Vraag- en antwoordsessie met de CEO en medeoprichter Changming Liu
Ans: SIEMBeveiligingssystemen vormen al decennia de basis van beveiligingsoperaties, en dat moeten we erkennen. Echter, SIEMZe hebben veel mooie beloftes gedaan, maar tot op de dag van vandaag hebben ze er veel niet waargemaakt, met name de visie van automatische, holistische correlatie van detecties. Dit is het kernprobleem dat we bij Stellar Cyber proberen aan te pakken met onze Open XDR platform
SIEMs – Lege beloftes?
SIEMBeveiligingssystemen vormen al decennia de basis van beveiligingsoperaties, en dat moet erkend worden. Echter, SIEMZe hebben veel mooie beloftes gedaan, maar tot op de dag van vandaag hebben ze er veel niet waargemaakt...
Vraag: Laten we die bewering even verduidelijken. Wat bedoelt u precies met correlatie van detecties en waarom kan dat niet? SIEMdoen jullie het?
Ans: Detecties zijn gebeurtenissen die afwijkend of kwaadaardig lijken. En het probleem van vandaag in een modern beveiligingscentrum (SOC) is...SOCEen probleem is dat detecties kunnen opduiken vanuit verschillende, op zichzelf staande tools. Zo heb je bijvoorbeeld firewalls en netwerkdetectie en -respons (NDR) voor je netwerkbeveiliging, endpointdetectie en -respons (EDR) voor de beveiliging van je endpoints en een cloudapplicatiebeveiligingsbroker (CASB) voor je SaaS-applicaties. Het correleren van deze detecties om een compleet beeld te schetsen is de uitdaging, omdat hackers tegenwoordig complexere technieken gebruiken om toegang te krijgen tot je applicaties en data, met een groter aanvalsoppervlak. Je team meldt ofwel valse positieven, ofwel een gebrek aan inzicht in wat kritiek is en wat ruis. Het belangrijkste doel van SIEMHet doel is om gegevens te verzamelen en samen te voegen, zoals logbestanden van verschillende tools en applicaties, voor inzicht in activiteiten en voor incidentonderzoek.
Dat gezegd hebbende, er zijn nog steeds veel handmatige taken nodig, zoals het transformeren van de gegevens inclusief de datafusie om context voor de gegevens te creëren, dwz verrijking met informatie over bedreigingen, locatie, activa en / of gebruikers.
V. Laten we teruggaan naar de kop: waarom is dit zo belangrijk voor beveiligingsprofessionals?
Ans: Laten we analysebureau Gartner als voorbeeld nemen. Voor hun Security Summit is de nummer 2 trend – van de top 7 beveiligings- en risicotrends voor 2020 – een hernieuwde interesse in het implementeren of verder ontwikkelen van SOCmet een focus op dreigingsdetectie en -respons. Ze merken verder op: "Als reactie op het groeiende tekort aan beveiligingsvaardigheden en de trends in aanvallers, is uitgebreide detectie en respons (XDREr komen steeds meer tools, machine learning (ML) en automatiseringsmogelijkheden op de markt om de productiviteit van beveiligingsoperaties en de nauwkeurigheid van detectie te verbeteren.
V. Dat zegt genoeg, maar laten we even een stapje terug doen en wat meer vertellen over de redenen daarvoor. XDR Het is nieuw en niet zomaar een omhulsel van een bestaande tool.
Ans: XDR Het is een samenhangend platform voor beveiligingsoperaties met een strakke integratie van vele beveiligingsapplicaties op één platform. SIEM is een van de vele native ondersteunde applicaties en werkt samen met andere applicaties, waaronder gebruikers- en entiteitsgedragsanalyse (UBA & EBA), netwerkverkeersanalyse (NTA) en firewallverkeersanalyse (FTA), dreigingsinformatie, enz. Bij Stellar Cyber definiëren we... Open XDR waarbij de focus ligt op automatische dreigingsdetectie en incidentrespons door beveiligingsgebeurtenissen van diverse beveiligingstools te correleren. Dit zijn de belangrijkste uitdagingen met SIEM-alleen producten, waardoor ze het belangrijkste hulpmiddel zijn voor logboekbeheer en naleving van regelgeving.
V. Hoe zit het met architectuur? Hoe belangrijk is dat voor de koper?
Ans: Open XDR Het is ontwikkeld met behulp van een nieuwe cloud-native architectuur en services, waaronder een op microservices gebaseerde architectuur met containers en clustering. Het is zeer flexibel qua implementatie, schaalbaar in prestaties en gekoppeld aan een op Lucene gebaseerde zoekmachine om het opvragen van informatie supersnel te maken – in seconden in plaats van uren of dagen zoals bij veel andere systemen. SIEM-alleen producten. Dezelfde software kan on-premises worden ingezet met beveiligde fysieke apparaten, virtuele machines, private of publieke clouds met horizontale schaalbaarheid en hoge beschikbaarheid, essentieel voor big data-analyses die draaien op een open data lake. Deze kenmerken zijn ook cruciaal voor de steeds toenemende datavolumes en de compliance-eis van nul dataverlies.
V. Wat zeggen andere analisten?
Ans: Forrester, ESG, IDC en Omdia stellen allemaal dat er sprake is van silo's en lacunes in de huidige markt. SOCTools moeten detecties analyseren in het netwerk, de cloud, op eindpunten en bij gebruikers. Alle analisten benadrukken dat correlaties tussen deze gebieden een betrouwbare indicator zijn. XDR bekwaamheid. Bijvoorbeeld, uw SIEM Je ziet een logboek waarin staat dat een gebruiker SQL heeft benaderd op een ongebruikelijk tijdstip, je NTA-tool vertelt je dat de gebruiker het verkeer vanuit een ander land verzendt, en je UBA-tool vertelt je bovendien dat de gebruiker deze app normaal gesproken niet op die tijdstippen of met die datasnelheden gebruikt. Dit schetst een beeld van een complexe aanval, maar de afzonderlijke tools vereisen handmatige tussenkomst om tot een conclusie te komen. XDR Systemen kunnen dit beeld automatisch schetsen met behulp van AI/ML.
Vraag: Hoe zou u mensen helpen die meer willen leren over...? XDR Om bedrijven op de shortlist te zetten en de juiste beslissingen te nemen?
Ans: Dit is cruciaal, en wij denken dat er vijf fundamentele basisvereisten zijn. XDR:
- Centralisatie van genormaliseerde en verrijkt gegevens uit een verscheidenheid aan gegevensbronnen, waaronder logboeken, netwerkverkeer, applicaties, cloud, Threat Intelligence, enz.
- Automatische detectie van beveiligingsgebeurtenissen uit de gegevens die zijn verzameld met geavanceerde analyses zoals NTA, UBA en EBA
- Correlatie van individuele beveiligingsgebeurtenissen in een overzicht op hoog niveau.
- Gecentraliseerde responscapaciteit die interageert met individuele beveiligingsproducten.
- Cloud-native microservices-architectuur voor implementatieflexibiliteit, schaalbaarheid en hoge beschikbaarheid.
En bovendien voor Stellar Cyber, het idee van Open XDR betekent dat we een open ecosysteem hebben om ervoor te zorgen dat u gebruikmaakt van uw bestaande beveiligingstools en best practices. We geloven dat we risico's zonder onderbreking verminderen en de betrouwbaarheid van al uw bestaande tools verbeteren.
Dus in plaats van slechts één hulpmiddel te zijn zoals een SIEM, Stellaire Cyber's Open XDR Het systeem combineert input van diverse tools, waaronder de eigen geïntegreerde toolset en bestaande tools, om nauwkeurigere waarschuwingen te genereren, valse positieven te verminderen en de productiviteit van analisten te verhogen.
