หลาย MSSP ของ ใช้ SIEMs และโซลูชันการจัดการ / การรวบรวม / การวิเคราะห์บันทึกอื่น ๆ สำหรับการมองเห็นความปลอดภัยทางไซเบอร์ แต่การวิเคราะห์บันทึกเพียงพอหรือไม่ เราได้รับข้อมูลมากขึ้นเกี่ยวกับโซลูชันการรักษาความปลอดภัยแบบองค์รวมเช่น XDR แพลตฟอร์ม ที่อ้างว่าครอบคลุมพื้นผิวการโจมตีทั้งหมดโดยเฉพาะอย่างยิ่งเนื่องจากการโจมตีไปป์ไลน์ครั้งล่าสุดได้เสริมสร้างลักษณะผสมของการโจมตีทางไซเบอร์หลายขั้นตอนที่ซับซ้อนในปัจจุบัน ผู้โจมตียอมรับว่าพวกเขาไม่ได้คาดหวังว่าการโจมตีของพวกเขาจะปิดท่อส่ง แต่ผลที่ตามมานั้นร้ายแรง มาดูสิ่งที่เราได้รับจากบันทึกและสิ่งที่เราไม่ได้รับจากบันทึก
บันทึกโดยธรรมชาติเป็นมุมมองในอดีต สิ่งเหล่านี้ทำให้เราสามารถมองเห็นกิจกรรมของไฟล์และแอปพลิเคชันเซิร์ฟเวอร์ระบบการจัดการผู้ใช้เช่น Active Directory เซิร์ฟเวอร์อีเมลและเครื่องมืออื่น ๆ เมื่อบันทึกมีความสัมพันธ์และวิเคราะห์อย่างเหมาะสมเราสามารถทราบได้ว่าเมื่อใดเกิดความผิดปกติในระบบเหล่านี้
แต่การโจมตีแบบ zero-day ล่ะ? หากไม่มีชื่อเสียงของไฟล์ ransomware คุณจะตรวจพบได้อย่างไร? คำตอบคือคุณทำไม่ได้จนกว่ามันจะแพร่กระจายในสภาพแวดล้อมของคุณจนถึงจุดที่สังเกตเห็นได้จากการแจ้งเตือนหลายครั้งหลังจากที่มันติดเชื้อส่วนสำคัญในสภาพแวดล้อมของคุณ
ดังนั้นเราจะได้รับการมองเห็นที่ดีขึ้นนี้ได้อย่างไร? ขั้นแรก แทนที่จะนำเข้าบันทึกข้อมูลดิบโดยตรง เราต้องพิจารณาถึงวิธีการดึงข้อมูลเมตาด้านความปลอดภัยจากบันทึกเหล่านั้นจากหลายแหล่ง ถัดมา เราต้องนำข้อมูลเหล่านั้นไปตรวจสอบกับแหล่งข้อมูลข่าวกรองภัยคุกคามหลายแหล่ง หากไม่พบข้อมูลที่ตรงกับภัยคุกคามจากแหล่งข้อมูลเหล่านั้น จะต้องมีวิธีการอัตโนมัติในการแชร์ไฟล์นั้นกับแซนด์บ็อกซ์ เมื่อแซนด์บ็อกซ์ทำการจำแนกประเภทแล้ว จะต้องรวมชื่อเสียงของไฟล์นั้นไว้ในเหตุการณ์ด้วย นี่คือเหตุผลที่แนวคิดของ XDR การนำขั้นตอนเหล่านี้มารวมกันเป็น แดชบอร์ดเดียว กำลังกลายเป็นประเด็นร้อน - การโจมตีที่ซับซ้อนไม่ใช่เรื่องง่ายที่จะมองเห็นได้ด้วยทีมและเครื่องมือที่ไม่สามารถมองเห็นได้
ท้ายที่สุดแล้ว ระบบอัตโนมัตินี้จะช่วยลดความซับซ้อนของขั้นตอนการทำงานได้อย่างมาก SOC นักวิเคราะห์สามารถมุ่งเน้นไปที่เหตุการณ์ที่เกี่ยวข้องกันแทนที่จะรอให้สถานการณ์ก่อให้เกิดการแจ้งเตือนจำนวนมากก่อนจึงจะได้รับความสนใจ ซึ่งจะช่วยลดเวลาในการแก้ไขปัญหา (MTTD) ได้อย่างมาก เมื่อมีข้อมูลที่ถูกต้อง พวกเขายังสามารถดำเนินการได้อย่างรวดเร็ว ลดเวลาในการแก้ไขปัญหา (MTTD) ลงได้อีกด้วย มท.
บันทึกมีส่วนในการรักษาความปลอดภัยทางไซเบอร์จากมุมมองของการปฏิบัติตามข้อกำหนด แต่ถ้าคุณใช้บันทึกเพียงอย่างเดียวในการวิเคราะห์และแก้ไขคุณจะพลาดโอกาสใหญ่ในการใช้ประโยชน์จากระบบอัตโนมัติและการมองเห็นในเครื่องมือและการตรวจจับเพื่อปรับปรุงท่าทางการรักษาความปลอดภัยของคุณและลดความเป็นไปได้ของการโจมตีที่อาจส่งผลกระทบต่อการดำเนินธุรกิจของคุณอย่างมาก
คุณสามารถดูได้ว่า MSSP ใช้ประโยชน์จาก “Open” ของ Stellar Cyber อย่างไร XDR เพื่อผลักดันรายได้ที่มีกำไรสูง Good Farm Animal Welfare Awardsหรือติดต่อฉันโดยตรง brian@stellarcyber.ai
