Stellar Cyber ​​Open XDR - logo
Szukaj
Zamknij to pole wyszukiwania.

Rozmowa o nowej fali cyberbezpieczeństwa

Rozmowa o nowej fali cyberbezpieczeństwa

Ponownie nadszedł czas, aby zmienić rozmowę o cyberbezpieczeństwie.

To też nie jest sterowane danymi ani Oparte na sztucznej inteligencji bezpieczeństwo cybernetyczne, o czym być może słyszeliście już wcześniej - to i więcej, dużo więcej.

Jest oparty na korelacji bezpieczeństwo cybernetyczne. Chodzi o korelacje wielu detekcji, od bardzo podstawowych, takich jak NGFW, po bardzo zaawansowane, takie jak EDR oparte na sztucznej inteligencji, z różnych źródeł danych na jednej spójnej platformie.

cyberbezpieczeństwo, zabezpieczenia oparte na sztucznej inteligencji, bezpieczeństwo cybernetyczne, xdr, sztuczna inteligencja, narzędzia SIEM, analiza ruchu sieciowego, ruch sieciowy

Słyszymy o wielu wyzwaniach związanych z bezpieczeństwem od potencjalnych klientów, klientów i partnerów - dlaczego? Ponieważ jest to część tego, co robią ludzie - dzielenia bólu! Jak możesz wiedzieć, ale nie musisz wiedzieć, osoby atakujące mają dostęp do tych samych narzędzi, co my wszyscy. Mają dostęp zarówno do technologii Big Data, jak i AI do bardziej zaawansowanych ataków.

Niemniej jednak, przy rosnącej liczbie złożonych zagrożeń, wszyscy się zgadzamy - nic dziwnego, że słyszymy tak spójne tematy:

  • Nie mam wystarczających danych do skutecznego wykrywania lub
  • Wręcz przeciwnie, mam za dużo danych i jestem zalany
  • Mam za dużo szumów w danych lub za dużo fałszywych alarmów
  • Niedawno wypróbowałem kilka zaawansowanych narzędzi, które używają AI / ML do redukcji szumów lub fałszywych alarmów, ale ta inteligencja jest specyficzna tylko dla każdego narzędzia.
  • Mam wiele niezależnych narzędzi, które nie rozmawiają ze sobą i prowadzą do cichych odpowiedzi i wysokich kosztów

Co możesz zrobić w przypadku złożonego ataku, który wykorzystuje te wyzwania przeciwko tobie? Oto prosty przykład:

  • Twój dyrektor generalny otrzyma wiadomość e-mail z osadzonym adresem URL
  • Twój dyrektor generalny pobiera plik na swojego laptopa, przechodząc pod adres URL
  • Twój dyrektor generalny uzyskuje dostęp do serwera plików o 2 w nocy w dni powszednie
  • Laptop twojego dyrektora generalnego wysyła dużo ruchu DNS

Same w sobie każde z tych pojedynczych wydarzeń może wyglądać normalnie. Jeśli zdarzy ci się mieć wdrożone odpowiednie narzędzia bezpieczeństwa, a niektóre z nich są zaawansowane w uczeniu maszynowym, takim jak EDR i UBAmożesz dowiedzieć się, że:

  • Twój dyrektor generalny otrzyma plik WYŁUDZANIE INFORMACJI e-mail z osadzonym ZŁOŚLIWY URL.
  • Twój dyrektor generalny pobiera plik ZŁOŚLIWE OPROGRAMOWANIE plik do swojego laptopa, przechodząc do adresu URL
  • Twój dyrektor generalny uzyskuje dostęp do serwera plików o 2 nad ranem w dni powszednie, plik NIENORMALNE ZACHOWANIE w terminach UBA
  • Laptop twojego dyrektora generalnego wysyła dużo ruchu DNS przez DNS TUNELOWANIE

To dużo niezależnych analiz za pomocą czterech różnych narzędzi. Jak szybko i jak łatwo możesz skorelować te zdarzenia, aby prześledzić to naruszenie i ile osób potrzebujesz, aby to wszystko połączyć, patrząc na wiele różnych ekranów?

Cofnijmy się o krok i zadajmy sobie pytanie, jak się tu dostaliśmy. Najwyraźniej są trzy fale bezpieczeństwo cybernetyczne, które są zbudowane jeden na drugim: wzrost ilości danych, rozwój sztucznej inteligencji i wzrost korelacji.

1. Wzrost ilości danych - zwiększenie ilości danych w celu uzyskania pełnej widoczności.

Bezpieczeństwo oparte na danych było głównym tematem ery Big Data, w której dane są nowym „złotem”. Zaczęło się od osobnych dzienników i surowych pakietów sieciowych. Głównym celem SIEM polegało na zbieraniu i agregowaniu dzienników z różnych narzędzi i aplikacji w celu zapewnienia zgodności, badania incydentów i zarządzania dziennikami. ArcSight, jeden ze starszych Narzędzia SIEM, wydany w 2000 roku, był typowym przykładem SIEM i system zarządzania dziennikami. Surowe pakiety zostały zebrane i przechowywane w stanie, w jakim są dla medycyny sądowej, pomimo faktu, że wymagają one dużej ilości miejsca i bardzo trudno jest przeszukać te ogromne ilości pakietów, aby znaleźć jakiekolwiek oznaki naruszeń. W 2006 roku NetWitness znalazł rozwiązanie analizujące surowe pakiety.

Szybko zdaliśmy sobie sprawę, że ani surowe dzienniki, ani surowe pakiety pojedynczo nie są wystarczające, aby skutecznie wykrywać naruszenia, a surowe pakiety są zbyt ciężkie i mają ograniczone zastosowanie poza kryminalistyką. Informacje wyodrębnione z ruchu, takie jak Netflow / IPFix, tradycyjnie używane do widoczności sieci i monitorowania wydajności, zaczęły być wykorzystywane do celów bezpieczeństwa. SIEM również zaczął pozyskiwać i przechowywać Netflow / IPFix. Jednak ze względu na obawy związane ze skalowalnością techniczną i kosztami, SIEM nigdy nie stały się głównym narzędziem analizy ruchu.

Z biegiem czasu gromadzonych jest więcej danych: pliki, informacje o użytkowniku, informacje o zagrożeniach itp. Cel gromadzenia większej ilości danych był słuszny - uzyskaj wszechobecną widoczność - ale wyzwanie sieciowe, odpowiadanie na krytyczne ataki, jest jak znajdowanie igieł w stogu siana. , zwłaszcza poprzez wyszukiwanie ręczne lub reguły ręcznie definiowane przez ludzi. Jest to pracochłonne i nieefektywne czasowo.

Istnieją dwa techniczne wyzwania stojące przed bezpieczeństwem opartym na danych: jak przechowywać duże ilości danych na dużą skalę, umożliwiając wydajne wyszukiwanie i analizę oraz jak radzić sobie z różnorodnymi danymi - zwłaszcza danymi nieustrukturyzowanymi - ponieważ dane mogą mieć dowolny format. Tradycyjne relacyjne bazy danych oparte na SQL napotkały oba te problemy. Wcześniejsi dostawcy starali się rozwiązać te problemy za pomocą wielu rodzimych rozwiązań. Niestety, większość z nich nie była tak wydajna, jak to, z których korzystamy dzisiaj w oparciu o bazy danych NoSQL dla jezior Big Data.

Jest jeszcze jedno wyzwanie, przed którym stoi bezpieczeństwo oparte na danych: architektura oprogramowania umożliwiająca ekonomiczne zbudowanie skalowalnego systemu dla klientów korporacyjnych. Typowa trójwarstwowa architektura z frontendową logiką biznesową i warstwami bazy danych stała się dużą przeszkodą. Dzisiejsze architektury natywne dla chmury, oparte na architekturze mikrousług z kontenerami, zapewniają znacznie bardziej skalowalne i opłacalne rozwiązania.

2. Rozwój sztucznej inteligencji - wykorzystaj uczenie maszynowe z analizą dużych zbiorów danych, aby znaleźć i zautomatyzować wykrycia

Kiedy masz dużo danych, co z nimi zrobisz? Jak wspomniano wcześniej, przy dużej ilości danych przeszukiwanie ich w poszukiwaniu znaczących wzorców jest żmudne i czasochłonne. Jeśli Twoja infrastruktura IT zostanie niestety zhakowana, może minąć kilka dni, zanim się o tym dowiesz. Jest za późno, ponieważ szkoda już została wyrządzona lub wrażliwe dane zostały już skradzione. W takim przypadku zbyt dużo danych staje się problemem. Na szczęście widzieliśmy wzrost uczenia maszynowego dzięki postępowi algorytmów uczenia maszynowego, a także mocy obliczeniowej.

Maszyny bardzo dobrze radzą sobie z powtarzalną i żmudną pracą, bardzo szybko, bardzo wydajnie i niestrudzenie 24 × 7. Maszyny wyposażone w inteligencję, taką jak zdolności uczenia się, pomagają ludziom rozwijać się. Wielu badaczy i dostawców w dziedzinie bezpieczeństwa zaczęło wykorzystywać sztuczną inteligencję do rozwiązywania problemu, pomagania im w znajdowaniu igieł lub w celu dostrzeżenia trendów ukrytych w dużych zbiorach danych. Tak więc powstanie Bezpieczeństwo oparte na sztucznej inteligencji. W tej przestrzeni jest wiele innowacji. Na przykład wiele firm zajmujących się wykrywaniem i reagowaniem w punktach końcowych (EDR) wykorzystuje sztuczną inteligencję do rozwiązywania problemów związanych z bezpieczeństwem punktów końcowych; wiele firm zajmujących się analizą zachowań użytkowników i podmiotów (UEBA) wykorzystuje sztuczną inteligencję do reagowania na wewnętrzne zagrożenia i wiele innych Analiza ruchu sieciowego (NTA) firmy wykorzystujące sztuczną inteligencję do wykrywania nieprawidłowości ruch sieciowy wzorce.

Jeśli dane są nowym złotem, naruszenia wykryte przez sztuczną inteligencję są jak biżuteria wykonana ze złota. Wykonanie ręcznie pięknej biżuterii ze zwykłego złota wymaga dużo czasu, cierpliwości i ciężkiej pracy. Przy pomocy maszyn, zwłaszcza zaawansowanych maszyn, staje się możliwa komercyjna produkcja wspaniałej biżuterii.

Na powierzchni z Bezpieczeństwo oparte na sztucznej inteligencji, dużo danych staje się mniejszym problemem, ponieważ ML zwykle wymaga dużej ilości danych, aby wytrenować model i nauczyć się wzorców. Wręcz przeciwnie, niewystarczająca ilość danych jest oczywiście problemem, ponieważ im mniej danych, tym mniej dokładny, a tym samym mniej przydatny staje się model ML. Jednak w miarę upływu czasu badacze stopniowo zdawali sobie sprawę, że właściwe dane są o wiele ważniejsze. Zbyt dużo danych bez odpowiednich informacji to tylko strata mocy obliczeniowej dla ML, a także marnotrawstwo pamięci masowej w tym samym czasie. Wielu wcześniejszych dostawców UEBA z rozwiązaniami opartymi na logach z Narzędzia SIEM nauczył się tej trudnej lekcji. SIEM mógł zebrać wiele dzienników, ale tylko kilka z nich zawiera właściwe informacje dotyczące zachowań użytkowników. Tak więc, chociaż zabezpieczenia oparte na danych stanowią doskonałą podstawę dla platformy Bezpieczeństwo oparte na sztucznej inteligencjiw celu tworzenia skalowalnych i dokładnych Bezpieczeństwo oparte na sztucznej inteligencji, właściwe dane są o wiele ważniejsze.

Korzystanie ze sztucznej inteligencji zdecydowanie pomaga złagodzić problemy związane z Big Data, ale ma też swoje własne wyzwania. Na przykład zarówno UEBA, jak i NTA wykorzystują nienadzorowane uczenie maszynowe do analizy zachowania. Jednak zaobserwowano nietypowe zachowanie użytkownika lub domeny ruch sieciowy niekoniecznie oznacza zdarzenie naruszające ochronę. Narzędzia te mogą generować dużo hałasu, powodując zmęczenie czujności. Co więcej, inteligentne hacki zwykle przechodzą przez kilka etapów łańcucha zabijania, zanim zostaną złapane. Jak można odzyskać ślad naruszenia i naprawić jego pierwotną przyczynę?

Przed nami kolejne duże wyzwanie Bezpieczeństwo oparte na sztucznej inteligencji łącznie: koszt - koszt kapitałowy samych narzędzi, koszt infrastruktury obliczeniowej i pamięci masowej używanej przez te narzędzia oraz koszt działania tak wielu różnych narzędzi w ich silosach z różnymi ekranami.

Tak więc, nawet jeśli każde narzędzie ma możliwość destylacji gigabajtów lub terabajtów danych do krótkiej listy kilku krytycznych wykryć, wciąż pozostaje pytanie: „Czego brakuje, jeśli nie skonsolidujesz tych narzędzi w jednej platformie i nie skorelujesz wykryć? we wszystkich narzędziach i kanałach? ”

3. Wzrost korelacji - skoreluj wykrycia i zautomatyzuj reakcję na całej powierzchni ataku na jednej platformie

Wraz z tą nową falą rozmowa przenosi się z danych i sztucznej inteligencji na korelacje. Oczywiście ta fala jest zbudowana na dwóch poprzednich falach. Chodzi jednak o to, aby wyjść ponad dane, a także o narzędzia, a także o zawinięcie wszystkiego w jedną platformę. Zgodnie z naszą wczesną analogią złota do biżuterii, chodzi o dopasowanie zestawu odpowiedniej biżuterii i złożenie jej na osobę, aby wyglądała ładnie jako całość.

Analitycy bezpieczeństwa z ESG, Gartnera, Forrestera, IDC i Dzień Om wszyscy zgadzają się, że zmiana sposobu myślenia z zamkniętych narzędzi na skonsolidowaną platformę jest kluczem do tego, aby pomóc nam dostrzec krytyczne naruszenia i reagować na nie. W szczególności platforma musi przyjąć podejście całościowe i przyjrzeć się korelującym wykryciom w sieci, chmurze, punktach końcowych i aplikacjach - na całej powierzchni ataku.

Kluczowym celem korelacji wykrycia w różnych narzędziach, źródłach danych i środowiskach jest poprawa dokładności wykrywania, wykrywanie złożonych ataków poprzez łączenie słabszych sygnałów z wielu narzędzi w celu wykrywania ataków, które w innym przypadku mogłyby zostać zignorowane, oraz poprawa wydajności operacyjnej i produktywności. Kompleksowa widoczność nie oznacza już znalezienia odpowiednich danych - oznacza raczej znalezienie złożonych ataków.

Aby to zrobić, powinieneś rozważyć Otwórz XDR. XDR to spójne rozwiązanie w zakresie operacji bezpieczeństwa ze ścisłą integracją wielu aplikacji bezpieczeństwa na jednej platformie z pojedynczą szybą. Automatycznie zbiera i koreluje dane z wielu narzędzi, usprawnia wykrywanie i zapewnia automatyczne odpowiedzi. Platforma łącząca narzędzia i aplikacje z natury obniża koszty, zarówno pod względem kosztów narzędzi, jak i kosztów infrastruktury, a jednocześnie poprawia wydajność operacyjną dzięki łatwej w użyciu pojedynczej tafli szkła.

Uważamy, że istnieje pięć podstawowych wymagań XDR:

  1. Centralizacja znormalizowanych i wzbogaconych danych z różnych źródeł danych, w tym logów, ruch sieciowy, aplikacje, chmura, Analiza zagrożeń itp.
  2. Automatyczne wykrywanie zdarzeń bezpieczeństwa na podstawie zebranych danych poprzez zaawansowane analizy, takie jak NTA, UBA i EBA.
  3. Korelacja poszczególnych zdarzeń związanych z bezpieczeństwem w widoku wysokiego poziomu.
  4. Możliwość scentralizowanej reakcji, która współdziała z poszczególnymi produktami zabezpieczającymi.
  5. Natywna dla chmury architektura mikrousług zapewniająca elastyczność wdrażania, skalowalność i wysoką dostępność.

Podsumowując, Stellar Cyber ​​to jedyna specjalnie zbudowana platforma Open XDR, która przyjmuje i zarządza wszystkimi bezpieczeństwo cybernetyczne dane do wykrywania, korelowania i reagowania w całym łańcuchu zabijania. Rozpoczęła się fala korelacji i zapraszamy na przejażdżkę razem z nami, ciesząc się wspólną podróżą!

SIAM - puste obietnice

SIEMs - PUSTE OBIETNICE?

SIEM od dziesięcioleci są podstawą operacji związanych z bezpieczeństwem i należy to przyznać. Jednak SIEMs złożyli wiele wspaniałych obietnic i do dziś nie spełniły wielu z nich…

Pobierz eBook

Przewiń do góry