Sessão de Perguntas e Respostas com o CEO e Cofundador Changming Liu
Resp: SIEMOs sistemas de segurança têm sido a base das operações de segurança por décadas, e devemos reconhecer isso. No entanto, SIEMMuitas empresas fizeram grandes promessas, mas até hoje não cumpriram muitas delas, em particular a visão de correlação automática e holística de detecções. Este é o principal problema que buscamos solucionar na Stellar Cyber com nossa solução. Open XDR plataforma
SIEMs – PROMESSAS VAZIAS?
SIEMOs sistemas de segurança têm sido a base das operações de segurança por décadas, e isso deve ser reconhecido. No entanto, SIEMEles fizeram muitas promessas grandiosas e, até hoje, não cumpriram muitas delas…
P: Vamos esclarecer essa afirmação. Quando você diz correlação de detecções, o que você quer dizer exatamente e por que não pode... SIEMs fazem isso?
Resp: Detecções são eventos que parecem anômalos ou maliciosos. E a questão hoje em um centro de operações de segurança moderno (SOCO problema é que as detecções podem surgir de diversas ferramentas isoladas. Por exemplo, você tem firewall e detecção e resposta de rede (NDR) para a proteção da sua rede, detecção e resposta de endpoint (EDR) para a proteção dos seus endpoints e um agente de segurança de aplicativos em nuvem (CASB) para seus aplicativos SaaS. Correlacionar essas detecções para formar um panorama mais completo é a questão, já que os hackers agora usam técnicas mais complexas para acessar seus aplicativos e dados, com superfícies de ataque cada vez maiores. Sua equipe está lidando com falsos positivos ou com a incapacidade de analisar essas detecções e discernir o que é crítico do que é ruído. O principal objetivo de SIEMO objetivo é coletar e agregar dados, como registros de diferentes ferramentas e aplicativos, para obter visibilidade das atividades e investigar incidentes.
Dito isso, ainda há muitas tarefas manuais necessárias, como transformar os dados, incluindo a fusão de dados para criar contexto para os dados, ou seja, enriquecimento com inteligência de ameaças, localização, ativos e / ou informações do usuário.
P. Então, vamos voltar ao título, por que isso é tão importante para os profissionais de segurança?
Resp: Tomemos como exemplo a empresa de análise Gartner. Em seu Security Summit, a segunda tendência — entre as sete principais tendências de segurança e risco para 2020 — é um interesse renovado na implementação ou no aprimoramento de soluções de segurança. SOCcom foco na detecção e resposta a ameaças. Eles observam ainda: “Em resposta à crescente lacuna de habilidades em segurança e às tendências de ataque, a detecção e resposta estendidas (XDRFerramentas, aprendizado de máquina (ML) e capacidade de automação estão surgindo para melhorar a produtividade das operações de segurança e a precisão da detecção.”
P: Isso é revelador, mas vamos dar um passo atrás e falar mais sobre o porquê. XDR É algo novo, e não apenas uma interface para uma ferramenta já existente.
Resp: XDR É uma plataforma de operações de segurança coesa, com integração estreita de diversos aplicativos de segurança em uma única plataforma. SIEM é uma das muitas aplicações com suporte nativo e funciona em conjunto com as outras, incluindo Análise de Comportamento de Usuários e Entidades (UBA e EBA), Análise de Tráfego de Rede (NTA) e Análise de Tráfego de Firewall (FTA), inteligência de ameaças, etc. Na Stellar Cyber, nós definimos Open XDR com foco em casos de uso de detecção automática de ameaças e resposta a incidentes, correlacionando eventos de segurança de diversas ferramentas de segurança. Esses são os principais desafios com SIEM-produtos exclusivos, o que os torna a principal ferramenta para gerenciamento de logs e conformidade.
P. E quanto à arquitetura? Qual a importância disso para o comprador?
Resp: Open XDR É desenvolvido usando uma nova arquitetura e serviços nativos da nuvem, incluindo arquitetura baseada em microsserviços com contêineres e clustering. É muito flexível em termos de implantação, escalável em desempenho e possui um mecanismo de busca baseado em Lucene para tornar a consulta de informações extremamente rápida – em segundos, em vez de horas ou dias, como ocorre em muitos outros sistemas. SIEM-somente produtos. O mesmo software pode ser implementado localmente com dispositivos físicos robustos, máquinas virtuais, nuvem privada ou pública, com escalabilidade horizontal e alta disponibilidade, recursos essenciais para análise de big data executada em um data lake aberto. Essas características também são cruciais para os volumes de dados cada vez maiores e para a exigência de conformidade com a meta de zero perda de dados.
P. O que outros analistas estão dizendo?
Resp: A Forrester, a ESG, a IDC e a Omdia afirmam que existem silos e lacunas no cenário atual. SOCAs ferramentas precisam analisar as detecções em toda a rede, nuvem, endpoints e usuários. Todos os analistas falam sobre a ideia de correlações entre essas áreas como um verdadeiro indicador de segurança. XDR capacidade. Por exemplo, sua SIEM Se você vir um registro informando que um usuário acessou o SQL em um horário atípico, sua ferramenta NTA (Análise de Tráfego de Usuário) indicar que o usuário está enviando tráfego para fora do país e sua ferramenta UBA (Análise de Base de Usuário) informar que, além disso, o usuário normalmente não utiliza esse aplicativo nesses horários ou com essas taxas de dados, isso configura um ataque complexo. No entanto, ferramentas isoladas exigem intervenção manual para chegar a essa conclusão. Hoje XDR Os sistemas podem criar essa imagem automaticamente por meio de IA/ML.
P: Como você ajudaria aqueles que estão aprendendo sobre XDR Como selecionar as empresas mais adequadas e tomar as decisões certas?
Resp: Isso é fundamental, e acreditamos que existam cinco requisitos básicos principais. XDR:
- Centralização de normalizado e enriquecido dados de uma variedade de fontes de dados, incluindo registros, tráfego de rede, aplicativos, nuvem, inteligência de ameaças, etc.
- Detecção automática de eventos de segurança dos dados coletados com análises avançadas, como NTA, UBA e EBA
- Correlação de eventos de segurança individuais em uma exibição de alto nível.
- Capacidade de resposta centralizada que interage com produtos de segurança individuais.
- Arquitetura de microsserviços nativa da nuvem para flexibilidade de implantação, escalabilidade e alta disponibilidade.
E, além disso, para Stellar Cyber, a ideia de Open XDR significa que temos um ecossistema aberto para garantir que você aproveite suas ferramentas de segurança e práticas recomendadas existentes. Acreditamos que reduzimos o risco sem interrupções e melhoramos a fidelidade de todas as ferramentas existentes.
Então, ao invés de ser apenas uma ferramenta como um SIEM, Stellar Cyber's Open XDR A plataforma correlaciona dados de diversas ferramentas, incluindo seu próprio conjunto de ferramentas integradas e outras já existentes, para gerar alertas mais precisos, reduzir falsos positivos e aumentar significativamente a produtividade dos analistas.
