Muitos MSSP's usar SIEMs e outras soluções de gerenciamento / agregação / análise de log para visibilidade da cibersegurança, mas a análise de log é suficiente? Ouvimos cada vez mais sobre soluções de segurança holísticas, como XDR plataformas que afirmam cobrir toda a superfície de ataque, especialmente porque o último ataque de pipeline reforçou a natureza complexa dos sofisticados ataques cibernéticos de vários estágios de hoje. Os agressores admitiram que não esperavam que seu ataque fechasse o oleoduto, mas o resultado foi devastador. Vamos dar uma olhada rápida no que obtemos dos registros e o que não obtemos.
Os logs, por sua própria natureza, são uma visão do passado. Eles nos dão visibilidade da atividade de servidores de arquivos e aplicativos, sistemas de gerenciamento de usuários como Active Directory, servidores de e-mail e outras ferramentas. Quando os logs são devidamente correlacionados e analisados, podemos saber quando ocorrem anomalias nesses sistemas.
Mas e os ataques de dia zero? Se não houver reputação para um arquivo ransomware, como você o detecta? A resposta é que você não pode até que ele tenha proliferado em seu ambiente a ponto de ser perceptível por meio de vários alertas DEPOIS de infectar uma parte significativa de seu ambiente.
Então, como ganhamos essa maior visibilidade? Primeiro, em vez de apenas ingerir logs brutos, precisamos considerar como extrair os metadados de segurança desses logs de múltiplas fontes. Em seguida, precisamos processar esses dados em vários feeds de inteligência de ameaças. Se não houver nenhuma correspondência com o arquivo na inteligência de ameaças, precisa haver uma maneira automatizada de compartilhar esse arquivo com um sandbox. Assim que o sandbox o classificar, essa reputação precisa ser incluída no evento. É por isso que a ideia de XDR reunindo essas etapas em um Painel único está se tornando um tópico tão quente - ataques complexos não são fáceis de ver com equipes e ferramentas isoladas.
Em última análise, essa automação simplificaria significativamente o fluxo de trabalho para o SOC analista. Eles poderiam se concentrar em eventos correlacionados em vez de esperar que as situações gerem um número significativo de alertas antes de chamarem sua atenção. Isso reduzirá significativamente o MTTD (Tempo Médio para Detecção). Munidos das informações corretas, eles também podem agir rapidamente, reduzindo o MTTR.
Os registros têm seu lugar na segurança cibernética do ponto de vista da conformidade. Mas se você depende apenas dos logs para análise e correção, está perdendo uma grande oportunidade de aproveitar a automação e a visibilidade das ferramentas e detecções para melhorar sua postura de segurança e reduzir a possibilidade de um ataque que poderia afetar significativamente suas operações de negócios.
Você pode ver como os MSSPs estão aproveitando o modelo "Aberto" da Stellar Cyber. XDR para impulsionar receitas de alta margem aqui.ou me contate diretamente brian@stellarcyber.ai.
