การสนทนาเกี่ยวกับคลื่นลูกใหม่ของการรักษาความปลอดภัยทางไซเบอร์

ถึงเวลาเปลี่ยนบทสนทนาในเรื่องความปลอดภัยทางไซเบอร์อีกครั้ง

มันไม่ใช่ทั้งสองอย่าง ที่ขับเคลื่อนด้วยข้อมูล ไม่ ขับเคลื่อนด้วย AI โลกไซเบอร์ซึ่งคุณอาจเคยได้ยินมาก่อน - ทั้งสองอย่างและอื่น ๆ อีกมากมาย

มันเป็นความสัมพันธ์ที่ขับเคลื่อนด้วย โลกไซเบอร์. เป็นเรื่องเกี่ยวกับความสัมพันธ์ของการตรวจจับจำนวนมากตั้งแต่ขั้นพื้นฐานเช่น NGFW ไปจนถึงขั้นสูงเช่น EDR ที่ใช้ AI จากแหล่งข้อมูลต่างๆในแพลตฟอร์มเดียว

เราได้ยินเกี่ยวกับความท้าทายด้านความปลอดภัยมากมายจากผู้มีโอกาสเป็นลูกค้าลูกค้าและคู่ค้า - ทำไม? เพราะเป็นส่วนหนึ่งของสิ่งที่มนุษย์ทำ - แบ่งปันความเจ็บปวด! ดังที่คุณอาจทราบหรือไม่ทราบผู้โจมตีสามารถเข้าถึงเครื่องมือแบบเดียวกับที่เราทุกคนทำ พวกเขาสามารถเข้าถึงทั้ง Big Data และเทคโนโลยี AI สำหรับการโจมตีขั้นสูงมากขึ้น

อย่างไรก็ตามด้วยภัยคุกคามที่ซับซ้อนเพิ่มขึ้นเราทุกคนเห็นด้วย - ไม่น่าแปลกใจที่เราได้ยินประเด็นที่สอดคล้องกันเช่น

• ฉันมีข้อมูลไม่เพียงพอที่จะตรวจจับได้อย่างมีประสิทธิภาพหรือ
• ในทางตรงกันข้ามฉันมีข้อมูลมากเกินไปและฉันก็ล้นมือ
• ฉันได้รับสัญญาณรบกวนมากเกินไปในข้อมูลหรือสัญญาณเตือนที่ผิดพลาดมากเกินไป
• เมื่อเร็ว ๆ นี้ฉันได้ลองใช้เครื่องมือขั้นสูงบางอย่างที่ใช้ AI / ML เพื่อลดเสียงรบกวนหรือผลบวกที่ผิดพลาด แต่ความชาญฉลาดนั้นเฉพาะสำหรับแต่ละเครื่องมือเท่านั้น
• ฉันมีเครื่องมืออิสระมากมายที่ไม่พูดถึงกันและนำไปสู่คำตอบที่ไม่ดีและมีค่าใช้จ่ายสูง

คุณสามารถทำอะไรได้บ้างเกี่ยวกับการโจมตีที่ซับซ้อนซึ่งใช้ความท้าทายเหล่านี้กับคุณ นี่คือตัวอย่างง่ายๆ:

• CEO ของคุณได้รับอีเมลพร้อม URL ที่ฝังไว้
• CEO ของคุณดาวน์โหลดไฟล์ลงในแล็ปท็อปของเขาโดยไปที่ URL
• CEO ของคุณเข้าถึงไฟล์เซิร์ฟเวอร์เวลาตีสองของวันธรรมดา
• แล็ปท็อปของ CEO ของคุณส่งทราฟฟิก DNS จำนวนมาก

ด้วยตัวเองแต่ละเหตุการณ์เหล่านี้อาจดูเป็นเรื่องปกติ หากคุณมีการติดตั้งเครื่องมือรักษาความปลอดภัยที่ถูกต้องโดยที่บางอย่างมีขั้นสูงด้วยการเรียนรู้ของเครื่องเช่น EDR และ UBAคุณอาจพบว่า:

• CEO ของคุณจะได้รับไฟล์ ฟิชชิ่ง อีเมลที่มีไฟล์ เป็นอันตราย URL
• CEO ของคุณดาวน์โหลดไฟล์ มัลแวร์ ไฟล์ไปยังแล็ปท็อปของเขาโดยไปที่ URL
• CEO ของคุณเข้าถึงไฟล์เซิร์ฟเวอร์เวลา 2 น. ของวันธรรมดาไฟล์ พฤติกรรมผิดปกติ ในระยะ UBA
• แล็ปท็อปของ CEO ของคุณส่งทราฟฟิก DNS จำนวนมากผ่าน DNS การปรับจูน

นั่นคือการวิเคราะห์อิสระจำนวนมากโดยใช้เครื่องมือสี่อย่างที่แตกต่างกัน คุณสามารถเชื่อมโยงเหตุการณ์เหล่านี้ได้รวดเร็วและง่ายดายเพียงใดเพื่อติดตามการละเมิดนี้และคุณต้องใช้กี่คนในการรวบรวมทั้งหมดเข้าด้วยกันโดยดูจากหน้าจอต่างๆ

ลองย้อนกลับมาถามตัวเองว่าเรามาที่นี่ได้อย่างไร เห็นได้ชัดว่ามีคลื่นสามลูก โลกไซเบอร์ซึ่งสร้างขึ้นจากกันและกัน: การเพิ่มขึ้นของข้อมูลการเพิ่มขึ้นของ AI และการเพิ่มขึ้นของความสัมพันธ์

1. การเพิ่มขึ้นของข้อมูล - การเพิ่มจำนวนข้อมูลเพื่อให้สามารถมองเห็นได้อย่างครอบคลุม

การรักษาความปลอดภัยที่ขับเคลื่อนด้วยข้อมูลเป็นธีมหลักของยุคบิ๊กดาต้าที่ข้อมูลคือ "ทองคำ" แบบใหม่ เริ่มต้นด้วยบันทึกและแพ็กเก็ตเครือข่ายดิบแยกกัน วัตถุประสงค์หลักของ SIEMs คือการรวบรวมและรวบรวมบันทึกจากเครื่องมือและแอปพลิเคชันต่างๆสำหรับการปฏิบัติตามข้อกำหนดการตรวจสอบเหตุการณ์และการจัดการบันทึก ArcSight หนึ่งในมรดก SIEM เครื่องมือซึ่งเปิดตัวในปี 2000 เป็นตัวอย่างทั่วไปของไฟล์ SIEM และระบบจัดการบันทึก แพ็คเก็ตดิบถูกรวบรวมและจัดเก็บตามที่เป็นอยู่สำหรับการพิสูจน์หลักฐานแม้ว่าจะต้องการพื้นที่เก็บข้อมูลจำนวนมากก็ตามและเป็นการยากมากที่จะลอดผ่านแพ็คเก็ตจำนวนมากเหล่านี้เพื่อค้นหาข้อบ่งชี้ของการละเมิด ในปี 2006 NetWitness พบวิธีการวิเคราะห์แพ็คเก็ตดิบ

เราตระหนักได้อย่างรวดเร็วว่าไม่มีการบันทึกข้อมูลดิบหรือแพ็กเก็ตดิบทีละรายการเพียงพอที่จะตรวจจับการละเมิดได้อย่างมีประสิทธิภาพและแพ็กเก็ตดิบนั้นหนักเกินไปและมีการใช้งานที่ จำกัด นอกเหนือจากการพิสูจน์หลักฐาน ข้อมูลที่ดึงมาจากการรับส่งข้อมูลเช่น Netflow / IPFix ซึ่งตามปกติจะใช้สำหรับการมองเห็นเครือข่ายและการตรวจสอบประสิทธิภาพเริ่มถูกนำมาใช้เพื่อความปลอดภัย SIEMs ยังเริ่มนำเข้าและจัดเก็บ Netflow / IPFix ด้วย อย่างไรก็ตามเนื่องจากความกังวลเกี่ยวกับความสามารถในการปรับขนาดทางเทคนิคและความกังวลด้านต้นทุน SIEMs ไม่เคยกลายเป็นเครื่องมือหลักในการวิเคราะห์การจราจร

เมื่อเวลาผ่านไปจะมีการรวบรวมข้อมูลมากขึ้นเช่นไฟล์ข้อมูลผู้ใช้ข้อมูลภัยคุกคาม ฯลฯ เป้าหมายของการรวบรวมข้อมูลที่ถูกต้องมากขึ้นมีการมองเห็นที่แพร่หลาย แต่ความท้าทายสุทธิในการตอบสนองต่อการโจมตีที่สำคัญก็เหมือนกับการหาเข็มในกองหญ้า โดยเฉพาะอย่างยิ่งผ่านการค้นหาด้วยตนเองหรือกฎที่กำหนดโดยมนุษย์ด้วยตนเอง ใช้แรงงานมากและไม่มีประสิทธิภาพด้านเวลา

มีความท้าทายทางเทคนิคสองประการที่ต้องเผชิญกับการรักษาความปลอดภัยที่ขับเคลื่อนด้วยข้อมูล: วิธีการจัดเก็บข้อมูลจำนวนมากในระดับที่เหมาะสมช่วยให้สามารถค้นหาและวิเคราะห์ได้อย่างมีประสิทธิภาพและวิธีจัดการกับข้อมูลที่หลากหลายโดยเฉพาะข้อมูลที่ไม่มีโครงสร้างเนื่องจากข้อมูลสามารถอยู่ในรูปแบบใดก็ได้ ฐานข้อมูลเชิงสัมพันธ์แบบดั้งเดิมที่ใช้ SQL พบปัญหาทั้งสองนี้ ผู้ขายก่อนหน้านี้พยายามแก้ไขปัญหาเหล่านี้ด้วยโซลูชันที่ปลูกเองที่บ้านจำนวนมาก น่าเสียดายที่ส่วนใหญ่ไม่มีประสิทธิภาพเท่ากับสิ่งที่เราใช้อยู่ในปัจจุบันโดยอาศัยฐานข้อมูล NoSQL สำหรับทะเลสาบ Big Data

มีอีกหนึ่งความท้าทายที่ต้องเผชิญกับการรักษาความปลอดภัยที่ขับเคลื่อนด้วยข้อมูลนั่นคือสถาปัตยกรรมซอฟต์แวร์เพื่อสร้างระบบที่ปรับขนาดได้อย่างคุ้มค่าสำหรับลูกค้าองค์กร สถาปัตยกรรม 3 ชั้นทั่วไปพร้อมตรรกะทางธุรกิจส่วนหน้าและระดับฐานข้อมูลกลายเป็นอุปสรรคใหญ่ สถาปัตยกรรมระบบคลาวด์ในปัจจุบันซึ่งสร้างขึ้นจากสถาปัตยกรรมบริการขนาดเล็กพร้อมคอนเทนเนอร์มอบโซลูชันที่ปรับขนาดได้และประหยัดค่าใช้จ่ายมากขึ้น

2. การเพิ่มขึ้นของ AI - ใช้แมชชีนเลิร์นนิงกับการวิเคราะห์ข้อมูลขนาดใหญ่เพื่อช่วยค้นหาและทำการตรวจจับโดยอัตโนมัติ

เมื่อคุณมีข้อมูลจำนวนมากคุณจะทำอย่างไรกับข้อมูลนั้น? ดังที่ได้กล่าวไว้ก่อนหน้านี้ด้วยข้อมูลจำนวนมากการกลั่นกรองข้อมูลเพื่อค้นหารูปแบบที่มีความหมายเป็นเรื่องที่น่าเบื่อและใช้เวลานาน หากโครงสร้างพื้นฐานด้านไอทีของคุณถูกแฮ็กอย่างน่าเสียดายอาจต้องใช้เวลาหลายวันในการค้นหา สายเกินไปเนื่องจากได้รับความเสียหายแล้วหรือข้อมูลที่ละเอียดอ่อนถูกขโมยไปแล้ว ในกรณีนี้ข้อมูลมากเกินไปจะกลายเป็นปัญหา โชคดีที่เราได้เห็นการเพิ่มขึ้นของการเรียนรู้ของเครื่องเนื่องจากความก้าวหน้าของอัลกอริทึมการเรียนรู้ของเครื่องและพลังในการประมวลผล

เครื่องจักรเป็นสิ่งที่ดีมากในการทำงานซ้ำ ๆ และน่าเบื่ออย่างรวดเร็วมีประสิทธิภาพและไม่รู้จักเหน็ดเหนื่อยตลอด 24 × 7 เมื่อเครื่องจักรมีความฉลาดเช่นความสามารถในการเรียนรู้จะช่วยให้มนุษย์ปรับขนาดได้ นักวิจัยและผู้ขายด้านความปลอดภัยจำนวนมากเริ่มใช้ประโยชน์จาก AI เพื่อแก้ปัญหาเพื่อช่วยในการค้นหาเข็มเหล่านั้นหรือดูแนวโน้มที่ซ่อนอยู่ในชุดข้อมูลขนาดใหญ่ ดังนั้นการเพิ่มขึ้นของ ความปลอดภัยที่ขับเคลื่อนด้วย AIมีนวัตกรรมมากมายในด้านนี้ ตัวอย่างเช่น มีบริษัทด้านการตรวจจับและตอบสนองภัยคุกคามที่ปลายทาง (EDR) จำนวนมากที่ใช้ AI ในการแก้ไขปัญหาความปลอดภัยของปลายทาง และมีบริษัทด้านการวิเคราะห์พฤติกรรมผู้ใช้และเอนทิตี (User and Entity Behavior Analysis) จำนวนมากUEBAบริษัทต่างๆ ใช้ AI เพื่อรับมือกับภัยคุกคามจากบุคคลภายใน และอื่นๆ อีกมากมาย การวิเคราะห์การรับส่งข้อมูลเครือข่าย (NTA) บริษัท ที่ใช้ AI เพื่อค้นหาความผิดปกติ การรับส่งข้อมูลเครือข่าย รูปแบบ

หากข้อมูลเป็นทองคำใหม่การละเมิดที่ตรวจพบผ่าน AI ก็เหมือนกับเครื่องประดับที่ทำจากทองคำ ต้องใช้เวลาความอดทนและความพยายามอย่างหนักเพื่อที่จะทำเครื่องประดับที่สวยงามด้วยมือจากทองคำธรรมดา ด้วยความช่วยเหลือของเครื่องจักรโดยเฉพาะอย่างยิ่งเครื่องจักรขั้นสูงการผลิตเครื่องประดับชั้นยอดในเชิงพาณิชย์จึงเป็นไปได้

บนพื้นผิวด้วย ความปลอดภัยที่ขับเคลื่อนด้วย AIการมีข้อมูลมากเกินไปกลายเป็นปัญหาที่น้อยลง เนื่องจาก Machine Learning (ML) มักต้องการข้อมูลจำนวนมากในการฝึกฝนโมเดลและเรียนรู้รูปแบบ ในทางตรงกันข้าม การมีข้อมูลไม่เพียงพอเป็นปัญหาอย่างเห็นได้ชัด เพราะยิ่งมีข้อมูลน้อยเท่าไร โมเดล ML ก็ยิ่งมีความแม่นยำน้อยลง และยิ่งมีประโยชน์น้อยลงเท่านั้น อย่างไรก็ตาม เมื่อเวลาผ่านไป นักวิจัยค่อยๆ ตระหนักว่าข้อมูลที่ถูกต้องนั้นสำคัญกว่ามาก ข้อมูลมากเกินไปโดยปราศจากข้อมูลที่ถูกต้องนั้นเป็นเพียงการสิ้นเปลืองพลังการประมวลผลสำหรับ ML และเป็นการสิ้นเปลืองพื้นที่จัดเก็บข้อมูลในเวลาเดียวกัน งานวิจัยก่อนหน้านี้จำนวนมากได้กล่าวถึงเรื่องนี้ไว้แล้ว UEBA ผู้ขายที่มีโซลูชันที่อิงตามบันทึกจาก SIEM เครื่องมือ ฉันได้เรียนรู้บทเรียนอันยากลำบากนี้แล้ว SIEM อาจจะเก็บรวบรวมบันทึกข้อมูลไว้มากมาย แต่มีเพียงไม่กี่รายการเท่านั้นที่มีข้อมูลที่ถูกต้องเกี่ยวกับพฤติกรรมของผู้ใช้ ดังนั้น แม้ว่าการรักษาความปลอดภัยโดยใช้ข้อมูลเป็นหลักจะสร้างรากฐานที่ดีเยี่ยมก็ตาม ความปลอดภัยที่ขับเคลื่อนด้วย AIเพื่อสร้างขนาดที่ปรับขนาดได้และแม่นยำ ความปลอดภัยที่ขับเคลื่อนด้วย AIข้อมูลที่ถูกต้องสำคัญกว่ามาก

การใช้ AI ช่วยบรรเทาปัญหาที่เกิดจาก Big Data ได้อย่างแน่นอน แต่ก็มีข้อท้าทายอยู่เช่นกัน ตัวอย่างเช่น ทั้งสองด้าน UEBA และ NTA ใช้การเรียนรู้ของเครื่องจักรแบบไม่กำกับดูแลสำหรับการวิเคราะห์พฤติกรรม อย่างไรก็ตาม พฤติกรรมที่ผิดปกติที่สังเกตได้จากผู้ใช้หรือจากแหล่งอื่น การรับส่งข้อมูลเครือข่าย ไม่ได้หมายถึงเหตุการณ์ด้านความปลอดภัยเสมอไป เครื่องมือเหล่านี้สามารถสร้างเสียงรบกวนจำนวนมากทำให้เกิดความเหนื่อยล้าในการแจ้งเตือน นอกจากนี้การแฮ็กที่ชาญฉลาดมักจะต้องผ่านหลายขั้นตอนของเครือข่ายการฆ่าก่อนที่จะถูกจับได้ คุณจะกู้คืนร่องรอยของการละเมิดและแก้ไขสาเหตุที่แท้จริงได้อย่างไร?

ยังมีความท้าทายที่ยิ่งใหญ่อีกอย่างที่กำลังเผชิญอยู่ ความปลอดภัยที่ขับเคลื่อนด้วย AI โดยรวม: ต้นทุน - ต้นทุนเงินทุนของเครื่องมือเองต้นทุนของโครงสร้างพื้นฐานของการคำนวณและการจัดเก็บที่ใช้โดยเครื่องมือเหล่านี้และค่าใช้จ่ายในการดำเนินการของเครื่องมือต่างๆมากมายในไซโลที่มีหน้าจอที่แตกต่างกัน

ดังนั้นแม้ว่าแต่ละเครื่องมือจะมีความสามารถในการกลั่นข้อมูลขนาดกิกะไบต์หรือเทราไบต์ลงไปยังรายการการตรวจจับที่สำคัญบางอย่างสั้น ๆ แต่คำถามก็ยังคงอยู่“ คุณขาดอะไรไปโดยไม่รวมเครื่องมือเหล่านี้ไว้ในแพลตฟอร์มเดียวและเชื่อมโยงการตรวจจับ ในเครื่องมือและฟีดทั้งหมดหรือไม่”

3. การเพิ่มขึ้นของความสัมพันธ์ - เชื่อมโยงการตรวจจับและตอบสนองอัตโนมัติทั่วพื้นผิวการโจมตีทั้งหมดในแพลตฟอร์มเดียว

ด้วยคลื่นลูกใหม่นี้การสนทนาจะเปลี่ยนจากข้อมูลและ AI ไปเป็นความสัมพันธ์ เห็นได้ชัดว่าคลื่นนี้สร้างขึ้นจากสองคลื่นก่อนหน้านี้ อย่างไรก็ตามทั้งหมดนี้เกี่ยวกับการเหนือข้อมูลและเครื่องมือและมันเกี่ยวกับการรวมทุกอย่างเข้าด้วยกันในแพลตฟอร์มเดียว จากการเปรียบเทียบระหว่างทองกับเครื่องประดับในยุคแรก ๆ ของเรานี่เป็นเรื่องเกี่ยวกับการจับคู่เครื่องประดับที่เหมาะสมและประกอบเข้าด้วยกันเพื่อให้ดูดีโดยรวม

นักวิเคราะห์ด้านความปลอดภัยจาก ESG, Gartner, Forrester, ไอดีซี และ ออมเดีย ทุกคนเห็นพ้องกันว่าการเปลี่ยนแปลงความคิดจากเครื่องมือที่ไม่ยอมรับไปสู่แพลตฟอร์มแบบรวมนี้เป็นกุญแจสำคัญที่จะช่วยให้เราเห็นและตอบสนองต่อการละเมิดที่สำคัญ โดยเฉพาะอย่างยิ่งแพลตฟอร์มจำเป็นต้องใช้วิธีการแบบองค์รวมและดูการตรวจจับที่สัมพันธ์กันในเครือข่ายคลาวด์ปลายทางและแอปพลิเคชัน - พื้นผิวการโจมตีทั้งหมด

วัตถุประสงค์หลักของความสัมพันธ์ของการตรวจจับระหว่างเครื่องมือฟีดและสภาพแวดล้อมคือการปรับปรุงความแม่นยำในการตรวจจับเพื่อตรวจจับการโจมตีที่ซับซ้อนโดยการรวมสัญญาณที่อ่อนแอกว่าจากเครื่องมือหลายตัวเพื่อตรวจจับการโจมตีที่อาจถูกละเลยและเพื่อปรับปรุงประสิทธิภาพและประสิทธิผลในการดำเนินงาน การมองเห็นที่ครอบคลุมไม่ได้หมายถึงการค้นหาข้อมูลที่ถูกต้องอีกต่อไป แต่หมายถึงการค้นหาการโจมตีที่ซับซ้อน

ในการทำเช่นนั้นคุณควรพิจารณา Open XDR. XDR เป็นโซลูชันการดำเนินการด้านความปลอดภัยที่สอดคล้องกันโดยมีการรวมแอปพลิเคชันด้านความปลอดภัยจำนวนมากไว้ในแพลตฟอร์มเดียวด้วยกระจกบานเดียว รวบรวมและเชื่อมโยงข้อมูลโดยอัตโนมัติจากเครื่องมือหลายตัวปรับปรุงการตรวจจับและให้การตอบกลับอัตโนมัติ แพลตฟอร์มที่รวมเครื่องมือและแอพพลิเคชั่นเข้าด้วยกันจะช่วยลดต้นทุนลงทั้งในด้านต้นทุนเครื่องมือและต้นทุนโครงสร้างพื้นฐานในขณะเดียวกันก็ปรับปรุงประสิทธิภาพการดำเนินงานด้วยกระจกบานเดียวที่ใช้งานง่าย

เราคิดว่ามีข้อกำหนดพื้นฐานหลักห้าประการของ XDR:

1. การรวมศูนย์ข้อมูลที่เป็นมาตรฐานและสมบูรณ์จากแหล่งข้อมูลที่หลากหลายรวมถึงบันทึก การรับส่งข้อมูลเครือข่าย, แอพพลิเคชั่น, คลาวด์, Threat Intelligence ฯลฯ
2. การตรวจจับเหตุการณ์ความปลอดภัยโดยอัตโนมัติจากข้อมูลที่รวบรวมผ่านการวิเคราะห์ขั้นสูงเช่น NTA, UBA และ EBA.
3. ความสัมพันธ์ของเหตุการณ์ความปลอดภัยแต่ละเหตุการณ์ในมุมมองระดับสูง
4. ความสามารถในการตอบสนองจากส่วนกลางที่โต้ตอบกับผลิตภัณฑ์รักษาความปลอดภัยแต่ละรายการ
5. สถาปัตยกรรมไมโครบริการบนคลาวด์เพื่อความยืดหยุ่นในการปรับใช้ความสามารถในการปรับขนาดและความพร้อมใช้งานสูง

โดยสรุป Stellar Cyber ​​เป็นระบบเดียวที่สร้างขึ้นมาเพื่อวัตถุประสงค์เฉพาะ Open XDR แพลตฟอร์มที่รวบรวมและคัดกรองข้อมูลทั้งหมด โลกไซเบอร์ ข้อมูลที่จะตรวจจับเชื่อมโยงและตอบสนองข้ามเครือข่ายการฆ่าทั้งหมด คลื่นแห่งความสัมพันธ์ได้เริ่มต้นขึ้นแล้วและยินดีที่จะร่วมเดินทางไปกับเราเพื่อสนุกไปกับการเดินทางด้วยกัน!

SIEMs – คำสัญญาที่ว่างเปล่า?

SIEMระบบรักษาความปลอดภัยเป็นรากฐานของการปฏิบัติการรักษาความปลอดภัยมานานหลายทศวรรษ และนั่นเป็นสิ่งที่ควรได้รับการยอมรับ อย่างไรก็ตาม SIEMพวกเขาได้ให้คำมั่นสัญญาไว้มากมาย และจนถึงทุกวันนี้ก็ยังไม่สามารถทำตามคำมั่นสัญญาเหล่านั้นได้มากนัก…

ดาวน์โหลด eBook