Beveiligingsgebeurtenis en Informatiebeheerplatformen (SIEMs) Gegevens uit beveiligingslogboeken worden verzameld om blinde vlekken te identificeren, ruis en alarmmoeheid te verminderen en de detectie en reactie op complexe cyberaanvallen te vereenvoudigen. Echter, SIEMhebben deze beloftes niet waargemaakt. Nu is het nieuwe idee... XDR – wat zijn de voordelen, en moet het bestaan naast of vervangen door een SIEM? Dit artikel onderzoekt het huidige cyberbeveiligingslandschap, hoe SIEM past in dat landschap, en hoe XDR Platformen kunnen de zichtbaarheid, analyse en respons op beveiligingsincidenten aanzienlijk verbeteren.
Het beveiligingslandschap
Het meest voor de hand liggende aan het huidige beveiligingslandschap is dat de bedreigingen toenemen:
- Volgens Accenture voelde 68 procent van de bedrijfsleiders dat hun cybersecurity risico's stegen in 2020.
- Risk Based meldde dat datalekken in de eerste helft van 36 2020 miljard records blootlegden.
- Proofpoint ontdekte dat 88 procent van de wereldwijde organisaties in 2019 te maken kreeg met spear phishing-aanvallen.
Bovendien worden aanvallen steeds complexer. Hackers richtten zich ooit op een enkele vector, zoals een firewallpoort, maar tegenwoordig richten ze zich op meerdere vectoren. Een aanvaller kan bijvoorbeeld inloggen op het netwerk vanaf een niet-herkende locatie, toegang krijgen tot het Active Directory-systeem en de privileges van een gebruiker wijzigen, en vervolgens beginnen met het downloaden van gegevens van een server. Op zichzelf kan elk van deze indicatoren worden gezien als valse positieven door de systemen die ze volgen, maar in werkelijkheid maken ze allemaal deel uit van een enkele aanval.
In deze omgeving hebben bedrijven moeite om aanvallen te identificeren en te verhelpen. De traditionele benadering van het verzamelen van een groep silo-tools (zoals EDR, NTA, SIEM en UEBA) om verkeer in netwerken, servers, eindpunten, de cloud en andere delen van de beveiligingsinfrastructuur te analyseren, werkt gewoon niet. In een enquête uit 2020 Ondernemingsstrategiegroep (ESG) ontdekte dat 75 procent van de bedrijven het moeilijk vindt om resultaten van verschillende beveiligingstools te synthetiseren om aanvallen vast te stellen. Bovendien blijkt uit het onderzoek dat 75 procent van de bedrijven een of meer beveiligingstools heeft ingezet die hun belofte niet hebben waargemaakt.
Ten slotte is er een hiaat in de vaardigheden van mensen. Uit het onderzoek van ESG blijkt dat 75 procent van de bedrijven een lacune in de vaardigheden van mensen heeft - ze kunnen niet genoeg ervaren analisten inhuren om beveiligingsanalyses en -operaties te ondersteunen.
Hoe tools de uitdagingen aangaan
SIEMs gegevens verzamelen uit veel verschillende bronnen, waaronder firewalls, netwerkdetectie en -respons (NDR) systemen, endpoint detectie- en responssystemen (EDR) en cloudapplicatiebeveiligingsmakelaars (CAB's). Het idee is goed: een enkele tool verzamelt gegevens van het hele aanvalsoppervlak en verzamelt deze voor analyse, detectie en reactie. Maar er zijn problemen met SIEM gereedschap:
- Elke tool in silo's produceert gegevens in zijn eigen formaat.
- Er zijn nog veel handmatige taken nodig, zoals het transformeren van de data (inclusief de datafusie) om context voor de data te creëren, dat wil zeggen, verrijking met threat intelligence, locatie-, asset- en/of gebruikersinformatie.
- Er zijn zoveel data dat analisten grote moeite hebben om complexe aanvallen te herkennen.
- Analisten kunnen complexe aanvallen niet zien vanwege de hoeveelheid gegevens en de moeite die het kost om afzonderlijke detecties handmatig te correleren. Een menselijk brein kan niet meer dan drie informatiebronnen tegelijk met elkaar in verband brengen, dus het is moeilijk of onmogelijk om door een stroom van informatie te waden.
Het is geen wonder dat zelfs met SIEMs op het werk hebben veel bedrijven weken of maanden nodig om complexe aanvallen te identificeren: de gemiddelde tijd om een complexe inbreuk te identificeren is meer dan 200 dagen. Beveiligingsanalisten worden overspoeld met valse positieven, dus ze kunnen de alligators in het moeras niet zien omdat ze tot hun nek in het water zitten en gewoon proberen te ademen.
XDR – Het bos zien, inclusief alle bomen
Als het idee erachter SIEMs was de juiste in termen van het verzamelen van gegevens uit de hele infrastructuur, XDR (Alles over detectie en respons) is de evolutie van dat idee. Het idee is om ervoor te zorgen dat het hele aanvalsoppervlak vanaf één console kan worden gecontroleerd.
XDR is een samenhangend platform voor beveiligingsoperaties met een nauwe integratie van veel beveiligingstoepassingen onder één dashboard om gebeurtenissen te correleren met betekenisvolle incidenten over het hele aanvalsoppervlak. Een XDR platform neemt gegevens op van SIEM, NDR, EDR, CASB, gedragsanalyse van gebruikersentiteit (UEBA) en andere tools en, in tegenstelling tot a SIEM, normaliseert deze ongelijksoortige datasets in een gemeenschappelijk formaat. De gemeenschappelijke datapool is gemakkelijk doorzoekbaar, zodat analisten kunnen inzoomen op waarschuwingen om de hoofdoorzaken van aanvallen te detecteren. Bovendien, XDR maakt ook gebruik van AI en machine learning om automatisch detecties te correleren en high-fidelity-waarschuwingen af te geven, waardoor valse positieven aanzienlijk worden verminderd.
In tegenstelling tot mensen kunnen computers een onbeperkt aantal datapunten met elkaar in verband brengen, dus door gebruik te maken van genormaliseerde data en AI-hulpmiddelen, XDR Het systeem kan in veel gevallen complexe aanvallen automatisch identificeren, vaak binnen enkele minuten of uren in plaats van weken of maanden. Bovendien maakt de nauwe integratie met afzonderlijke beveiligingssystemen het mogelijk om... XDR om automatisch reacties op waarschuwingen te activeren, zoals het blokkeren van een firewallpoort.
Open XDR – Maken XDR Betaalbaarder
De meeste XDR platforms op de markt zijn oplossingen van één leverancier die voortbouwen op de EDR basis en firewalls. Bedrijven kiezen voor single-vendor XDR moeten daarom hun bestaande investeringen in gereedschap opgeven om over te stappen op de nieuwe technologie. XDRDe meeste bedrijven hebben miljoenen uitgegeven aan de aanschaf en het leren gebruiken van hun bestaande tools, dus ze zijn hier niet zo happig op.
Open XDR is een XDR een variant die werkt met bestaande beveiligingstools – elke variant is geschikt. EDR en eventuele firewall. Hierdoor kunnen gebruikers hun investeringen in cyberbeveiliging behouden en tegelijkertijd verbeteren door al hun gegevens te aggregeren, aanvallen te detecteren, high-fidelity-waarschuwingen vanuit de hele infrastructuur te presenteren onder één enkele interface en in veel gevallen automatisch te reageren om een onmiddellijke verbetering van de algehele veiligheidshouding.
Daarnaast, Open XDR platforms integreren hun eigen sets van SIEM, NTA, UEBA en andere hulpmiddelen. Dit stelt gebruikers in staat om na verloop van tijd een aantal van hun bestaande tools te beëindigen, waardoor de licentiekosten en de operationele complexiteit geleidelijk afnemen.
Conclusie
SIEM vormt al jaren de basis van beveiligingsoperaties, maar levert vaak meer werk op met minder resultaat. Analisten worden overladen met massa's waarschuwingen, gegevens zijn moeilijk te normaliseren en het is onmogelijk om voldoende analisten in te huren om aan de behoefte te voldoen.
Door snelle, duidelijke detecties van bestaande systemen te leveren met geautomatiseerde reacties, Open XDR oplossingen versnel de identificatie en herstel van aanvallen en verminder de belasting van analistenteams, wat leidt tot een betere algehele beveiliging, tevredener medewerkers, minder onderbrekingen en lagere kosten.
Open XDR vormt de basis van het Security Operations Center van de volgende generatie.
