É hora, novamente, de mudar a conversa sobre segurança cibernética.
Não é nem orientado por dados nem baseada em IA cíber segurança, que você já deve ter ouvido antes - é tanto e muito mais, muito mais.
É impulsionado por correlação cíber segurança. Trata-se de correlações de muitas detecções, desde muito básicas, como NGFW, até muito avançadas, como EDR baseado em AI, de várias fontes de dados em uma única plataforma coesa.
Ouvimos sobre muitos desafios de segurança de clientes em potencial, clientes e parceiros - por quê? Porque é parte do que os humanos fazem - compartilhar a dor! Como você pode ou não saber, os invasores têm acesso às mesmas ferramentas que todos nós. Eles têm acesso a tecnologias de Big Data e IA para ataques mais avançados.
No entanto, com o aumento de ameaças complexas, todos concordamos - não é de admirar que ouçamos temas tão consistentes:
- Não tenho dados suficientes para ter uma detecção eficaz, ou
- Pelo contrário, tenho muitos dados e estou atolado
- Recebo muito ruído nos dados ou muitos alarmes falsos
- Recentemente, tentei algumas ferramentas avançadas que usam AI / ML para reduzir o ruído ou falsos positivos, mas essa inteligência é específica apenas para cada ferramenta.
- Tenho muitas ferramentas independentes que não se comunicam entre si e levam a respostas isoladas e altos custos
O que você pode fazer a respeito de um ataque complexo que usa esses desafios contra você? Aqui está um exemplo simples:
- Seu CEO recebe um e-mail com um URL incorporado
- Seu CEO baixa um arquivo para seu laptop acessando o URL
- Seu CEO acessa um servidor de arquivos às 2h da manhã em um dia de semana
- O laptop do seu CEO envia muito tráfego DNS
Por si só, cada um desses eventos individuais pode parecer normal. Se você tiver as ferramentas de segurança certas implantadas, algumas delas avançadas com aprendizado de máquina, como EDR e UBA, você pode descobrir que:
- Seu CEO recebe um Phishing e-mail com um embutido MALICIOSO URL.
- Seu CEO baixa um MALWARE arquivo em seu laptop acessando o URL
- Seu CEO acessa um servidor de arquivos às 2h da manhã em um dia da semana, um COMPORTAMENTO ANORMAL em um mandato UBA
- O laptop do seu CEO envia muito tráfego DNS via DNS TUNELAGEM
Isso é muita análise independente por quatro ferramentas diferentes. Com que rapidez e facilidade você pode correlacionar esses eventos para rastrear essa violação, e de quantas pessoas você precisa para agrupar tudo olhando para muitas telas diferentes?
Vamos dar um passo para trás e nos perguntar como chegamos aqui. Claramente, existem três ondas de cíber segurança, que são construídos um em cima do outro: o aumento dos dados, o aumento da IA e o aumento das correlações.
1. A ascensão dos dados - Aumentando a quantidade de dados para obter visibilidade abrangente.
A segurança orientada por dados foi o tema principal da era do Big Data, onde os dados são o novo “ouro”. Tudo começou com logs e pacotes de rede brutos, separadamente. O objetivo principal de SIEMs era coletar e agregar logs de diferentes ferramentas e aplicativos para conformidade, investigação de incidentes e gerenciamento de logs. ArcSight, um dos legados SIEM ferramentas, lançado em 2000, foi um exemplo típico de um SIEM e sistema de gerenciamento de log. Os pacotes brutos foram coletados e armazenados no estado em que se encontram para fins forenses, apesar do fato de exigirem muito espaço de armazenamento e ser muito difícil vasculhar esse grande número de pacotes para encontrar qualquer indicação de violação. Em 2006, a NetWitness encontrou uma solução analisando pacotes brutos.
Rapidamente, percebemos que nem os logs brutos nem os pacotes brutos individualmente são suficientes para serem eficazes na detecção de violações, e os pacotes brutos são muito pesados e têm uso limitado além da perícia. Informações extraídas de tráfego como Netflow / IPFix, tradicionalmente usado para visibilidade de rede e monitoramento de desempenho, passaram a ser usadas para segurança. SIEMs também começou a ingerir e armazenar Netflow / IPFix. No entanto, devido a questões de escalabilidade técnica e de custo, SIEMs nunca se tornou a principal ferramenta para análise de tráfego.
Com o passar do tempo, mais dados são coletados: arquivos, informações do usuário, inteligência de ameaças, etc. O objetivo de coletar mais dados era válido - obter visibilidade abrangente - mas o desafio da rede, responder a ataques críticos, é como encontrar agulhas em um palheiro , especialmente por meio de pesquisas manuais ou regras definidas manualmente por humanos. É trabalhoso e ineficiente em termos de tempo.
Existem dois desafios técnicos enfrentados pela segurança orientada a dados: como armazenar grandes volumes de dados em escala, permitindo pesquisas e análises eficientes, e como lidar com a variedade de dados - especialmente dados não estruturados - já que os dados podem ser de qualquer formato. Os bancos de dados relacionais tradicionais baseados em SQL enfrentaram esses dois problemas. Os fornecedores anteriores se esforçaram para resolver esses problemas com muitas soluções caseiras. Infelizmente, a maioria deles não era tão eficiente quanto o que usamos hoje com base em bancos de dados NoSQL para lagos de Big Data.
Há mais um desafio enfrentando a segurança orientada a dados: a arquitetura de software para construir de forma econômica um sistema escalonável para clientes corporativos. A arquitetura típica de 3 camadas com lógica de negócios de front-end e camadas de banco de dados tornou-se um grande obstáculo. As arquiteturas nativas da nuvem de hoje, baseadas na arquitetura de microsserviços com contêineres, fornecem soluções muito mais escalonáveis e econômicas.
2. The Rise of AI - Use machine learning com análise de Big Data para ajudar a encontrar e automatizar detecções
Depois de ter muitos dados, o que fazer com eles? Conforme mencionado anteriormente, com um grande volume de dados, examiná-los em busca de padrões significativos é tedioso e demorado. Se sua infraestrutura de TI de alguma forma for hackeada, pode levar dias para descobrir. É tarde demais porque o dano já foi feito ou dados confidenciais já foram roubados. Nesse caso, muitos dados se tornam um problema. Felizmente, vimos a ascensão do aprendizado de máquina graças aos avanços dos algoritmos de aprendizado de máquina e também ao poder da computação.
As máquinas são muito boas em fazer trabalhos repetitivos e tediosos muito rapidamente, com muita eficiência e incansavelmente 24x7. Quando as máquinas são equipadas com inteligência, como capacidades de aprendizagem, ajudam os humanos a escalar. Muitos pesquisadores e fornecedores de segurança começaram a usar a IA para resolver o problema, ajudá-los a encontrar essas agulhas ou ver tendências que estão ocultas em grandes conjuntos de dados. Assim, a ascensão de Segurança impulsionada por IAHá muitas inovações nessa área. Por exemplo, muitas empresas de Detecção e Resposta de Endpoint (EDR) usam IA para resolver problemas de segurança de endpoints; muitas empresas utilizam Análise de Comportamento de Usuários e Entidades (UEA).UEBA) empresas que usam IA para lidar com ameaças internas, e muitas Análise de tráfego de rede (NTA) empresas que usam IA para encontrar anormais tráfego de rede padrões.
Se os dados forem o novo ouro, as violações detectadas por meio de IA são como joias feitas de ouro. Requer muito tempo, paciência e muito trabalho para fazer belas joias de ouro puro à mão. Com a ajuda de máquinas, especialmente máquinas avançadas, a produção comercial de grandes joias se torna possível.
Na superfície, com Segurança impulsionada por IACom o passar do tempo, a grande quantidade de dados tornou-se um problema menor, já que o aprendizado de máquina geralmente requer muitos dados para treinar o modelo e aprender os padrões. Por outro lado, a falta de dados é obviamente um problema, pois quanto menos dados, menos preciso e, portanto, menos útil o modelo de aprendizado de máquina se torna. No entanto, com o passar do tempo, os pesquisadores gradualmente perceberam que os dados corretos são muito mais importantes. Dados em excesso sem as informações corretas representam um desperdício de poder computacional para o aprendizado de máquina, bem como um desperdício de armazenamento. Muitos estudos anteriores já haviam abordado esse tema. UEBA fornecedores com soluções baseadas em registros de SIEM ferramentas Aprendi essa dura lição. SIEM Poderíamos ter coletado muitos registros, mas apenas alguns deles contêm as informações corretas relacionadas ao comportamento do usuário. Portanto, embora a segurança orientada por dados construa uma ótima base para Segurança impulsionada por IA, a fim de construir escalonável e preciso Segurança impulsionada por IA, os dados certos são muito mais importantes.
O uso de IA definitivamente ajuda a aliviar os problemas relacionados ao Big Data, mas também apresenta seus próprios desafios. Por exemplo, ambos UEBA e a NTA utilizam aprendizado de máquina não supervisionado para análise de comportamento. No entanto, um comportamento anormal observado em um usuário ou de tráfego de rede não significa necessariamente um incidente de segurança. Essas ferramentas podem gerar muito ruído, causando fadiga de alerta. Além disso, os hacks inteligentes geralmente passam por vários estágios da cadeia de destruição antes de serem capturados. Como você pode recuperar o traço de uma violação e corrigir a causa raiz?
Há outro grande desafio enfrentando Segurança impulsionada por IA coletivamente: custo - o custo de capital das próprias ferramentas, o custo da infraestrutura de computação e armazenamento usada por essas ferramentas e o custo das operações de tantas ferramentas diferentes em seus silos com telas diferentes.
Portanto, mesmo que cada ferramenta tenha a capacidade de destilar gigabytes ou terabytes de dados em uma pequena lista de algumas detecções críticas, a questão ainda permanece: “O que você está perdendo por não consolidar essas ferramentas em uma única plataforma e correlacionar as detecções em todas as ferramentas e feeds? ”
3. The Rise of Correlations - Correlacione detecções e automatize a resposta em toda a superfície de ataque em uma única plataforma
Com esta nova onda, a conversa é transferida de dados e IA para correlações. Obviamente, essa onda é construída sobre as duas ondas anteriores. No entanto, trata-se de ficar acima dos dados e também das ferramentas, e de agrupar tudo em uma única plataforma. Seguindo nossa analogia inicial do ouro com a joia, trata-se de combinar um conjunto de joias certas e colocá-lo junto a uma pessoa para que fique bonito como um todo.
Analistas em segurança de ESG, Gartner, Forrester, IDC e Odisseia todos concordam que essa mudança no pensamento de ferramentas isoladas para uma plataforma consolidada é a chave para nos ajudar a ver e responder a violações críticas. Especificamente, a plataforma precisa ter uma abordagem holística e olhar para as detecções correlacionadas na rede, nuvem, endpoints e aplicativos - toda a superfície de ataque.
Os principais objetivos das correlações de detecções em ferramentas, feeds e ambientes são melhorar a precisão da detecção, detectar ataques complexos combinando sinais mais fracos de várias ferramentas para detectar ataques que poderiam ser ignorados e melhorar a eficiência operacional e a produtividade. A visibilidade abrangente não significa mais encontrar os dados certos - em vez disso, significa encontrar os ataques complexos.
Para fazer isso, você deve considerar Open XDR. XDR é uma solução de operações de segurança coesa com forte integração de muitos aplicativos de segurança em uma única plataforma com um único painel de vidro. Ele coleta e correlaciona automaticamente dados de várias ferramentas, melhora as detecções e fornece respostas automatizadas. Uma plataforma unindo ferramentas e aplicativos inatamente reduz o custo, tanto no custo das ferramentas quanto no custo da infraestrutura, enquanto melhora a eficiência operacional com um único painel de vidro fácil de usar.
Acreditamos que existam cinco requisitos fundamentais principais de XDR:
- Centralização de dados normalizados e enriquecidos de uma variedade de fontes de dados, incluindo logs, tráfego de rede, aplicativos, nuvem, inteligência de ameaças, etc.
- Detecção automática de eventos de segurança a partir dos dados coletados por meio de análises avançadas, como NTA, UBA e EBA.
- Correlação de eventos de segurança individuais em uma visão de alto nível.
- Capacidade de resposta centralizada que interage com produtos de segurança individuais.
- Arquitetura de microsserviços nativa da nuvem para flexibilidade de implantação, escalabilidade e alta disponibilidade.
Em conclusão, a Stellar Cyber é a única construída especificamente para esse fim. Open XDR plataforma que ingere e organiza tudo cíber segurança dados para detectar, correlacionar e responder em toda a cadeia de destruição. A onda de correlações começou, e você está convidado a cavalgar conosco, aproveitando a jornada juntos!
SIEMs – PROMESSAS VAZIAS?
SIEMOs sistemas de segurança têm sido a base das operações de segurança por décadas, e isso deve ser reconhecido. No entanto, SIEMEles fizeram muitas promessas grandiosas e, até hoje, não cumpriram muitas delas…
