Segurança impulsionada por IA, Cloud Security, Ataques cibernéticos, Cíber segurança, EDR - detecção e resposta de endpoint, Tecnologia de TI, NDR, Rede de Segurança, Análise de tráfego de rede, Abrir XDR, Plataforma XDR aberta, SOC, XDR

SIEM, XDR e a evolução da infraestrutura de segurança cibernética

SIEM, XDR e a evolução da infraestrutura de segurança cibernética
Evento de Segurança e Plataformas de gerenciamento de informações (SIEMs) coletar dados de logs de segurança e, ao fazê-lo, deve identificar pontos cegos, reduzir o ruído e a fadiga do alerta e simplificar a detecção e a resposta a ataques cibernéticos complexos. No entanto, os SIEMs não cumpriram essas promessas. Agora, a nova ideia é XDR - quais são as suas vantagens, e deve coexistir com ou substituir um SIEM? Este artigo explora o panorama atual da segurança cibernética, como SIEM se encaixa nesse cenário e como as plataformas XDR podem melhorar significativamente a visibilidade, análise e resposta a incidentes de segurança.

Evolução da infraestrutura de segurança cibernética

O cenário de segurança

A coisa mais óbvia sobre o cenário de segurança de hoje é que as ameaças estão aumentando:

  • De acordo com a Accenture, 68 por cento dos líderes empresariais sentiram que riscos de segurança cibernética estavam aumentando em 2020.
  • O Risk Based relatou que as violações de dados expuseram 36 bilhões de registros durante o primeiro semestre de 2020.
  • A Proofpoint descobriu que 88 por cento das organizações em todo o mundo sofreram ataques de spear phishing durante 2019.

Além disso, os ataques estão se tornando mais complexos. Antigamente, os hackers tinham como alvo um único vetor, como uma porta de firewall, mas hoje eles visam vários vetores. Por exemplo, um invasor pode fazer logon na rede de um local não reconhecido, acessar o sistema Active Directory e alterar os privilégios de um usuário e, em seguida, começar a baixar dados de um servidor. Por si só, cada um desses indicadores pode ser visto como falsos positivos pelos sistemas que os rastreiam, mas, na realidade, são todos parte de um único ataque.

Nesse ambiente, as empresas lutam para identificar e corrigir os ataques. A abordagem tradicional de coletar um grupo de ferramentas em silos (como EDR, NTA, SIEM e UEBA) para analisar o tráfego em redes, servidores, endpoints, nuvem e outras partes da infraestrutura de segurança simplesmente não está funcionando. Em uma pesquisa de 2020, Grupo de Estratégia Empresarial (ESG) descobriram que 75 por cento das empresas têm dificuldade em sintetizar os resultados de diferentes ferramentas de segurança para determinar os ataques. Além disso, a pesquisa mostra que 75 por cento das empresas implantaram uma ou mais ferramentas de segurança que não cumpriram o que prometiam.

Finalmente, há uma lacuna nas habilidades pessoais. A pesquisa do ESG mostrou que 75% das empresas têm uma lacuna nas habilidades pessoais - elas não conseguem contratar analistas experientes o suficiente para dar suporte à análise e às operações de segurança.

Como as ferramentas enfrentam os desafios

SIEM coletar dados de muitas fontes diferentes, incluindo firewalls, detecção e resposta de rede (NDR) sistemas, sistemas de detecção e resposta de endpoint (EDR) e corretores de segurança de aplicativos em nuvem (CASBs). A ideia é boa: uma única ferramenta coleta dados da superfície de ataque e os agrega para análise, detecção e resposta. Mas existem problemas com SIEM Ferramentas:

  • Cada ferramenta isolada produz dados em seu próprio formato.
  • Ainda há muitas tarefas manuais necessárias, como transformar os dados (incluindo a fusão de dados) para criar contexto para os dados, ou seja, enriquecimento com inteligência de ameaças, localização, ativos e / ou informações do usuário.
  • Existem tantos dados que os analistas têm grande dificuldade em detectar ataques complexos.
  • Os analistas não podem ver ataques complexos devido ao volume de dados e ao esforço necessário para correlacionar detecções separadas manualmente. Um cérebro humano não pode correlacionar mais de três fontes de informação ao mesmo tempo, então vadear em uma enxurrada de informações é difícil ou impossível.

Não é de admirar que mesmo com SIEM no trabalho, muitas empresas levam semanas ou meses para identificar ataques complexos: o tempo médio para identificar uma violação complexa é de mais de 200 dias. Os analistas de segurança estão inundados de falsos positivos, então eles não podem ver os crocodilos no pântano porque estão com água até o pescoço e apenas tentando respirar.

XDR - Vendo a floresta e todas as árvores

Se a ideia por trás SIEM era a certa em termos de coleta de dados em toda a infraestrutura, XDR (detecção e resposta de tudo) é a evolução dessa ideia. A ideia é garantir que toda a superfície de ataque possa ser monitorada a partir de um único console.

XDR é uma plataforma de operações de segurança coesa com forte integração de muitos aplicativos de segurança em um painel para correlacionar eventos em incidentes significativos em toda a superfície de ataque. Um Plataforma XDR ingere dados de SIEM, NDR, EDR, CASB, análise do comportamento da entidade do usuário (UEBA) e outras ferramentas e, ao contrário de um SIEM, normaliza esses conjuntos de dados díspares em um formato comum. O pool de dados comum é facilmente pesquisável para que os analistas possam pesquisar os alertas para detectar as causas raiz dos ataques. Além disso, XDR também usa IA e aprendizado de máquina para correlacionar automaticamente as detecções e emitir alertas de alta fidelidade, reduzindo significativamente os falsos positivos.

Ao contrário dos humanos, os computadores podem correlacionar um número ilimitado de pontos de dados, usando dados normalizados e Ferramentas AI, XDR pode identificar automaticamente ataques complexos em muitos casos, geralmente em minutos ou horas, em vez de semanas ou meses. Além disso, a forte integração com ferramentas de segurança em silos permite que o XDR dispare automaticamente respostas a alertas, como o bloqueio de uma porta de firewall.

Open XDR - Tornando XDR mais acessível

Os mais Plataformas XDR no mercado são soluções de fornecedor único que se baseiam no EDR base e firewalls. Empresas que optam por fornecedor único XDR devem, portanto, abandonar seus investimentos em ferramentas existentes para adotar o XDR. A maioria das empresas gastou milhões para adquirir e aprender a usar suas ferramentas existentes, portanto, relutam em fazer isso.

Abrir XDR é uma variante XDR que funciona com ferramentas de segurança existentes - qualquer EDR e qualquer firewall. Portanto, permite aos usuários reter seus investimentos em segurança cibernética enquanto os aprimora agregando todos os seus dados, detectando ataques, apresentando alertas de alta fidelidade de toda a infraestrutura em uma única interface e respondendo automaticamente em muitos casos para oferecer uma melhoria imediata no geral postura de segurança. 

Além disso, Plataformas XDR abertas integram seus próprios conjuntos de SIEM, NTA, UEBA e outras ferramentas. Isso permite que os usuários desativem algumas de suas ferramentas existentes ao longo do tempo, reduzindo gradualmente os custos de licenciamento e a complexidade operacional.

Conclusão

SIEM tem sido a base das operações de segurança por vários anos, mas geralmente cria mais trabalho com menos resultados. Os analistas estão sobrecarregados com uma grande quantidade de alertas, os dados são difíceis de normalizar e é impossível contratar analistas suficientes para atender à necessidade. 

Ao fornecer detecções rápidas e claras de sistemas existentes com respostas automatizadas, Sistemas XDR abertos acelere a identificação e correção de ataques enquanto reduz a carga sobre as equipes de analistas, levando a uma melhor segurança geral, funcionários mais felizes, menos interrupções e custos mais baixos.

O Open XDR é a base da próxima geração do Security Operations Center.