Od lat słyszę o korzyściach płynących z przekazywania i gromadzenia logów. Wysyłaj wszystkie swoje dane do SIEM a Twój program bezpieczeństwa będzie lepszy i bardziej dojrzały. W rzeczywistości każdy CISO, z którym rozmawiałem przez ostatnie 5 lat, narzekał na SIEM i poza celami zgodności, ich SIEM przynosi niewielką wartość. Niektórzy ludzie ze społeczności zajmującej się bezpieczeństwem informacji twierdzą, podobnie jak antywirusy 10 lat temu, SIEM jest martwy! Szczerze mówiąc, w obecnym stanie, zgadzam się.
Niektórzy z was zapytają: „Jeśli SIEM nie żyje, co mamy zrobić?” To jest pytanie za milion dolarów. Moja odpowiedź brzmi: Open XDR. Co robi Open XDR Co ma wspólnego z tytułem bloga? Cóż, normalnie pomyślałbyś, że CIA równa się poufności, integralności i dostępności (nie Centralnej Agencji Wywiadowczej). W tym przypadku pomyśl o korelacji, integracji i automatyzacji (gdybym znalazł miejsce dla V (widoczności), zrobiłbym to). Open XDR dam ci to i jeszcze więcej!
Open XDR, z definicji, to rozszerzona (X) detekcja i reakcja. Pomyśl o App Store, z którego korzystasz na swoim iPhonie. Kiedy kupiłeś ten telefon (pomyśl o platformie), miał on preinstalowanych kilka aplikacji, a następnie dodałeś kilka aplikacji, aby działały na tej platformie. Zdjęcia, które zrobiłeś i wysłałeś SMS-em lub umieściłeś na Facebooku, wszystkie korzystały ze wspólnej platformy. Open XDR jest tą samą koncepcją.
Stellar Cyber stworzył pierwszy sklep z aplikacjami do ochrony informacji. Co to dla Ciebie oznacza? Skorelowaną, zintegrowaną i zautomatyzowaną platformę, która zapewnia wgląd w Twoje zestawy narzędzi bezpieczeństwa. Platforma, w tym przypadku Starlight, umożliwia podłączenie do niej aplikacji (np. punktów końcowych, programów antywirusowych, zapór sieciowych, serwerów proxy itp.) wraz z aplikacjami, które udostępniamy (SIEMSOAR, systemy rozpoznawania twarzy oparte na uczeniu maszynowym (ML)-IDS, złośliwe oprogramowanie, oszustwa itp.). Pod przykrywką normalizujemy, wzbogacamy, korelujemy, zapewniamy wykrywanie i ostatecznie aktywne i zautomatyzowane reakcje, aby ograniczyć te ryzyka.
Co sprawia, że Starlight jest otwarty? Po pierwsze, dzięki interfejsom API RESTful możemy zintegrować się z istniejącymi narzędziami do obsługi punktów końcowych, zaporami ogniowymi i narzędziami CASB oraz zwiększyć ich wartość dla Ciebie. Wartość ściśle zintegrowanego App Store polega na umożliwieniu Twojemu ekosystemowi dostawców lepszej współpracy, co oznacza, że Starlight może pomóc Ci zobaczyć bardziej istotne zdarzenia po integracji i stworzyć własne, dostosowane do potrzeb rozwiązanie. Starlight łączy zarówno wbudowane, jak i zintegrowane aplikacje z naszą technologią Interflow ™, która usprawnia wykrywanie i badanie anomalii poprzez tworzenie kontekstu pomiędzy zdarzeniami. Interflow normalizuje dane bezpieczeństwa współdzielone między aplikacjami zintegrowanymi i aplikacjami innych firm, zwiększając widoczność z jednego panelu i kontrolę nad zestawami narzędzi bezpieczeństwa.
Ponadto Stellar Cyber zapewnia naszej społeczności użytkowników środki do pisania własnych aplikacji, pisania własnych parserów, pisania własnych podpisów ML-IDS i dzielenia się wszystkim ze społecznością. To podejście społecznościowe pomaga każdemu poprawić stan bezpieczeństwa i dojrzałość swoich firm.
Wyobraź sobie pojedynczą szybę, która pozwala Ci zobaczyć (przejrzeć) wszystkie Twoje zabezpieczenia, skorelować je ze sobą i reagować na te zagrożenia. To doprowadzi do mniejszego rozrostu narzędzi bezpieczeństwa, mniejszej liczby alertów i krótszego czasu reakcji. Ta korelacja i automatyzacja, wspierane przez dokładne, możliwe do podjęcia działań zdarzenia, ostatecznie zmniejszają liczbę analityków potrzebnych do monitorowania i zarządzania operacjami bezpieczeństwa. SIEM nie żyje! Niech żyje CIA
Autor: Dave Barton, CISO w Stellar Cyber
