The Pipeline Attack - การวิเคราะห์บันทึกเพียงพอสำหรับความปลอดภัยทางไซเบอร์หรือไม่?

SUNBURST เป็นการโจมตี Zero-day จริงหรือ?

หลาย MSSP ของ ใช้ SIEM และโซลูชันการจัดการ / การรวบรวม / การวิเคราะห์บันทึกอื่น ๆ สำหรับการมองเห็นความปลอดภัยทางไซเบอร์ แต่การวิเคราะห์บันทึกเพียงพอหรือไม่ เราได้รับข้อมูลมากขึ้นเกี่ยวกับโซลูชันการรักษาความปลอดภัยแบบองค์รวมเช่น แพลตฟอร์ม XDR ที่อ้างว่าครอบคลุมพื้นผิวการโจมตีทั้งหมดโดยเฉพาะอย่างยิ่งเนื่องจากการโจมตีไปป์ไลน์ครั้งล่าสุดได้เสริมสร้างลักษณะผสมของการโจมตีทางไซเบอร์หลายขั้นตอนที่ซับซ้อนในปัจจุบัน ผู้โจมตียอมรับว่าพวกเขาไม่ได้คาดหวังว่าการโจมตีของพวกเขาจะปิดท่อส่ง แต่ผลที่ตามมานั้นร้ายแรง มาดูสิ่งที่เราได้รับจากบันทึกและสิ่งที่เราไม่ได้รับจากบันทึก

บันทึกโดยธรรมชาติเป็นมุมมองในอดีต สิ่งเหล่านี้ทำให้เราสามารถมองเห็นกิจกรรมของไฟล์และแอปพลิเคชันเซิร์ฟเวอร์ระบบการจัดการผู้ใช้เช่น Active Directory เซิร์ฟเวอร์อีเมลและเครื่องมืออื่น ๆ เมื่อบันทึกมีความสัมพันธ์และวิเคราะห์อย่างเหมาะสมเราสามารถทราบได้ว่าเมื่อใดเกิดความผิดปกติในระบบเหล่านี้ 

แต่การโจมตีแบบ zero-day ล่ะ? หากไม่มีชื่อเสียงของไฟล์ ransomware คุณจะตรวจพบได้อย่างไร? คำตอบคือคุณทำไม่ได้จนกว่ามันจะแพร่กระจายในสภาพแวดล้อมของคุณจนถึงจุดที่สังเกตเห็นได้จากการแจ้งเตือนหลายครั้งหลังจากที่มันติดเชื้อส่วนสำคัญในสภาพแวดล้อมของคุณ

ดังนั้นเราจะได้รับการมองเห็นที่ดีขึ้นนี้ได้อย่างไร?  อันดับแรกแทนที่จะนำเข้าบันทึกดิบเราต้องพิจารณาวิธีดึงข้อมูลเมตาด้านความปลอดภัยออกจากบันทึกเหล่านั้นจากหลายแหล่ง ต่อไปเราต้องเรียกใช้ข้อมูลนั้นผ่านฟีดข่าวกรองภัยคุกคามหลายรายการ หากไม่มีการโจมตีไฟล์จากข่าวกรองภัยคุกคามจำเป็นต้องมีวิธีอัตโนมัติในการแชร์ไฟล์นั้นกับแซนด์บ็อกซ์ เมื่อแบ่งแซนด์บ็อกซ์แล้วชื่อเสียงนั้นจะต้องถูกรวมไว้ในกิจกรรม นี่คือเหตุผลที่แนวคิดของ XDR ดึงขั้นตอนเหล่านี้มารวมกันเป็นไฟล์ แดชบอร์ดเดียว กำลังกลายเป็นประเด็นร้อน - การโจมตีที่ซับซ้อนไม่ใช่เรื่องง่ายที่จะมองเห็นได้ด้วยทีมและเครื่องมือที่ไม่สามารถมองเห็นได้

ท้ายที่สุดแล้วระบบอัตโนมัตินี้จะช่วยลดความซับซ้อนของเวิร์กโฟลว์สำหรับนักวิเคราะห์ SOC ได้อย่างมาก พวกเขาสามารถมุ่งเน้นไปที่เหตุการณ์ที่เกี่ยวข้องแทนที่จะรอให้สถานการณ์สร้างการแจ้งเตือนจำนวนมากก่อนที่จะได้รับความสนใจ สิ่งนี้จะช่วยลด MTTD ได้อย่างมาก ด้วยข้อมูลที่ถูกต้องพวกเขายังสามารถดำเนินการได้อย่างรวดเร็ว MTTR.

บันทึกมีส่วนในการรักษาความปลอดภัยทางไซเบอร์จากมุมมองของการปฏิบัติตามข้อกำหนด แต่ถ้าคุณใช้บันทึกเพียงอย่างเดียวในการวิเคราะห์และแก้ไขคุณจะพลาดโอกาสใหญ่ในการใช้ประโยชน์จากระบบอัตโนมัติและการมองเห็นในเครื่องมือและการตรวจจับเพื่อปรับปรุงท่าทางการรักษาความปลอดภัยของคุณและลดความเป็นไปได้ของการโจมตีที่อาจส่งผลกระทบต่อการดำเนินธุรกิจของคุณอย่างมาก 

คุณสามารถดูว่า MSSP ใช้ประโยชน์จาก XDR“ Open” ของ Stellar Cyber ​​เพื่อเพิ่มรายได้ที่มาร์จิ้นสูงได้อย่างไร โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติมหรือติดต่อฉันโดยตรง brian@stellarcyber.ai