Stellar Cyber ​​Open XDR-logo
Zoek
Sluit dit zoekvak.

Een gesprek over de nieuwe golf van cyberbeveiliging

Gesprek over de nieuwe golf van cyberbeveiliging

Het is opnieuw tijd om het gesprek over cyberbeveiliging te veranderen.

Het is geen van beide Gegevensgestuurde noch AI-gestuurd internetveiligheid, wat je misschien al eerder hebt gehoord - het is allebei en meer, veel meer.

Het is gecorreleerd internetveiligheid​ Het gaat om correlaties van vele detecties, van heel basaal zoals NGFW tot zeer geavanceerd zoals op AI gebaseerde EDR, uit verschillende databronnen in één samenhangend platform.

cyberbeveiliging, AI-gestuurde beveiliging, cyberveiligheid, xdr, kunstmatige intelligentie, SIEM-tools, analyse van netwerkverkeer, netwerkverkeer

We horen over veel beveiligingsuitdagingen van potentiële klanten, klanten en partners - waarom? Omdat het deel uitmaakt van wat mensen doen: pijn delen! Zoals u wellicht weet, hebben aanvallers toegang tot dezelfde tools als wij allemaal. Ze hebben toegang tot zowel Big Data- als AI-technologieën voor geavanceerdere aanvallen.

Desalniettemin zijn we het er allemaal over eens dat complexe bedreigingen toenemen - het is geen wonder dat we zulke consistente thema's horen:

  • Ik heb niet genoeg gegevens voor een effectieve detectie, of
  • Integendeel, ik heb te veel gegevens en ik ben overspoeld
  • Ik krijg te veel ruis in de gegevens of te veel valse alarmen
  • Ik heb onlangs een paar geavanceerde tools geprobeerd die AI / ML gebruiken om de ruis of valse positieven te verminderen, maar die intelligentie is alleen specifiek voor elke tool.
  • Ik heb veel onafhankelijke tools die niet met elkaar praten en tot silo-antwoorden en hoge kosten leiden

Wat kunt u doen aan een complexe aanval die deze uitdagingen tegen u gebruikt? Hier is een eenvoudig voorbeeld:

  • Uw CEO ontvangt een e-mail met een ingesloten URL
  • Uw CEO downloadt een bestand naar zijn laptop door naar de URL te gaan
  • Uw CEO heeft doordeweeks om 2 uur 's nachts toegang tot een bestandsserver
  • De laptop van je CEO stuurt veel DNS-verkeer

Op zichzelf kunnen al deze individuele gebeurtenissen er normaal uitzien. Als je toevallig de juiste beveiligingstools hebt geïmplementeerd, waarvan sommige geavanceerd zijn met machine learning zoals EDR en UBA, kunt u ontdekken dat:

  • Uw CEO ontvangt een PHISHING e-mail met een ingesloten KWAADAARDIG URL.
  • Uw CEO downloadt een MALWARE bestand naar zijn laptop door naar de URL te gaan
  • Uw CEO heeft op een doordeweekse dag om 2 uur 's nachts toegang tot een bestandsserver, een ABNORMAAL GEDRAG in een UBA-termijn
  • De laptop van je CEO stuurt veel DNS-verkeer via DNS AFSTEMMING

Dat is veel onafhankelijke analyse door vier verschillende tools. Hoe snel en hoe gemakkelijk kun je deze gebeurtenissen met elkaar in verband brengen om deze inbreuk op te sporen, en hoeveel mensen heb je nodig om alles samen te vatten door naar veel verschillende schermen te kijken?

Laten we een stap terug doen en ons afvragen hoe we hier terecht zijn gekomen. Het is duidelijk dat er drie golven zijn internetveiligheid, die op elkaar zijn gebouwd: de opkomst van data, de opkomst van AI en de opkomst van correlaties.

1. De opkomst van gegevens — Verhogen van de hoeveelheid gegevens om uitgebreide zichtbaarheid te bereiken.

Datagestuurde beveiliging was het hoofdthema van het big data-tijdperk waarin data het nieuwe 'goud' is. Het begon met logboeken en onbewerkte netwerkpakketten, afzonderlijk. Het belangrijkste doel van SIEM's was het verzamelen en aggregeren van logboeken van verschillende tools en applicaties voor compliance, incidentonderzoek en logbeheer. ArcSight, een van de erfenis SIEM-tools, uitgebracht in 2000, was een typisch voorbeeld van een SIEM en logboekbeheersysteem. De onbewerkte pakketten werden verzameld en opgeslagen zoals ze zijn voor forensisch onderzoek, ondanks het feit dat ze veel opslagruimte nodig hebben en het erg moeilijk is om door deze enorme aantallen pakketten te bladeren om enige aanwijzing voor inbreuken te vinden. In 2006 vond NetWitness een oplossing voor het analyseren van onbewerkte pakketten.

We realiseerden ons al snel dat noch onbewerkte logboeken, noch onbewerkte pakketten afzonderlijk voldoende zijn om effectief te zijn bij het detecteren van inbreuken, en dat onbewerkte pakketten te zwaar zijn en naast forensisch gebruik beperkt worden gebruikt. Informatie die uit het verkeer werd gehaald, zoals Netflow / IPFix, traditioneel gebruikt voor netwerkzichtbaarheid en prestatiebewaking, begon te worden gebruikt voor beveiliging. SIEM's begon ook Netflow / IPFix op te nemen en op te slaan. Vanwege zowel technische problemen met de schaalbaarheid als kostenbeheersing, SIEM's zijn nooit de meest gebruikte tool voor verkeersanalyse geworden.

Naarmate de tijd verstreek, worden er meer gegevens verzameld: bestanden, gebruikersinformatie, informatie over bedreigingen, enz. Het doel van het verzamelen van meer gegevens was geldig - een alomtegenwoordige zichtbaarheid krijgen - maar de netto-uitdaging, reageren op kritieke aanvallen, is als het vinden van naalden in een hooiberg , vooral via handmatige zoekopdrachten of regels die handmatig door mensen zijn gedefinieerd. Het is arbeidsintensief en tijdrovend.

Er zijn twee technische uitdagingen voor datagestuurde beveiliging: hoe grote hoeveelheden gegevens op schaal kunnen worden opgeslagen, efficiënte zoekopdrachten en analyses mogelijk zijn, en hoe om te gaan met de verscheidenheid aan gegevens - vooral ongestructureerde gegevens - aangezien gegevens van elk formaat kunnen zijn. Traditionele relationele databases op basis van SQL stuitten op beide problemen. Eerdere verkopers probeerden deze problemen op te lossen met veel zelfgekweekte oplossingen. Helaas waren de meeste niet zo efficiënt als wat we tegenwoordig gebruiken op basis van NoSQL-databases voor Big Data-meren.

Er is nog een uitdaging voor datagestuurde beveiliging: de softwarearchitectuur om kosteneffectief een schaalbaar systeem voor zakelijke klanten te bouwen. De typische drieledige architectuur met front-end bedrijfslogica en databaselagen werd een grote hindernis. De huidige cloud-native architecturen, die voortbouwen op de architectuur van microservices met containers, bieden veel beter schaalbare en kosteneffectieve oplossingen.

2. De opkomst van AI - Gebruik machine learning met big data-analyse om detecties te helpen vinden en automatiseren

Als u eenmaal veel gegevens heeft, wat doet u er dan mee? Zoals eerder vermeld, met een grote hoeveelheid gegevens, is het zoeken naar zinvolle patronen vervelend en tijdrovend om er doorheen te zoeken. Als uw IT-infrastructuur op de een of andere manier wordt gehackt, kan het dagen duren voordat u erachter komt. Het is te laat omdat de schade al is aangericht, of gevoelige gegevens zijn al gestolen. In dit geval worden te veel gegevens een probleem. Gelukkig hebben we de opkomst van machine learning gezien dankzij de vooruitgang van machine learning-algoritmen en rekenkracht.

Machines zijn erg goed in het doen van repetitief en vervelend werk, zeer snel, zeer efficiënt en onvermoeibaar 24 × 7. Wanneer machines zijn uitgerust met intelligentie, zoals leermogelijkheden, helpen ze mensen om te schalen. Veel onderzoekers en leveranciers in beveiliging begonnen AI te gebruiken om het probleem op te lossen, hen te helpen die naalden te vinden of trends te zien die verborgen zijn in grote datasets. Dus de opkomst van AI-gestuurde beveiliging​ Er zijn veel innovaties in deze ruimte. Er zijn bijvoorbeeld veel Endpoint Detection and Response (EDR) -bedrijven die AI gebruiken om eindpuntbeveiligingsproblemen aan te pakken; veel User and Entity Behavior Analysis (UEBA) -bedrijven die AI gebruiken om bedreigingen van binnenuit aan te pakken, en veel netwerkverkeeranalyse (NTA) bedrijven die AI gebruiken om abnormaal te vinden netwerk verkeer patronen.

Als gegevens het nieuwe goud zijn, zijn inbreuken die via AI worden gedetecteerd, als sieraden gemaakt van goud. Het vergt veel tijd, geduld en hard werken om met de hand prachtige sieraden te maken van gewoon goud. Met behulp van machines, vooral geavanceerde machines, wordt commerciële productie van geweldige sieraden mogelijk.

Aan de oppervlakte, met AI-gestuurde beveiliging, worden veel gegevens minder een probleem, aangezien ML meestal veel gegevens nodig heeft om het model te trainen en de patronen te leren. Integendeel, niet genoeg gegevens zijn duidelijk een probleem, want hoe minder gegevens, hoe minder nauwkeurig en dus hoe minder bruikbaar het ML-model. Maar met het verstrijken van de tijd realiseerden onderzoekers zich geleidelijk dat de juiste gegevens veel belangrijker zijn. Te veel gegevens zonder de juiste informatie is niet alleen verspilling van rekenkracht voor ML, maar ook verspilling van opslagruimte. Veel eerdere UEBA-leveranciers met oplossingen op basis van logboeken van SIEM-tools leerde deze harde les. De SIEM heeft misschien veel logboeken verzameld, maar slechts enkele bevatten de juiste informatie met betrekking tot gebruikersgedrag. Dus hoewel datagestuurde beveiliging een geweldige basis vormt voor AI-gestuurde beveiliging, om schaalbaar en nauwkeurig te bouwen AI-gestuurde beveiligingzijn de juiste gegevens veel belangrijker.

Het gebruik van AI helpt zeker de pijn met Big Data te verlichten, maar het heeft zijn eigen uitdagingen. Zowel UEBA als NTA maken bijvoorbeeld gebruik van machine learning zonder toezicht voor gedragsanalyse. Er wordt echter een abnormaal gedrag waargenomen voor een gebruiker of van netwerk verkeer betekent niet noodzakelijk een veiligheidsincident. Deze gereedschappen kunnen veel lawaai maken, waardoor alerte vermoeidheid ontstaat. Bovendien doorlopen de slimme hacks meestal verschillende stadia van de kill-keten voordat ze kunnen worden gepakt. Hoe kunt u het spoor van een inbreuk herstellen en de hoofdoorzaak verhelpen?

Er staat nog een grote uitdaging voor AI-gestuurde beveiliging collectief: kosten - de kapitaalkosten van de tools zelf, de kosten van de reken- en opslaginfrastructuur die door deze tools worden gebruikt, en de kosten van operaties van zoveel verschillende tools in hun silo's met verschillende schermen.

Dus zelfs als elke tool de mogelijkheid heeft om gigabytes of terabytes aan gegevens te distilleren tot een korte lijst van enkele kritieke detecties, blijft de vraag bestaan: "Wat mis je door deze tools niet te consolideren in een enkel platform en de detecties te correleren? voor alle tools en feeds? "

3. The Rise of Correlations — Correleer detecties en automatiseer respons over het gehele aanvalsoppervlak in één enkel platform

Met deze nieuwe golf wordt het gesprek verschoven van data en AI naar correlaties. Het is duidelijk dat deze golf is gebouwd op de twee voorgaande golven. Het gaat er echter allemaal om dat je boven de gegevens en de tools uitkomt, en het gaat erom alles samen te brengen in één platform. In navolging van onze vroege analogie van goud naar sieraden, gaat dit over het matchen van een set van de juiste sieraden en het samenvoegen van een persoon om het er als geheel mooi uit te laten zien.

Analisten in beveiliging van ESG, Gartner, Forrester, IDC en Om Day zijn het er allemaal over eens dat deze verandering in het denken van geïsoleerde tools naar een geconsolideerd platform de sleutel is om ons te helpen kritieke inbreuken te zien en erop te reageren. In het bijzonder moet het platform een ​​holistische benadering volgen en kijken naar correlerende detecties over het netwerk, de cloud, eindpunten en applicaties - het hele aanvalsoppervlak.

De belangrijkste doelstellingen van correlaties van detecties tussen tools, feeds en omgevingen zijn het verbeteren van de detectienauwkeurigheid, het detecteren van complexe aanvallen door zwakkere signalen van meerdere tools te combineren om aanvallen op te sporen die anders mogelijk zouden worden genegeerd, en het verbeteren van de operationele efficiëntie en productiviteit. Uitgebreide zichtbaarheid betekent niet langer het vinden van de juiste gegevens, maar het vinden van de complexe aanvallen.

Om dit te doen, zou u moeten overwegen XDR openen. XDR is een samenhangende oplossing voor beveiligingsactiviteiten met nauwe integratie van veel beveiligingstoepassingen in één platform met één enkel glas. Het verzamelt en correleert automatisch gegevens van meerdere tools, verbetert detecties en biedt geautomatiseerde antwoorden. Een platform dat tools en applicaties aan elkaar koppelt, verlaagt van nature de kosten, zowel in de kosten van tools als in de infrastructuurkosten, terwijl het de operationele efficiëntie verbetert met een gebruiksvriendelijke enkele ruit.

We denken dat er vijf primaire basisvereisten zijn voor XDR:

  1. Centralisatie van genormaliseerde en verrijkte gegevens uit verschillende gegevensbronnen, waaronder logboeken, netwerk verkeer, applicaties, cloud, Threat Intelligence, etc.
  2. Automatische detectie van beveiligingsgebeurtenissen op basis van de gegevens die zijn verzameld via geavanceerde analyses, zoals NTA, UBA en EBA.
  3. Correlatie van individuele beveiligingsgebeurtenissen in een overzicht op hoog niveau.
  4. Gecentraliseerde responscapaciteit die interageert met individuele beveiligingsproducten.
  5. Cloud-native microservices-architectuur voor implementatieflexibiliteit, schaalbaarheid en hoge beschikbaarheid.

Kortom, Stellar Cyber ​​is het enige speciaal gebouwde Open XDR-platform dat alles opneemt en beheert internetveiligheid gegevens om de hele kill-keten te detecteren, te correleren en erop te reageren. De golf van correlaties is begonnen en u bent van harte welkom om met ons mee te rijden en samen van de reis te genieten!

SIAMs - lege beloften

SIEMs - LEGE BELOFTEN?

SIEM's vormen al decennia de basis van beveiligingsoperaties en dat moet worden erkend. SIEM's hebben echter veel geweldige beloften gedaan, en tot op de dag van vandaag hebben ze er niet veel van nagekomen ...

Download eBoek

Scroll naar boven