การผสานรวม EDR และ AI เข้าด้วยกัน -SIEM เพื่อการมองเห็นที่สมบูรณ์แบบ
สำหรับ Open XDR และขับเคลื่อนด้วย AI SOC เพื่อให้เกิดประสิทธิผล จำเป็นต้องอาศัยการมุ่งเน้นที่เฉียบคมของ EDR และบริบทที่กว้างขวางของ AISIEMระบบตรวจจับและตอบสนองปลายทาง (EDR) ระบุภัยคุกคามบนอุปกรณ์ได้ทันที ในขณะที่ AI-SIEM วิเคราะห์สัญญาณจากทั่วทั้งเครือข่าย เมื่อรวมกันแล้ว จะสร้างระบบรักษาความปลอดภัยแบบหลายชั้นที่ครอบคลุม ซึ่งบริษัทขนาดกลางสามารถจัดการได้อย่างมีประสิทธิภาพ
รุ่นต่อไป SIEM
สเตลลาร์ ไซเบอร์ เน็กซ์เจเนอเรชั่น SIEMในฐานะที่เป็นองค์ประกอบสำคัญภายใน Stellar Cyber Open XDR แพลตฟอร์ม...
สัมผัสประสบการณ์การรักษาความปลอดภัยที่ขับเคลื่อนด้วย AI ในการดำเนินการ!
ค้นพบ AI อันล้ำสมัยของ Stellar Cyber เพื่อการตรวจจับและตอบสนองภัยคุกคามในทันที กำหนดเวลาการสาธิตของคุณวันนี้!
รอยร้าวที่ขยายตัวในการป้องกันตลาดกลาง
ภูมิทัศน์ภัยคุกคามสมัยใหม่มีความซับซ้อนและเปลี่ยนแปลงอยู่ตลอดเวลา สำหรับบริษัทขนาดกลาง ความท้าทายนั้นมหาศาล โครงสร้างพื้นฐานของคุณอาจประกอบด้วยเซิร์ฟเวอร์ภายในองค์กร บริการคลาวด์ และพนักงานระยะไกลที่เชื่อมต่อจากสถานที่ต่างๆ การกระจายนี้สร้างจุดเข้าใช้งานจำนวนมากสำหรับผู้โจมตี ซึ่งมีทักษะในการหาช่องโหว่ด้านความปลอดภัย กรอบการทำงานของ MITRE ATT&CK เน้นย้ำถึงการเพิ่มขึ้นอย่างมากของผู้โจมตีที่เคลื่อนไหวในเครือข่ายและใช้ข้อมูลประจำตัวในทางที่ผิด หากไม่มีมุมมองแบบรวมศูนย์ของสภาพแวดล้อมความปลอดภัยทั้งหมด ทีมของคุณต้องตอบสนองต่อการแจ้งเตือนเฉพาะบุคคล ซึ่งมักจะพลาดการโจมตีในวงกว้างจนกว่าจะสายเกินไป วิธีการเชิงรับแบบนี้ไม่มีประสิทธิภาพและทำให้องค์กรของคุณมีความเสี่ยง
เหตุใดการตรวจจับและการตอบสนองจุดสิ้นสุดเพียงอย่างเดียวจึงไม่เพียงพอ
EDR เป็นองค์ประกอบสำคัญของกลยุทธ์ด้านความปลอดภัยทุกประเภท EDR โดดเด่นในการระบุและแยกภัยคุกคามบนอุปกรณ์ปลายทางแต่ละเครื่อง เช่น แล็ปท็อปและเซิร์ฟเวอร์ ยกตัวอย่างเช่น สามารถตรวจจับการทำงานของโค้ดที่เป็นอันตรายหรือความพยายามในการแก้ไขไฟล์ระบบ อย่างไรก็ตาม EDR มุ่งเน้นเฉพาะจุด EDR มองเห็นอุปกรณ์ที่ถูกบุกรุกแต่ไม่สามารถตรวจจับกิจกรรมเครือข่ายโดยรอบได้ ผู้โจมตีอาจใช้ข้อมูลประจำตัวที่ขโมยมาเพื่อย้ายข้อมูลจากแล็ปท็อปไปยังเซิร์ฟเวอร์หลัก แต่ EDR บนอุปกรณ์เริ่มต้นจะมองไม่เห็นการเคลื่อนไหวในแนวขวางนั้น ข้อจำกัดนี้ส่งผลให้เกิดการแจ้งเตือนแบบจุดเดียวจำนวนมาก ซึ่งขาดบริบทที่จำเป็นสำหรับนักวิเคราะห์ความปลอดภัยในการทำความเข้าใจขอบเขตทั้งหมดของการโจมตี พวกเขาถูกบังคับให้รวบรวมข้อมูลเบาะแสที่แตกต่างกัน ทำให้เสียเวลาอันมีค่าในขณะที่ภัยคุกคามยังคงดำเนินอยู่
เสียงรบกวนอันท่วมท้นของแบบดั้งเดิม SIEM
การจัดการข้อมูลและเหตุการณ์ด้านความปลอดภัยแบบดั้งเดิม (SIEMระบบเหล่านี้ได้รับการออกแบบมาเพื่อรวบรวมข้อมูลบันทึกจากทั่วทั้งเครือข่ายไว้ที่ส่วนกลาง ในทางทฤษฎีแล้ว สิ่งนี้จะให้มุมมองที่ครอบคลุมเกี่ยวกับเหตุการณ์ด้านความปลอดภัย ในทางปฏิบัติ ระบบแบบดั้งเดิม SIEMระบบแจ้งเตือนอัตโนมัติมักสร้างปัญหามากกว่าแก้ปัญหาให้กับทีมรักษาความปลอดภัยที่มีขนาดเล็ก ระบบเหล่านี้สร้างการแจ้งเตือนจำนวนมหาศาล ซึ่งหลายครั้งเป็นการแจ้งเตือนผิดพลาด นักวิเคราะห์ของคุณจึงต้องคัดกรองการแจ้งเตือนนับพันรายการ พยายามแยกแยะภัยคุกคามที่แท้จริงออกจากความผิดปกติที่ไม่เป็นอันตราย การเข้าสู่ระบบที่ไม่ปกติจากประเทศอื่นเป็นภัยคุกคามที่แท้จริงหรือเป็นเพียงพนักงานที่ลาพักร้อน? หากไม่มีการวิเคราะห์ขั้นสูง แทบเป็นไปไม่ได้เลยที่จะบอกได้ ความเหนื่อยล้าจากการแจ้งเตือนอย่างต่อเนื่องนี้ นำไปสู่ภาวะหมดไฟ และที่อันตรายกว่านั้นคือ การละเลยภัยคุกคามที่แท้จริง หลายองค์กรรายงานว่าเปอร์เซ็นต์จำนวนมากของ... SIEM การแจ้งเตือนเหล่านั้นไม่เคยถูกตรวจสอบเลยด้วยซ้ำ
ผลกระทบทางธุรกิจที่พุ่งสูงขึ้นจากความปลอดภัยที่ไม่เพียงพอ
ผลกระทบจากการละเมิดความปลอดภัยนั้นแผ่ขยายไปไกลกว่าเหตุการณ์เริ่มต้น ตัวอย่างเช่น การโจมตีด้วยแรนซัมแวร์ที่เพิ่มสูงขึ้นอย่างมาก ส่งผลกระทบร้ายแรงต่อธุรกิจต่างๆ การโจมตี CDK Global ซึ่งเป็นผู้ให้บริการซอฟต์แวร์รายใหญ่สำหรับตัวแทนจำหน่ายรถยนต์เมื่อเร็วๆ นี้ ส่งผลให้เกิดระบบล่มครั้งใหญ่ที่ส่งผลกระทบต่อธุรกิจหลายพันแห่งทั่วอเมริกาเหนือ ความสูญเสียทางการเงินจากการหยุดทำงาน ความพยายามในการกู้คืนระบบ และความเสียหายต่อชื่อเสียง อาจสร้างความเสียหายอย่างใหญ่หลวงให้กับบริษัทขนาดกลางในตลาด ในทำนองเดียวกัน การใช้ประโยชน์จากช่องโหว่แบบ Zero-day ในซอฟต์แวร์ MFT ของ Cleo โดยกลุ่มแรนซัมแวร์ Cl0p ได้ส่งผลกระทบต่อบริษัทหลายร้อยแห่ง ซึ่งชี้ให้เห็นว่าจุดอ่อนเพียงจุดเดียวสามารถส่งผลกระทบในวงกว้างได้ ตัวอย่างเหล่านี้เน้นย้ำถึงความจำเป็นของกลยุทธ์ด้านความปลอดภัยที่ไม่เพียงแต่ตรวจจับได้ แต่ยังรวมถึงการมองเห็นที่ครอบคลุมและการตอบสนองที่รวดเร็วและประสานงานกัน
เหยื่อ Ransomware พุ่งสูงขึ้น: ไตรมาส 1 ปี 2024 เทียบกับไตรมาส 1 ปี 2025
การแมปการป้องกันไปยังกรอบการโจมตีสมัยใหม่
เพื่อสร้างระบบรักษาความปลอดภัยที่แข็งแกร่ง กลยุทธ์ของคุณต้องสอดคล้องกับกรอบงานด้านความปลอดภัยทางไซเบอร์ที่ได้รับการยอมรับ สองกรอบงานที่สำคัญที่สุดคือ NIST Zero Trust Architecture และ MITRE ATT&CK Framework กรอบงานเหล่านี้ให้แนวทางที่เป็นระบบในการทำความเข้าใจและลดภัยคุกคามสมัยใหม่ การป้องกันที่ประสบความสำเร็จขึ้นอยู่กับการบูรณาการสัญญาณจากหลายชั้นความปลอดภัย โดยเฉพาะอย่างยิ่ง EDR และ AISIEMเพื่อสร้างระบบที่เป็นหนึ่งเดียวและชาญฉลาด
ยึดมั่นในหลักการ Zero Trust ด้วยข้อมูลแบบบูรณาการ
หลักการสำคัญของสถาปัตยกรรม Zero Trust ตามที่กำหนดไว้ใน NIST SP 800-207 คือ “อย่าไว้ใจใคร แต่ต้องตรวจสอบเสมอ” ซึ่งหมายความว่าไม่มีผู้ใช้หรืออุปกรณ์ใดที่ได้รับความไว้วางใจโดยค่าเริ่มต้น ไม่ว่าจะอยู่ที่ใดก็ตาม เพื่อให้การใช้งานมีประสิทธิภาพ คุณจำเป็นต้องมีการตรวจสอบอย่างต่อเนื่องโดยอาศัยข้อมูลแบบเรียลไทม์ นี่คือจุดที่การผสมผสานระหว่าง EDR และ AI เข้ามามีบทบาทSIEM กลายเป็นสิ่งจำเป็น EDR ให้ข้อมูลการวัดระยะทางแบบละเอียดจากอุปกรณ์ปลายทาง เช่น การทำงานของกระบวนการ การเปลี่ยนแปลงรีจิสทรี และการเชื่อมต่อเครือข่าย AI-SIEM ให้บริบทที่กว้างขึ้นโดยการวิเคราะห์ปริมาณการรับส่งข้อมูลเครือข่าย บันทึกข้อมูลประจำตัวและการเข้าถึง และข้อมูลข่าวกรองภัยคุกคาม โดยการป้อนข้อมูลทั้งสองส่วนเข้าสู่แพลตฟอร์มส่วนกลาง เช่น Open XDRคุณสามารถสร้างระบบควบคุมการเข้าถึงแบบไดนามิกตามความเสี่ยงได้ ตัวอย่างเช่น หาก EDR ตรวจพบกระบวนการที่น่าสงสัยบนแล็ปท็อปของผู้ใช้ AI-SIEM สามารถเชื่อมโยงข้อมูลดังกล่าวกับรูปแบบการรับส่งข้อมูลเครือข่ายที่ผิดปกติ และจำกัดการเข้าถึงแอปพลิเคชันที่สำคัญของผู้ใช้รายนั้นโดยอัตโนมัติ
การติดตามห่วงโซ่การโจมตีด้วย MITRE ATT&CK
กรอบงาน MITRE ATT&CK เป็นฐานความรู้ที่เข้าถึงได้ทั่วโลกเกี่ยวกับกลยุทธ์และเทคนิคของฝ่ายตรงข้าม โดยอิงจากการสังเกตการณ์ในโลกแห่งความเป็นจริง กรอบงานนี้เป็นภาษาเดียวกันสำหรับการอธิบายและทำความเข้าใจวิธีการทำงานของผู้โจมตี ความท้าทายที่สำคัญสำหรับทีมรักษาความปลอดภัยคือการเชื่อมโยงความสามารถในการป้องกันของตนกับกรอบงานนี้เพื่อระบุช่องโหว่ การบูรณาการ EDR และ AI-SIEM โซลูชันนี้จะทำให้กระบวนการนี้เป็นไปโดยอัตโนมัติ ตัวอย่างเช่น ผู้โจมตีอาจเริ่มต้นด้วยอีเมลฟิชชิง (T1566: Phishing) เพื่อเข้าถึงระบบในเบื้องต้น เมื่อเข้าถึงปลายทางได้แล้ว พวกเขาอาจใช้ PowerShell (T1059.001: PowerShell) เพื่อเรียกใช้คำสั่งที่เป็นอันตรายและพยายามยกระดับสิทธิ์ (TA0004: Privilege Escalation) EDR จะตรวจจับการกระทำแต่ละอย่างเหล่านี้ AI-SIEM จากนั้น ระบบจะเชื่อมโยงเหตุการณ์ที่เกิดขึ้นที่ปลายทางเหล่านี้กับข้อมูลเครือข่ายที่แสดงให้เห็นว่าผู้โจมตีสื่อสารกับเซิร์ฟเวอร์ควบคุมและสั่งการ (T1071: โปรโตคอลระดับแอปพลิเคชัน) และพยายามขโมยข้อมูล (T1048: การขโมยข้อมูลผ่านโปรโตคอลทางเลือก) แพลตฟอร์มแบบครบวงจรจะนำเสนอเหตุการณ์ทั้งหมดนี้เป็นเหตุการณ์เดียวที่มีลำดับความสำคัญสูง ทำให้ทีมของคุณสามารถมองเห็นห่วงโซ่การโจมตีทั้งหมดและตอบสนองได้อย่างมีประสิทธิภาพ
ความท้าทายหลักสี่ประการสำหรับทีมรักษาความปลอดภัยระดับกลางตลาด
บริษัทขนาดกลางต้องเผชิญกับความท้าทายด้านความปลอดภัยที่หลากหลายและแตกต่างกันออกไป พวกเขาตกเป็นเป้าหมายของคู่แข่งที่มีความซับซ้อนเช่นเดียวกับองค์กรขนาดใหญ่ แต่มักขาดแคลนทรัพยากรในระดับเดียวกัน ความแตกต่างนี้ก่อให้เกิดปัญหาสำคัญหลายประการที่แนวทางด้านความปลอดภัยแบบแยกส่วนไม่สามารถแก้ไขได้
|
ชาเลนจ์ ของคุณ |
ผลกระทบต่อทีมความปลอดภัยแบบ Lean |
ผลลัพธ์ที่หลีกเลี่ยงไม่ได้ |
|
แจ้งเตือนโอเวอร์โหลด |
นักวิเคราะห์ต้องรับมือกับการแจ้งเตือนบริบทต่ำหลายพันรายการจากเครื่องมือที่แตกต่างกันทุกวัน |
ภัยคุกคามที่สำคัญจะหายไปในเสียงรบกวน ส่งผลให้การตรวจจับพลาดและนักวิเคราะห์หมดไฟ |
|
จุดบอดที่แพร่หลาย |
EDR มองเห็นจุดสิ้นสุด และแบบดั้งเดิม SIEM มองเห็นเครือข่าย แต่ทั้งสองฝ่ายมองไม่เห็นภาพรวมทั้งหมด |
ผู้โจมตีจะเคลื่อนที่ไปมาระหว่างระบบต่างๆ โดยไม่ถูกจับได้ โดยใช้ประโยชน์จากช่องว่างระหว่างเครื่องมือรักษาความปลอดภัย |
|
การแพร่กระจายของเครื่องมือที่ซับซ้อน |
การจัดการคอนโซลความปลอดภัยแยกกันหลายสิบเครื่องหรือมากกว่านั้นจะทำให้การปฏิบัติงานไม่มีประสิทธิภาพ |
การตอบสนองต่อเหตุการณ์เกิดขึ้นช้าและไม่ประสานงานกัน ส่งผลให้เวลาเฉลี่ยในการตอบสนอง (MTTR) เพิ่มมากขึ้น |
|
ภาระการปฏิบัติตามคู่มือ |
การพิสูจน์ประสิทธิภาพด้านความปลอดภัยและการปฏิบัติตามกรอบงานเช่น MITRE ATT&CK ต้องใช้เวลารวบรวมข้อมูลด้วยตนเองเป็นเวลาหลายสัปดาห์ |
ทีมงานรักษาความปลอดภัยเหนื่อยล้าจากการรายงานงาน ทำให้เสียเวลาไปกับการค้นหาภัยคุกคามเชิงรุก |
กรอบโซลูชัน: แพลตฟอร์มความปลอดภัยแบบรวม
คำตอบสำหรับความท้าทายเหล่านี้อยู่ที่การเปลี่ยนจากการใช้เครื่องมือแยกส่วนต่างๆ ไปสู่แพลตฟอร์มความปลอดภัยแบบครบวงจร Open XDR แพลตฟอร์มที่ผสานรวม EDR และ AI เข้าด้วยกันSIEM นำเสนอโซลูชันแบบองค์รวมที่มีประสิทธิภาพและจัดการได้ง่ายสำหรับทีมที่มีขนาดเล็ก
1. นำเข้าและทำให้ข้อมูลเป็นมาตรฐานจากทุกที่
แพลตฟอร์มที่เป็นหนึ่งเดียวอย่างแท้จริงต้องสามารถรวบรวมข้อมูลจากสภาพแวดล้อมไอทีทั้งหมดของคุณได้ ซึ่งรวมถึงเอเจนต์ EDR, บันทึกไฟร์วอลล์, API ของบริการคลาวด์, ผู้ให้บริการข้อมูลประจำตัว และแม้แต่เซ็นเซอร์เทคโนโลยีปฏิบัติการ (OT) สิ่งสำคัญคือการทำให้ข้อมูลเหล่านี้อยู่ในรูปแบบมาตรฐาน เช่น Open Cybersecurity Schema Framework (OCSF) ซึ่งจะช่วยขจัดปัญหาข้อมูลซ้ำซ้อนและขจัดปัญหาการผูกขาดกับผู้ให้บริการ ช่วยให้คุณสามารถใช้เครื่องมือที่ดีที่สุดสำหรับแต่ละงานโดยไม่เกิดปัญหาการผสานรวม ลิงก์ภายในไปยังหน้าเกี่ยวกับการรวบรวมข้อมูลแบบยืดหยุ่นอาจให้รายละเอียดเพิ่มเติมเกี่ยวกับหัวข้อนี้ได้
2. ใช้ AI หลายชั้นเพื่อการตรวจจับที่มีความเที่ยงตรงสูง
เมื่อข้อมูลรวมศูนย์และปรับให้เป็นมาตรฐานแล้ว ขั้นตอนต่อไปคือการวิเคราะห์ภัยคุกคาม ซึ่งเป็นจุดที่ปัญญาประดิษฐ์ (AI) เข้ามามีบทบาทสำคัญ แนวทาง AI แบบหลายชั้นใช้แบบจำลองที่แตกต่างกันสำหรับงานที่แตกต่างกัน การเรียนรู้ของเครื่องแบบมีผู้สอนสามารถระบุภัยคุกคามที่ทราบและตัวบ่งชี้การบุกรุกได้ แบบจำลองที่ไม่มีผู้สอนสามารถสร้างมาตรฐานพฤติกรรมปกติของสภาพแวดล้อมของคุณ และตรวจจับความผิดปกติที่อาจบ่งชี้ถึงการโจมตีรูปแบบใหม่ เทคโนโลยี GraphML สามารถเชื่อมโยงการแจ้งเตือนที่เกี่ยวข้องจากแหล่งต่างๆ เข้าด้วยกันเป็นเหตุการณ์เดียวที่สอดคล้องกัน วิธีนี้จะเปลี่ยนการแจ้งเตือนดิบจำนวนมากให้กลายเป็น "เรื่องราว" เหตุการณ์ที่มีความแม่นยำสูงที่จัดการได้ ซึ่งจะบอกนักวิเคราะห์ของคุณได้อย่างแม่นยำว่าเกิดอะไรขึ้น
3. ตอบสนองอัตโนมัติในทุกเลเยอร์ความปลอดภัย
การตรวจจับภัยคุกคามเป็นเพียงครึ่งหนึ่งของการต่อสู้ แพลตฟอร์มแบบครบวงจรช่วยให้สามารถดำเนินการตอบสนองข้ามเลเยอร์ได้โดยอัตโนมัติ เมื่อระบบตรวจพบภัยคุกคาม ระบบสามารถเรียกใช้งานแผนปฏิบัติการที่กำหนดไว้ล่วงหน้าเพื่อควบคุมภัยคุกคามนั้นได้ ตัวอย่างเช่น หาก EDR ตรวจพบมัลแวร์บนแล็ปท็อป แพลตฟอร์มสามารถสั่งให้ EDR agent แยกโฮสต์ สั่งให้ระบบระบุตัวตนเพิกถอนโทเค็นการเข้าถึงของผู้ใช้ และสั่งให้ไฟร์วอลล์บล็อกที่อยู่ IP คำสั่งและควบคุมที่เป็นอันตรายได้โดยอัตโนมัติ ทั้งหมดนี้เกิดขึ้นภายในไม่กี่วินาที โดยไม่ต้องอาศัยการแทรกแซงจากมนุษย์ จึงช่วยลดเวลาที่ผู้โจมตีต้องดำเนินการลงได้อย่างมาก
4. รับรองการรักษาความปลอดภัยอย่างต่อเนื่อง
คุณจะรู้ได้อย่างไรว่าการควบคุมความปลอดภัยของคุณมีประสิทธิภาพ? แพลตฟอร์มแบบครบวงจรสามารถให้การรับประกันอย่างต่อเนื่องได้ด้วยการแมปแหล่งข้อมูลและการตรวจจับของคุณเข้ากับเฟรมเวิร์ก MITRE ATT&CK โดยอัตโนมัติ ซึ่งจะทำให้คุณมีแผนที่ความร้อนแบบเรียลไทม์ของขอบเขตความปลอดภัย แสดงให้เห็นจุดแข็งและจุดอ่อนของคุณอย่างชัดเจน คุณยังสามารถจำลองผลกระทบจากการสูญเสียแหล่งข้อมูล เช่น จะเกิดอะไรขึ้นหากงบประมาณสำหรับบันทึกไฟร์วอลล์ของคุณถูกตัด? เพื่อตัดสินใจเกี่ยวกับการลงทุนด้านความปลอดภัยของคุณโดยใช้ข้อมูลจากข้อมูล ซึ่งจะทำให้ผู้บริหารระดับสูงมีหลักฐานที่ชัดเจนและวัดผลได้เกี่ยวกับสถานะความปลอดภัยของคุณ
เจาะลึก: บทเรียนจากการละเมิดข้อมูลล่าสุด (2024–2025)
|
อุบัติการณ์ |
เส้นทาง ATT&CK แบบง่าย |
ระบบ EDR แบบครบวงจร + AI-SIEM น่าจะช่วยได้ |
|
การละเมิดระบบสนับสนุน Okta |
การเข้าถึงเบื้องต้น (T1078 - บัญชีที่ถูกต้อง) -> การเข้าถึงข้อมูลรับรอง (T1555 - ข้อมูลรับรองจากที่เก็บรหัสผ่าน) |
ระบบ EDR จะตรวจจับการขโมยข้อมูลประจำตัวในเบื้องต้นบนอุปกรณ์ของผู้รับเหมาได้ ส่วนระบบ AI-SIEM ระบบจะเชื่อมโยงสิ่งนี้กับการเรียกใช้ API ที่ผิดปกติซึ่งมาจากตำแหน่งที่ไม่ปกติในทันที และกระตุ้นให้ระบบตอบสนองอัตโนมัติเพื่อล็อกบัญชีก่อนที่จะสามารถใช้เพื่อเข้าถึงข้อมูลลูกค้าได้ |
|
CDK ยุติการเรียกค่าไถ่ทั่วโลก |
ผลกระทบ (T1490 - ยับยั้งการกู้คืนระบบ) -> ผลกระทบ (T1486 - เข้ารหัสข้อมูลสำหรับผลกระทบ) |
ปัญญาประดิษฐ์ (AI)SIEM ระบบดังกล่าวจะตรวจพบการเพิ่มขึ้นอย่างรวดเร็วของกิจกรรมการเข้ารหัสข้อมูลบนดิสก์ในระบบของตัวแทนจำหน่ายหลายพันแห่ง ซึ่งเป็นตัวบ่งชี้ที่ชัดเจนของการแพร่กระจายของแรนซัมแวร์ และจะเชื่อมโยงกับสัญญาณเตือนของ EDR ทำให้สามารถดำเนินการต่อไปได้ SOC เพื่อเริ่มกระบวนการแยกเครือข่ายทั้งหมดก่อนที่การโจมตีจะทำให้การดำเนินงานของตัวแทนจำหน่าย 15,000 แห่งหยุดชะงักโดยสิ้นเชิง |
|
ช่องโหว่ Zero-Day ของ Cleo MFT |
การกรองข้อมูล (T1048 - การกรองข้อมูลผ่านโปรโตคอลทางเลือก) -> ผลกระทบ (T1486 - ข้อมูลที่เข้ารหัสสำหรับผลกระทบ) |
ปัญญาประดิษฐ์ (AI)SIEM การตรวจสอบการไหลของเครือข่ายจะตรวจพบการอัปโหลดข้อมูลจำนวนมากและผิดปกติจากเซิร์ฟเวอร์ MFT ซึ่งจะสอดคล้องกับการแจ้งเตือน EDR ที่ระบุถึงการสร้างกระบวนการที่ผิดปกติบนเซิร์ฟเวอร์เดียวกัน การตรวจจับข้ามเลเยอร์นี้จะกระตุ้นการตอบสนองอัตโนมัติเพื่อบล็อกพอร์ตขาออกเฉพาะที่ใช้สำหรับการรั่วไหลของข้อมูล |
แผนงานการดำเนินการแบบแบ่งระยะของ CISO
การนำแพลตฟอร์มความปลอดภัยแบบครบวงจรมาใช้ไม่จำเป็นต้องเป็นโครงการที่สร้างความปั่นป่วนและต้อง "รื้อแล้วเปลี่ยนใหม่" แนวทางแบบแบ่งระยะจะช่วยให้คุณสร้างขีดความสามารถได้อย่างต่อเนื่องและแสดงให้เห็นถึงคุณค่าในแต่ละขั้นตอน
ขั้นตอนที่ 1: สร้างพื้นฐานและกำหนดลำดับความสำคัญ
- 1. การตรวจสอบสินทรัพย์และกระแสข้อมูลทั้งหมด: คุณไม่สามารถปกป้องสิ่งที่คุณไม่รู้ว่าคุณมีได้
- 2. ประเมินช่องว่างด้วย MITRE ATT&CK: ดำเนินการวิเคราะห์ความครอบคลุมเพื่อระบุช่องว่างความปลอดภัยที่มีความเสี่ยงสูงสุดของคุณ
- 3. ปรับใช้ EDR บนระบบที่สำคัญ: เริ่มต้นด้วยการปกป้องทรัพย์สินที่มีค่าที่สุดของคุณ เช่น ตัวควบคุมโดเมนและเซิร์ฟเวอร์แอปพลิเคชันที่สำคัญ
ขั้นตอนที่ 2: เปิดใช้งาน AISIEM เพื่อบริบทที่กว้างขึ้น
- 1. แหล่งที่มาของบันทึกคีย์สตรีม: เริ่มส่งต่อบันทึกข้อมูลจากไฟร์วอลล์ ผู้ให้บริการยืนยันตัวตน และบริการคลาวด์ไปยังระบบของคุณ Open XDR ทะเลสาบข้อมูล
- 2. กำหนดกรณีการใช้งานเบื้องต้น: มุ่งเน้นไปที่ความต้องการการตรวจจับที่สำคัญที่สุดของคุณ เช่น การระบุการเคลื่อนไหวด้านข้างหรือการแยกข้อมูล
- 3. ฝึกอบรมโมเดล AI: อนุญาตให้โมเดลการเรียนรู้ของเครื่องที่ไม่มีการดูแลทำงานเป็นเวลาอย่างน้อย 30 วันเพื่อสร้างฐานข้อมูลพื้นฐานที่มั่นคงของกิจกรรมปกติ
ขั้นตอนที่ 3: การดำเนินการตอบสนองคีย์อัตโนมัติ
- 1. พัฒนา Playbook การควบคุม: กำหนดการดำเนินการตอบสนองอัตโนมัติสำหรับภัยคุกคามทั่วไป เช่น การแยกโฮสต์หรือการปิดใช้งานบัญชีผู้ใช้ สำหรับข้อมูลเพิ่มเติม โปรดดูคู่มือภายในเกี่ยวกับการสร้างคู่มือการตอบสนอง
- 2. บูรณาการกับการจัดการบริการไอที (ITSM): สร้างตั๋วโดยอัตโนมัติในระบบ ITSM ของคุณสำหรับเหตุการณ์ที่ต้องมีการแทรกแซงด้วยตนเอง
- 3. ดำเนินการฝึกซ้อมทีมสีม่วง: ทดสอบความสามารถในการตรวจจับและตอบสนองของคุณด้วยการจำลองการโจมตีเป็นประจำ
ขั้นตอนที่ 4: ปรับปรุงและพัฒนาอย่างต่อเนื่อง
- 1. ดำเนินการวิเคราะห์ช่องว่างรายไตรมาส: เรียกใช้การวิเคราะห์ความครอบคลุม MITRE ATT&CK อีกครั้งเพื่อติดตามการปรับปรุงและระบุช่องว่างใหม่ๆ
- 2. ปรับปรุงนโยบาย Zero Trust: ใช้ข้อมูลเชิงลึกจากแพลตฟอร์มของคุณเพื่อเสริมความแข็งแกร่งให้กับนโยบายการควบคุมการเข้าถึงที่สอดคล้องกับ NIST 800-207
- 3. ปรับแต่งเพื่อประสิทธิภาพ: ตรวจสอบอัตราการตรวจพบผลบวกปลอมและปรับกฎการตรวจจับและเกณฑ์ของโมเดล AI เพื่อปรับปรุงความแม่นยำ
คำถามที่พบบ่อย
ถาม: ฉันต้องเปลี่ยนของเดิมหรือไม่ SIEM จะนำรูปแบบนี้มาใช้หรือไม่?
ไม่ ประโยชน์หลักประการหนึ่งของ Open XDR จุดเด่นของแพลตฟอร์มนี้คือความสามารถในการผสานรวมกับเครื่องมือที่คุณมีอยู่แล้ว คุณสามารถเริ่มต้นได้โดยการส่งต่อการแจ้งเตือนและบันทึกต่างๆ จากเครื่องมือปัจจุบันของคุณ SIEM สู่แพลตฟอร์มใหม่ เพิ่มขีดความสามารถด้วย AI และระบบอัตโนมัติขั้นสูง
ถาม: ฉันต้องเก็บข้อมูลเท่าใด และมีค่าใช้จ่ายเท่าใด
ข้อมูลนี้แตกต่างกันไป แต่โดยทั่วไปแล้ว บริษัทขนาดกลางอาจเก็บข้อมูล “hot” ไว้ 90 วันสำหรับการวิเคราะห์เชิงรุก และเก็บข้อมูล “cold” ไว้สูงสุด 12 เดือนสำหรับการปฏิบัติตามกฎระเบียบและการสืบสวนทางนิติวิทยาศาสตร์ Data Lake บนคลาวด์อย่าง Amazon Security Lake นำเสนอโซลูชันที่คุ้มค่าและปรับขนาดได้
ถาม: แพลตฟอร์มนี้สามารถช่วยตรวจจับการโจมตีที่ใช้ข้อมูลประจำตัวสมัยใหม่ เช่น การหลีกเลี่ยง MFA ได้หรือไม่
ใช่แล้ว นี่เป็นตัวอย่างที่ดีเยี่ยมของการใช้แนวทางแบบบูรณาการ EDR สามารถตรวจจับสัญญาณของการโจมตีแบบ Brute-force หรือ Credential Stuffing บนอุปกรณ์ปลายทางได้ AI-SIEM สามารถเชื่อมโยงข้อมูลนี้กับปริมาณการแจ้งเตือนความล้มเหลวของ MFA จำนวนมากจากผู้ให้บริการยืนยันตัวตนของคุณ และติดธงกิจกรรมดังกล่าวโดยอัตโนมัติว่าเป็นความพยายามในการหลีกเลี่ยง MFA ที่อาจเกิดขึ้น แม้ว่าในที่สุดผู้โจมตีจะประสบความสำเร็จด้วยข้อมูลประจำตัวที่ถูกต้องเพียงชุดเดียวก็ตาม
ประเด็นสำคัญสำหรับผู้บริหารระดับสูง
- 1. แนวทางแบบรวมศูนย์ช่วยลดความเสี่ยงจากการละเมิดได้อย่างมาก การกำจัดจุดบอดและเปิดใช้งานการตอบสนองอัตโนมัติ ช่วยให้คุณสามารถควบคุมภัยคุกคามได้ก่อนที่จะสร้างความเสียหายร้ายแรง
- 2. มันช่วยปรับปรุงได้อย่างมาก SOC อย่างมีประสิทธิภาพ การลดเสียงรบกวนการแจ้งเตือนลงถึง 80% จะทำให้ผู้วิเคราะห์ของคุณมีเวลามุ่งเน้นไปที่งานเชิงรุกที่มีมูลค่าสูงแทนที่จะต้องมาคอยติดตามผลบวกปลอม
- 3. ส่งผลให้ต้นทุนการเป็นเจ้าของโดยรวมลดลง แพลตฟอร์มแบบบูรณาการเดียวจะคุ้มต้นทุนมากกว่าในระยะเวลาสามปีเมื่อเทียบกับการออกใบอนุญาต การจัดการ และการดูแลรักษาผลิตภัณฑ์ด้านความปลอดภัยที่แยกจากกันจำนวนสิบกว่ารายการ
เป้าหมายไม่ใช่การใช้เงินหรือจ้างพนักงานมากกว่าคู่แข่ง แต่เป็นการเอาชนะด้วยกลยุทธ์ โดยการผสานความแม่นยำระดับปลายทางของ EDR เข้ากับบริบทระดับองค์กรของ AISIEM บนความเป็นหนึ่งเดียว Open XDR ด้วยแพลตฟอร์มนี้ ทีมรักษาความปลอดภัยของคุณจะได้รับความสามารถในการมองเห็นและระบบอัตโนมัติที่จำเป็นในการป้องกันภัยคุกคามสมัยใหม่ได้อย่างมีประสิทธิภาพ ผลลัพธ์ที่ได้คือ การควบคุมภัยคุกคามที่รวดเร็วยิ่งขึ้น ต้นทุนการดำเนินงานที่ต่ำลง และสถานะความปลอดภัยที่แข็งแกร่งซึ่งคุณสามารถรายงานต่อคณะกรรมการบริหารได้อย่างมั่นใจ
