Wydarzenie związane z bezpieczeństwem oraz Platformy zarządzania informacją (SIEMs) Zbierają dane z logów bezpieczeństwa, co ma na celu identyfikację martwych punktów, redukcję szumów i zmęczenia alertami oraz uproszczenie wykrywania i reagowania na złożone cyberataki. Jednakże SIEMs nie dotrzymało tych obietnic. Teraz nowy pomysł to XDR – jakie są jego zalety i czy powinien współistnieć, czy zastępować? SIEM? W tym artykule omówiono obecny krajobraz cyberbezpieczeństwa, w jaki sposób SIEM pasuje do tego krajobrazu i jak XDR Platformy mogą znacząco poprawić widoczność, analizę i reagowanie na incydenty bezpieczeństwa.
Krajobraz bezpieczeństwa
Najbardziej oczywistą rzeczą w dzisiejszym krajobrazie bezpieczeństwa jest rosnąca liczba zagrożeń:
- Według Accenture 68 procent liderów biznesu czuło, że… ryzyko cyberbezpieczeństwa rosły w 2020 roku.
- Risk Based poinformował, że naruszenia danych ujawniły 36 miliardów rekordów w pierwszej połowie 2020 roku.
- Proofpoint ustalił, że 88 procent organizacji na całym świecie doświadczyło ataków typu spear phishing w 2019 roku.
Ponadto ataki stają się coraz bardziej złożone. Hakerzy kiedyś celowali w jeden wektor, taki jak port zapory, ale dziś atakują wiele wektorów. Na przykład osoba atakująca może zalogować się do sieci z nieznanej lokalizacji, uzyskać dostęp do systemu Active Directory i zmienić uprawnienia użytkownika, a następnie rozpocząć pobieranie danych z serwera. Same w sobie każdy z tych wskaźników może być postrzegany przez systemy, które je śledzą, jako fałszywe alarmy, ale w rzeczywistości wszystkie są częścią jednego ataku.
W tym środowisku firmy walczą z identyfikacją i naprawą ataków. Tradycyjne podejście polegające na zbieraniu grupy narzędzi silosowych (takich jak EDR, NTA, SIEM oraz UEBA) analizowanie ruchu w sieciach, serwerach, punktach końcowych, chmurze i innych częściach infrastruktury bezpieczeństwa po prostu nie działa. W ankiecie 2020 Grupa ds. Strategii Przedsiębiorstw (ESG) Okazało się, że 75 procent firm ma trudności z syntezą wyników różnych narzędzi bezpieczeństwa w celu określenia ataków. Co więcej, badanie pokazuje, że 75 procent firm wdrożyło jedno lub więcej narzędzi bezpieczeństwa, które nie spełniły swojej obietnicy.
Wreszcie istnieje luka w umiejętnościach ludzi. Ankieta ESG wykazała, że 75 procent firm ma lukę w umiejętnościach ludzkich – nie mogą zatrudnić wystarczającej liczby doświadczonych analityków do obsługi analityki bezpieczeństwa i operacji.
Jak narzędzia radzą sobie z wyzwaniami
SIEMs zbierać dane z wielu różnych źródeł, w tym zapór ogniowych, wykrywanie i odpowiedź sieci (NDR) systemy, systemy wykrywania i reagowania na punkty końcowe (EDR) oraz brokerzy bezpieczeństwa aplikacji w chmurze (CASB). Pomysł jest dobry: jedno narzędzie zbiera dane z całej powierzchni ataku i agreguje je w celu analizy, wykrycia i odpowiedzi. Ale są problemy z SIEM przybory:
- Każde narzędzie silosowe generuje dane w swoim własnym formacie.
- Wciąż potrzeba wielu ręcznych zadań, takich jak przekształcenie danych (w tym fuzja danych) w celu stworzenia kontekstu dla danych, tj. wzbogacenie o informacje o zagrożeniach, lokalizację, informacje o zasobach i/lub użytkownikach.
- Jest tak dużo danych, że analitycy mają duże trudności z wykryciem złożonych ataków.
- Analitycy nie widzą skomplikowanych ataków ze względu na ilość danych i wysiłek, jaki wymaga ręczne skorelowanie oddzielnych wykryć. Ludzki mózg nie może skorelować więcej niż trzech źródeł informacji na raz, więc przedzieranie się przez powódź informacji jest trudne lub niemożliwe.
Nic dziwnego, że nawet z SIEMs w pracy wiele firm potrzebuje tygodni lub miesięcy na zidentyfikowanie złożonych ataków: średni czas identyfikacji złożonego naruszenia wynosi ponad 200 dni. Analitycy bezpieczeństwa są zalani fałszywymi alarmami, więc nie widzą aligatorów na bagnach, ponieważ są po szyję w wodzie i po prostu próbują oddychać.
XDR – Widząc las i wszystkie drzewa
Jeśli pomysł kryje się za SIEMs był właściwy pod względem zbierania danych z całej infrastruktury, XDR (Wykrywanie i reagowanie na wszystko) jest ewolucją tej idei. Chodzi o to, aby z jednej konsoli można było monitorować całą powierzchnię ataku.
XDR to spójna platforma do operacji związanych z bezpieczeństwem ze ścisłą integracją wielu aplikacji bezpieczeństwa w ramach jednego pulpitu nawigacyjnego, aby skorelować zdarzenia w znaczące incydenty na całej powierzchni ataku. jakiś XDR Platforma pozyskuje dane z SIEM, NDR, EDR, CASB, analiza zachowania podmiotu użytkownika (UEBA) i inne narzędzia i, w przeciwieństwie do SIEM, normalizuje te odmienne zestawy danych do wspólnego formatu. Wspólną pulę danych można łatwo przeszukiwać, dzięki czemu analitycy mogą analizować alerty w celu wykrycia głównych przyczyn ataków. Ponadto, XDR wykorzystuje również sztuczną inteligencję i uczenie maszynowe, aby automatycznie korelować wykrycia i wysyłać alerty o wysokiej wierności, znacznie zmniejszając liczbę fałszywych alarmów.
W przeciwieństwie do ludzi komputery mogą skorelować nieograniczoną liczbę punktów danych, więc używając znormalizowanych danych i Narzędzia AI, XDR Potrafi automatycznie identyfikować złożone ataki w wielu przypadkach, często w ciągu minut lub godzin, a nie tygodni czy miesięcy. Co więcej, ścisła integracja z wyizolowanymi narzędziami bezpieczeństwa umożliwia XDR aby automatycznie reagować na alerty, np. blokować port zapory sieciowej.
Open XDR – Tworzenie XDR Bardziej przystępne cenowo
Większość XDR Platformy na rynku są rozwiązania od jednego dostawcy, które opierają się na EDR podstawa i zapory. Firmy decydujące się na jednego dostawcę XDR muszą zatem zrezygnować z dotychczasowych inwestycji w narzędzia, aby móc je wdrożyć XDRWiększość firm wydała miliony na nabycie i naukę obsługi istniejących narzędzi, dlatego niechętnie podejmują takie działania.
Open XDR jest XDR wariant współpracujący z istniejącymi narzędziami bezpieczeństwa – dowolnymi EDR i dowolną zaporę. W związku z tym pozwala użytkownikom zachować inwestycje w cyberbezpieczeństwo, jednocześnie je ulepszając, agregując wszystkie dane, wykrywając ataki, prezentując alerty o wysokiej wierności z całej infrastruktury w jednym interfejsie i automatycznie reagując w wielu przypadkach, aby zapewnić natychmiastową poprawę ogólnego postawa bezpieczeństwa.
Dodatkowo, Open XDR Platformy zintegrować własne zestawy SIEM, NTA, UEBA i inne narzędzia. Dzięki temu użytkownicy mogą z czasem zrezygnować z niektórych istniejących narzędzi, stopniowo zmniejszając koszty licencjonowania i złożoność operacyjną.
Podsumowanie
SIEM od kilku lat jest podstawą operacji bezpieczeństwa, ale często tworzy więcej pracy przy mniejszych wynikach. Analitycy są przeciążeni masą alertów, dane są trudne do normalizacji i niemożliwe jest zatrudnienie wystarczającej liczby analityków, aby zaspokoić potrzebę.
Dostarczając szybkie, wyraźne detekcje z istniejących systemów wraz z automatycznymi reakcjami, Open XDR systemy przyspieszenie identyfikacji i naprawy ataków przy jednoczesnym zmniejszeniu obciążenia zespołów analityków, co prowadzi do lepszego ogólnego bezpieczeństwa, szczęśliwszych pracowników, mniej zakłóceń i niższych kosztów.
Open XDR stanowi podstawę Centrum Operacji Bezpieczeństwa nowej generacji.
