Alles aan XDR draait om Correlaties, niet om Hype

SUNBURST echt een Zero-day-aanval?
In de afgelopen maanden hebben de XDR-acroniem wordt gebruikt door bijna elke fabrikant van beveiligingsproducten. Het is één ding om te zeggen dat je het hebt, maar het harde werk dat nodig is om de detecties op te bouwen, kost
jaar. Het is niet genoeg om te zeggen dat je een big data-platform hebt waar je dingen in kunt dumpen en zoeken; u hebt bruikbare detecties nodig die tot zinvolle correlaties leiden. Hier zijn twee belangrijke dingen om te overwegen als je kijkt naar: XDR.

Gegevens normalisatie – Om volledige zichtbaarheid te krijgen, is het eerste waar u rekening mee moet houden de gegevens zelf. Elk beveiligingsproduct heeft een andere manier om zijn logboeken en waarschuwingen te presenteren. Netwerkoplossingen, eindpuntbeveiligingstools, firewalls, identiteitstools, cloudbeveiligingstools en vele andere hebben allemaal hun eigen waarschuwingsformaten en frequentie. Elk SIEM-tool kan logs van deze apparaten opslaan - dat is het makkelijke gedeelte. 

Alles aan XDR draait om Correlaties, niet om Hype
Het probleem is dat het bijna onmogelijk is om complexe, multidimensionale regels te maken om het huidige tempo van aanvallen bij te houden. Op een IDS kunt u bijvoorbeeld meer dan een miljoen waarschuwingen per dag zien. Suricata-regels kunnen mogelijk de bekende kwetsbaarheden uitfilteren tot 200,000, maar van daaruit zou u normaal gesproken een reeks regels moeten maken op basis van uw kennis van de omgeving van de klant.

Dit is een gebied waar het gebruik van machine learning (ML) in de IDS-gegevens dat aantal aanzienlijk kan verminderen tot een handvol handvol waarschuwingen. In plaats van regels te schrijven om dingen te detecteren, kunt u ML gebruiken om te bepalen wat normaal gedrag op dat netwerk is. Wanneer logt de klant normaal in? Waar loggen ze in? Hoe lang blijven ze normaal ingelogd? In plaats van 200,000 waarschuwingen kunnen ML-detecties dat terugbrengen tot een handvol. Het is voor uw SOC-analist aanzienlijk sneller en gemakkelijker om deze informatie te zien correleren met al uw beveiligingshulpmiddelen.

Integraties openen – Zorg er bovendien voor dat de XDR-platform je overweegt is open. Aangezien beveiligingstechnologieën de komende jaren snel veranderen, zullen deze platforms u helpen vendor lock-in te voorkomen. Dit zal u helpen uw vermogen te behouden om u aan te passen aan het veranderende cyberbeveiligingslandschap en de behoeften van uw klanten. 

Bij Stellar Cyber ​​– denken we X betekent alles – ongeacht waar u vandaan komt en welke bestaande tools u gebruikt, en ongeacht waar u naartoe wilt op het gebied van beveiligingsvolwassenheid. Voor ons betekent dit dat we helpen een strategie op te stellen die voor u en uw klanten werkt, gebruikmakend van de investeringen die u beiden heeft gedaan. Neem contact met mij op voor een levendig gesprek: brian@stellarcyber.ai