Wiele MSSP posługiwać się SIEMs i inne rozwiązania do zarządzania / agregacji / analizy dzienników zapewniające widoczność w cyberbezpieczeństwie, ale czy analiza dzienników wystarczy? Coraz więcej słyszymy o całościowych rozwiązaniach bezpieczeństwa, takich jak XDR Platformy które twierdzą, że obejmują całą powierzchnię ataku, zwłaszcza że najnowszy atak potokowy wzmocnił złożony charakter dzisiejszych wyrafinowanych, wieloetapowych cyberataków. Atakujący przyznali, że nie spodziewali się, że ich atak spowoduje zamknięcie rurociągu, ale wynik był druzgocący. Rzućmy okiem na to, co otrzymujemy z dzienników, a czego nie otrzymujemy z dzienników.
Kłody z natury są widokiem w przeszłość. Dają nam wgląd w aktywność serwerów plików i aplikacji, systemów zarządzania użytkownikami, takich jak Active Directory, serwerów poczty e-mail i innych narzędzi. Kiedy logi są odpowiednio skorelowane i przeanalizowane, możemy wiedzieć, kiedy w tych systemach występują anomalie.
Ale co z atakami zero-day? Jeśli plik ransomware nie ma reputacji, jak go wykryjesz? Odpowiedź brzmi: nie możesz, dopóki nie rozprzestrzeni się w twoim środowisku do punktu, w którym będzie to zauważalne przez wiele alertów PO zainfekowaniu znacznej części twojego środowiska.
Jak więc możemy uzyskać tę większą widoczność? Po pierwsze, zamiast po prostu pobierać surowe logi, musimy zastanowić się, jak wyodrębnić metadane bezpieczeństwa z tych logów z wielu źródeł. Następnie musimy przepuścić te dane przez wiele źródeł informacji o zagrożeniach. Jeśli nie ma trafienia na plik w ramach analizy zagrożeń, potrzebny jest zautomatyzowany sposób udostępniania go w sandboxie. Po sklasyfikowaniu pliku przez sandbox, reputacja musi zostać uwzględniona w zdarzeniu. Właśnie dlatego powstała idea… XDR łącząc te kroki w całość pojedynczy pulpit nawigacyjny staje się tak gorącym tematem - złożone ataki nie są łatwe do zauważenia przy użyciu zamkniętych zespołów i narzędzi.
Ostatecznie taka automatyzacja znacząco uprościłaby przepływ pracy SOC Analityk. Mogliby skupić się na skorelowanych zdarzeniach, zamiast czekać, aż sytuacje wygenerują znaczną liczbę alertów, zanim zwrócą na nie uwagę. To znacznie skróci średni czas do wystąpienia zdarzenia (MTTD). Uzbrojeni w odpowiednie informacje, mogą również działać szybko, zmniejszając MTTR.
Logi mają swoje miejsce w cyberbezpieczeństwie z punktu widzenia zgodności. Ale jeśli polegasz na samych dziennikach do analizy i działań naprawczych, tracisz dużą szansę na wykorzystanie automatyzacji i wglądu w narzędzia i wykrywanie w celu poprawy stanu bezpieczeństwa i zmniejszenia możliwości ataku, który mógłby znacząco wpłynąć na operacje biznesowe.
Możesz zobaczyć, w jaki sposób dostawcy usług MSSP wykorzystują „Open” firmy Stellar Cyber XDR aby generować przychody o wysokiej marży w tym miejsculub skontaktuj się ze mną bezpośrednio pisząc na adres brian@stellarcyber.ai.
