Nos últimos meses, o XDR acrônimo está sendo usado por quase todos os fabricantes de produtos de segurança. Uma coisa é dizer que você o tem, mas o trabalho árduo que vai para a construção das detecções leva anos. Não é suficiente dizer que você tem uma plataforma de big data na qual pode despejar coisas e pesquisar; você precisa de detecções acionáveis que levam a correlações significativas. Aqui estão duas coisas importantes a considerar quando você olha para XDR.
Normalização de dados - Para obter visibilidade total, a primeira coisa que você precisa considerar são os próprios dados. Cada produto de segurança possui uma forma diferente de apresentar seus logs e alertas. Soluções de rede, ferramentas de segurança de endpoint, firewalls, ferramentas de identidade, ferramentas de segurança em nuvem e muitos outros, todos têm seus próprios formatos de alerta e frequência. Cada SIEM ferramenta pode armazenar registros desses dispositivos - essa é a parte fácil.
O problema é que criar regras complexas e multidimensionais para acompanhar o ritmo atual de ataques é quase impossível. Por exemplo, em um IDS, você pode ver mais de um milhão de alertas por dia. As regras do Suricata podem filtrar as vulnerabilidades conhecidas até 200,000, mas a partir daí você normalmente teria que criar uma série de regras com base no seu conhecimento do ambiente do cliente.
Esta é uma área onde o uso de aprendizado de máquina (ML) nos dados do IDS pode reduzir significativamente esse número para um punhado gerenciável de alertas. Em vez de escrever regras para detectar coisas, você pode usar o ML para estabelecer uma linha de base do comportamento normal naquela rede. Quando o cliente normalmente faz login? De onde ele faz login? Quanto tempo ele normalmente permanece conectado? Em vez de 200,000 alertas, as detecções de ML podem reduzir isso para um punhado. Visualizar essas informações correlacionadas em todas as suas ferramentas de segurança é significativamente mais rápido e fácil para sua equipe. SOC analista para gerenciar.
Integrações abertas - Além disso, certifique-se de que o XDR plataforma você está considerando é aberto. À medida que as tecnologias de segurança mudam rapidamente nos próximos anos, essas plataformas o ajudarão a evitar o aprisionamento do fornecedor. Isso o ajudará a manter sua capacidade de se ajustar às mudanças no cenário da segurança cibernética e às necessidades de seus clientes.
Na Stellar Cyber - nós pensamos uma API ou Open XDR é o melhor caminho a seguir – independentemente de onde você vem e quais ferramentas existentes você usa, e independentemente de onde você quer ir em termos de maturidade de segurança. Para nós, isso significa que ajudamos a compor uma estratégia que funcione para você como uma empresa ou para seus clientes como um MSSP, alavancando os investimentos que ambos fizeram. Entre em contato comigo para uma discussão animada: ssalinas@stellarcyber.ai
