 목적은 바로 여기에 있습니다. SIEMs의 목적은 활동 가시성 확보 및 사건 조사를 위해 다양한 도구와 애플리케이션의 로그와 같은 데이터를 수집하고 통합하는 것입니다.
즉, 위협 인텔리전스, 위치, 자산 및 / 또는 사용자 정보의 강화와 같이 데이터에 대한 컨텍스트를 생성하기 위해 데이터 융합을 포함한 데이터를 변환하는 것과 같이 여전히 많은 수작업이 필요합니다.
Q. 헤드 라인으로 돌아가 보겠습니다. 보안 전문가에게 이것이 중요한 이유는 무엇입니까?
Ans : 분석 회사인 가트너를 예로 들어보겠습니다. 가트너의 보안 서밋에서 발표한 2020년 7대 보안 및 위험 트렌드 중 2위는 보안 기술 구현 또는 성숙도 향상에 대한 새로운 관심입니다. SOC위협 탐지 및 대응에 중점을 둔다고 언급하며, "점점 커지는 보안 기술 격차와 공격자 동향에 대응하여, 확장된 탐지 및 대응(XDR보안 운영 생산성과 탐지 정확도를 향상시키기 위해 다양한 도구, 머신 러닝(ML) 및 자동화 기능이 등장하고 있습니다.
질문: 그건 의미심장하지만, 잠시 뒤로 물러서서 그 이유에 대해 좀 더 자세히 설명해 볼까요? XDR 이것은 완전히 새로운 것이며, 기존 도구에 씌운 겉모습이 아닙니다.
Ans : XDR 이는 여러 보안 애플리케이션이 단일 플랫폼에 긴밀하게 통합된, 응집력 있는 보안 운영 플랫폼입니다. SIEM Stellar Cyber는 여러 기본 지원 애플리케이션 중 하나이며 사용자 및 엔티티 행동 분석(UBA & EBA), 네트워크 트래픽 분석(NTA), 방화벽 트래픽 분석(FTA), 위협 인텔리전스 등과 함께 작동합니다. Stellar Cyber에서는 다음과 같이 정의합니다. Open XDR 다양한 보안 도구에서 수집된 보안 이벤트를 상호 연관시켜 자동 위협 탐지 및 사고 대응 사용 사례에 초점을 맞추는 것이 주요 과제입니다. SIEM- 이러한 제품들만이 로그 관리 및 규정 준수를 위한 주요 도구로 사용될 수 있습니다.
Q. 건축은 어떻습니까? 그것이 구매자에게 얼마나 중요합니까?
Ans : Open XDR 이 플랫폼은 컨테이너 및 클러스터링을 활용한 마이크로서비스 기반 아키텍처를 포함한 새로운 클라우드 네이티브 아키텍처 및 서비스를 사용하여 개발되었습니다. 배포 측면에서 매우 유연하고 성능 확장이 가능하며, Lucene 기반 검색 엔진을 통해 정보 검색 속도를 크게 향상시켜 기존 방식처럼 몇 시간 또는 며칠이 아닌 몇 초 만에 결과를 얻을 수 있습니다. SIEM- 전용 제품입니다. 동일한 소프트웨어를 강화된 물리적 어플라이언스, 가상 머신, 프라이빗 또는 퍼블릭 클라우드에 온프레미스로 배포할 수 있으며, 수평 확장성과 고가용성 기능을 통해 개방형 데이터 레이크에서 실행되는 빅 데이터 분석에 필수적인 요소를 제공합니다. 이러한 특징은 끊임없이 증가하는 데이터 양과 데이터 손실 제로에 대한 규정 준수 요구 사항을 충족하는 데에도 매우 중요합니다.
Q. 다른 분석가들은 어떻게 말합니까?
Ans : 포레스터, ESG, IDC, 옴디아 모두 오늘날의 업계에는 사일로와 격차가 존재한다고 지적합니다. SOC도구는 네트워크, 클라우드, 엔드포인트 및 사용자 전반에 걸친 탐지 결과를 살펴봐야 합니다. 모든 분석가들은 이러한 영역 간의 상관관계가 진정한 지표라는 점에 대해 이야기합니다. XDR 능력. 예를 들어, 당신의 SIEM 로그에서 사용자가 평소와 다른 시간에 SQL에 액세스했다는 정보를 확인하고, NTA 도구에서 해당 사용자가 국가 밖으로 트래픽을 보내고 있다는 정보를 확인했으며, UBA 도구에서 해당 사용자가 일반적으로 이러한 시간대나 데이터 전송 속도로 이 앱을 사용하지 않았다는 정보를 얻었다고 가정해 보겠습니다. 이러한 정보는 복잡한 공격 상황을 보여주지만, 각 도구가 분리되어 있어 결론을 도출하려면 수동으로 개입해야 합니다. 오늘날에는 이러한 문제를 해결할 수 있습니다. XDR 인공지능/머신러닝을 통해 시스템이 이 그림을 자동으로 그릴 수 있습니다.
질문: 학습자들에게 어떻게 도움을 주시겠습니까? XDR 기업들을 추려내고 올바른 결정을 내리려면 어떻게 해야 할까요?
Ans : 이것이 핵심이며, 우리는 다섯 가지 주요 기본 요건이 있다고 생각합니다. XDR:
- 중앙 집중화 정규화 풍성한 로그, 네트워크 트래픽, 애플리케이션, 클라우드, 위협 인텔리전스 등 다양한 데이터 소스의 데이터
- 자동 감지 다음과 같은 고급 분석으로 수집 된 데이터의 보안 이벤트 수 NTA, UBA 그리고 EBA
- 상관관계 개별 보안 이벤트의 상위 수준보기로.
- 개별 보안 제품과 상호 작용하는 중앙 집중식 대응 기능.
- 클라우드 네이티브 마이크로 서비스 아키텍처 배포 유연성, 확장 성 및 고 가용성을 위해.
또한 Stellar Cyber의 경우 Open XDR 즉, 기존 보안 도구와 모범 사례를 활용할 수있는 개방형 에코 시스템이 있습니다. 중단없이 위험을 줄이고 모든 기존 도구의 충실도를 개선한다고 믿습니다.
따라서 하나의 도구가 아닌 SIEM, 스텔라 사이버 Open XDR 이 시스템은 자체 통합 도구 세트와 기존에 이미 구축된 도구를 포함하여 다양한 도구의 입력값을 상호 연관시켜 더욱 정확한 경고를 생성하고, 오탐을 줄이며, 분석가의 생산성을 극대화합니다.
