Pytania i odpowiedzi z dyrektorem generalnym i współzałożycielem Changming Liu
Ans: SIEMOd dziesięcioleci stanowią one podstawę operacji bezpieczeństwa i powinniśmy to uznać. Jednakże, SIEMZłożyliśmy wiele wspaniałych obietnic i do dziś nie spełniliśmy wielu z nich, w szczególności wizji automatycznej korelacji detekcji w sposób holistyczny. To kluczowy problem, nad którym pracujemy w Stellar Cyber dzięki naszym Open XDR Platforma
SIEMs – PUSTE OBIETNICE?
SIEMOd dziesięcioleci stanowią one podstawę operacji bezpieczeństwa i należy to uznać. Jednakże, SIEMzłożyli wiele wspaniałych obietnic, ale do dziś nie udało im się spełnić wielu z nich…
P. Wyjaśnijmy to. Mówiąc o korelacji wykryć, co masz na myśli i dlaczego nie można… SIEMco to zrobić?
Ans: Wykrycia to zdarzenia, które wyglądają na anomalne lub złośliwe. I to jest problem, z którym zmaga się współczesne centrum operacji bezpieczeństwa (SOC) polega na tym, że detekcje mogą pochodzić z wielu odizolowanych narzędzi. Na przykład, masz zaporę sieciową i system wykrywania i reagowania na zdarzenia sieciowe (NDR) do ochrony sieci, system wykrywania i reagowania na zdarzenia końcowe (EDR) do ochrony punktów końcowych oraz Cloud Application Security Broker (CASB) do ochrony aplikacji SaaS. Problemem jest korelacja tych detekcji w celu uzyskania szerszego obrazu, ponieważ hakerzy używają teraz bardziej złożonych technik dostępu do aplikacji i danych, co zwiększa powierzchnię ataku. Twój zespół albo zgłasza fałszywe alarmy, albo nie jest w stanie przejrzeć tych detekcji i określić, co jest krytyczne, a co nie. Głównym celem SIEMs służy do zbierania i agregowania danych, takich jak logi z różnych narzędzi i aplikacji, w celu zapewnienia wglądu w aktywność i badania incydentów.
To powiedziawszy, nadal potrzeba wielu ręcznych zadań, takich jak przekształcanie danych, w tym fuzja danych, w celu stworzenia kontekstu dla danych, tj. Wzbogacenie o informacje o zagrożeniach, lokalizacji, zasobach i / lub użytkownikach.
P: Wróćmy więc do nagłówka, dlaczego jest to tak ważne dla specjalistów ds. Bezpieczeństwa?
Ans: Weźmy na przykład firmę analityczną Gartner. Na szczycie Security Summit, drugim trendem – spośród 7 najważniejszych trendów w zakresie bezpieczeństwa i ryzyka na rok 2020 – jest odnowione zainteresowanie wdrażaniem lub doskonaleniem SOCs, koncentrując się na wykrywaniu i reagowaniu na zagrożenia. Zauważają ponadto: „W odpowiedzi na rosnącą lukę w umiejętnościach bezpieczeństwa i trendy atakujących, rozszerzone wykrywanie i reagowanie (XDR) narzędzia, uczenie maszynowe (ML) i możliwości automatyzacji pojawiają się w celu zwiększenia wydajności operacji bezpieczeństwa i dokładności wykrywania.
P. To jest wymowne, ale cofnijmy się o krok i powiedzmy więcej o tym, dlaczego XDR jest nowością i nie jest tylko opakowaniem istniejącego narzędzia.
Ans: XDR jest spójną platformą operacji bezpieczeństwa, zapewniającą ścisłą integrację wielu aplikacji bezpieczeństwa na jednej platformie. SIEM jest jedną z wielu takich natywnie obsługiwanych aplikacji i współpracuje z innymi, w tym z analizą zachowań użytkowników i jednostek (UBA i EBA), analizą ruchu sieciowego (NTA) i analizą ruchu zapory sieciowej (FTA), analizą zagrożeń itp. W Stellar Cyber definiujemy Open XDR skupiając się na automatycznym wykrywaniu zagrożeń i reagowaniu na incydenty poprzez korelację zdarzeń bezpieczeństwa z wielu narzędzi bezpieczeństwa. To są główne wyzwania związane z SIEM-produkty wyłącznie, co sprawia, że są podstawowym narzędziem do zarządzania logami i zgodnością z przepisami.
P. A co z architekturą? Jak ważne jest to dla kupującego?
Ans: Open XDR jest rozwijany z wykorzystaniem nowej architektury i usług chmurowych, w tym architektury opartej na mikrousługach z kontenerami i klastrowaniem. Jest bardzo elastyczny pod względem wdrożenia, skalowalny pod względem wydajności, a dzięki wyszukiwarce opartej na Lucene, wyszukiwanie informacji jest niezwykle szybkie – w ciągu sekund, a nie godzin lub dni, jak w wielu innych platformach. SIEMProdukty wyłącznie. To samo oprogramowanie można wdrożyć lokalnie, korzystając z utwardzonych urządzeń fizycznych, maszyn wirtualnych, chmury prywatnej lub publicznej, z poziomą skalowalnością i wysoką dostępnością, co jest kluczowe dla analityki dużych zbiorów danych działającej w otwartym jeziorze danych. Cechy te są również kluczowe dla stale rosnących wolumenów danych i wymogu zgodności z przepisami dotyczącymi zerowej utraty danych.
P. Co mówią inni analitycy?
Ans: Forrester, ESG, IDC i Omdia twierdzą, że obecnie istnieją silosy i luki SOCNarzędzia muszą analizować wykrycia w całej sieci, chmurze, punktach końcowych i wśród użytkowników. Wszyscy analitycy mówią o koncepcji korelacji w tych obszarach jako o prawdziwym wskaźniku XDR możliwości. Na przykład, twoje SIEM Widzisz log informujący, że użytkownik uzyskał dostęp do SQL o nietypowej porze dnia, narzędzie NTA informuje, że użytkownik wysyła ruch poza Twój kraj, a narzędzie UBA informuje, że użytkownik zazwyczaj nie korzystał z tej aplikacji o tych porach lub przy takich prędkościach transmisji danych. To obraz złożonego ataku, jednak narzędzia silosowe wymagają ręcznej interwencji, aby wyciągnąć wnioski. Dzisiaj XDR Systemy mogą automatycznie tworzyć ten obraz za pomocą sztucznej inteligencji/uczenia maszynowego.
P. W jaki sposób pomógłbyś tym, którzy się uczą XDR aby wybrać najlepsze firmy i podjąć właściwe decyzje?
Ans: To jest kluczowe i uważamy, że istnieje pięć podstawowych, fundamentalnych wymagań XDR:
- Centralizacja znormalizowany oraz Wzbogacony dane z różnych źródeł danych, w tym dzienników, ruchu sieciowego, aplikacji, chmury, analizy zagrożeń itp.
- Automatyczne wykrywanie zdarzeń bezpieczeństwa na podstawie danych zebranych za pomocą zaawansowanych analiz, takich jak NTA, UBA i EBA
- Korelacja poszczególnych zdarzeń dotyczących bezpieczeństwa w widoku wysokiego poziomu.
- Możliwość scentralizowanej reakcji, która współdziała z poszczególnymi produktami zabezpieczającymi.
- Architektura mikro usług natywna dla chmury dla elastyczności wdrażania, skalowalności i wysokiej dostępności.
I dodatkowo dla Stellar Cyber pomysł Open XDR oznacza, że mamy otwarty ekosystem, który zapewnia wykorzystanie istniejących narzędzi bezpieczeństwa i najlepszych praktyk. Wierzymy, że zmniejszamy ryzyko bez zakłóceń i poprawiamy wierność wszystkich istniejących narzędzi.
Więc zamiast być tylko jednym narzędziem, takim jak SIEM, Gwiezdne Cybernety Open XDR koreluje dane wejściowe z wielu różnych narzędzi, w tym własnego zintegrowanego zestawu narzędzi i istniejących już narzędzi, co pozwala generować alerty o wyższej wierności, ograniczać liczbę fałszywych alarmów i znacząco zwiększać produktywność analityków.
