เหตุใดบริษัทวิจัยตลาดชั้นนำจึงตื่นเต้นกับเรื่องนี้มาก XDR?

ถาม-ตอบกับซีอีโอและผู้ร่วมก่อตั้ง Changming Liu

SIEMs – คำสัญญาที่ว่างเปล่า?

SIEMระบบรักษาความปลอดภัยเป็นรากฐานของการปฏิบัติการรักษาความปลอดภัยมานานหลายทศวรรษ และนั่นเป็นสิ่งที่ควรได้รับการยอมรับ อย่างไรก็ตาม SIEMพวกเขาได้ให้คำมั่นสัญญาไว้มากมาย และจนถึงทุกวันนี้ก็ยังไม่สามารถทำตามคำมั่นสัญญาเหล่านั้นได้มากนัก…

ดาวน์โหลดเอกสารข้อมูล

ถาม: ขอชี้แจงข้อกล่าวอ้างนั้นให้ชัดเจน เมื่อคุณพูดถึงความสัมพันธ์ของการตรวจจับ คุณหมายถึงอะไร และทำไมจึงทำไม่ได้ SIEMแล้วเราทำได้อย่างไร?
ตอบ: การตรวจจับคือเหตุการณ์ที่ดูผิดปกติหรือเป็นอันตราย และประเด็นในปัจจุบันในศูนย์ปฏิบัติการด้านความปลอดภัยสมัยใหม่ (SOCปัญหาคือ การตรวจจับอาจกระจุกตัวมาจากเครื่องมือที่แยกส่วนกันหลายอย่าง ตัวอย่างเช่น คุณมีไฟร์วอลล์และระบบตรวจจับและตอบสนองเครือข่าย (NDR) สำหรับการป้องกันเครือข่ายของคุณ ระบบตรวจจับและตอบสนองปลายทาง (EDR) สำหรับการป้องกันปลายทางของคุณ และ Cloud Application Security Broker (CASB) สำหรับแอปพลิเคชัน SaaS ของคุณ การเชื่อมโยงการตรวจจับเหล่านั้นเพื่อสร้างภาพรวมที่ใหญ่ขึ้นเป็นปัญหา เนื่องจากปัจจุบันแฮกเกอร์ใช้เทคนิคที่ซับซ้อนมากขึ้นในการเข้าถึงแอปพลิเคชันและข้อมูลของคุณด้วยช่องทางการโจมตีที่เพิ่มขึ้น ทีมของคุณอาจอ้างว่าเป็นผลลัพธ์ที่ผิดพลาด หรือไม่สามารถมองทะลุการตรวจจับเหล่านี้และแยกแยะได้ว่าอะไรคือสิ่งสำคัญและอะไรคือสิ่งรบกวน วัตถุประสงค์หลักของ SIEMหน้าที่ของมันคือการรวบรวมและประมวลผลข้อมูล เช่น บันทึกจากเครื่องมือและแอปพลิเคชันต่างๆ เพื่อให้มองเห็นภาพรวมของกิจกรรมและตรวจสอบเหตุการณ์ต่างๆ

ที่กล่าวว่ายังมีงานที่ต้องทำด้วยตนเองอีกมากเช่นการแปลงข้อมูลรวมถึงการหลอมรวมข้อมูลเพื่อสร้างบริบทให้กับข้อมูลเช่นการเพิ่มคุณค่าด้วยข้อมูลภัยคุกคามตำแหน่งที่ตั้งสินทรัพย์และ / หรือข้อมูลผู้ใช้

ถามกลับมาที่หัวข้อข่าวทำไมสิ่งนี้จึงเป็นกุญแจสำคัญสำหรับผู้เชี่ยวชาญด้านความปลอดภัย
ตอบ: ลองพิจารณาบริษัทวิเคราะห์ข้อมูลอย่าง Gartner เป็นตัวอย่าง สำหรับงาน Security Summit ของพวกเขา เทรนด์อันดับ 2 จาก 7 เทรนด์ด้านความปลอดภัยและความเสี่ยงชั้นนำสำหรับปี 2020 คือความสนใจที่เพิ่มขึ้นในการนำไปใช้หรือพัฒนาให้มีประสิทธิภาพสูงขึ้น SOCโดยมุ่งเน้นที่การตรวจจับและการตอบสนองต่อภัยคุกคาม พวกเขายังกล่าวเพิ่มเติมว่า “เพื่อตอบสนองต่อช่องว่างด้านทักษะความปลอดภัยที่เพิ่มขึ้นและแนวโน้มของผู้โจมตี การตรวจจับและการตอบสนองที่ขยายวงกว้าง (XDRเครื่องมือต่างๆ การเรียนรู้ของเครื่อง (ML) และความสามารถในการทำงานอัตโนมัติกำลังเกิดขึ้นเพื่อปรับปรุงประสิทธิภาพการปฏิบัติงานด้านความปลอดภัยและความแม่นยำในการตรวจจับ”

ถาม: นั่นเป็นเรื่องที่น่าสนใจ แต่เรามาลองย้อนกลับไปพูดถึงเหตุผลกันดีกว่า XDR นี่เป็นของใหม่ ไม่ใช่แค่การนำเครื่องมือที่มีอยู่แล้วมาปรับใช้เท่านั้น
ตอบ: XDR เป็นแพลตฟอร์มปฏิบัติการด้านความปลอดภัยที่ครบวงจร โดยมีการบูรณาการแอปพลิเคชันด้านความปลอดภัยมากมายไว้ในแพลตฟอร์มเดียวอย่างแน่นหนา SIEM เป็นหนึ่งในแอปพลิเคชันที่รองรับการทำงานโดยตรงจำนวนมาก และทำงานร่วมกับแอปพลิเคชันอื่นๆ รวมถึงการวิเคราะห์พฤติกรรมผู้ใช้และเอนทิตี (UBA & EBA), การวิเคราะห์ปริมาณการรับส่งข้อมูลเครือข่าย (NTA) และการวิเคราะห์ปริมาณการรับส่งข้อมูลไฟร์วอลล์ (FTA), ข่าวกรองภัยคุกคาม ฯลฯ ที่ Stellar Cyber ​​เรากำหนด Open XDR โดยมุ่งเน้นที่การตรวจจับภัยคุกคามอัตโนมัติและการตอบสนองต่อเหตุการณ์โดยการเชื่อมโยงเหตุการณ์ด้านความปลอดภัยจากเครื่องมือรักษาความปลอดภัยหลายตัว นี่คือความท้าทายหลักๆ ที่พบได้ SIEM-เฉพาะผลิตภัณฑ์เหล่านี้ ซึ่งทำให้เป็นเครื่องมือหลักสำหรับการจัดการบันทึกและการปฏิบัติตามข้อกำหนด

Q. แล้วสถาปัตยกรรมล่ะ? สิ่งนั้นมีความสำคัญต่อผู้ซื้ออย่างไร?
ตอบ: Open XDR พัฒนาขึ้นโดยใช้สถาปัตยกรรมและบริการคลาวด์เนทีฟแบบใหม่ รวมถึงสถาปัตยกรรมแบบไมโครเซอร์วิสพร้อมคอนเทนเนอร์และคลัสเตอร์ มีความยืดหยุ่นสูงในแง่ของการใช้งาน ปรับขนาดประสิทธิภาพได้ และมีเครื่องมือค้นหาที่ใช้ Lucene เพื่อให้การค้นหาข้อมูลรวดเร็วเป็นพิเศษ – ภายในไม่กี่วินาที แทนที่จะเป็นชั่วโมงหรือวันอย่างที่เห็นในหลายๆ ระบบ SIEM-เฉพาะผลิตภัณฑ์เท่านั้น ซอฟต์แวร์เดียวกันนี้สามารถติดตั้งใช้งานในระบบภายในองค์กรด้วยอุปกรณ์ทางกายภาพที่มีความปลอดภัยสูง เครื่องเสมือน คลาวด์ส่วนตัวหรือสาธารณะ พร้อมความสามารถในการขยายขนาดในแนวนอนและความพร้อมใช้งานสูง ซึ่งเป็นกุญแจสำคัญสำหรับการวิเคราะห์ข้อมูลขนาดใหญ่ที่ทำงานบนโอเพ่นดาต้าเลค คุณลักษณะเหล่านี้มีความสำคัญอย่างยิ่งสำหรับปริมาณข้อมูลที่เพิ่มขึ้นอย่างต่อเนื่องและข้อกำหนดด้านการปฏิบัติตามกฎระเบียบเรื่องการสูญเสียข้อมูลเป็นศูนย์

ถามนักวิเคราะห์คนอื่น ๆ พูดว่าอย่างไร?
ตอบ: Forrester, ESG, IDC และ Omdia ต่างกล่าวว่าปัจจุบันมีช่องว่างและการแบ่งแยกในระบบต่างๆ SOCเครื่องมือจำเป็นต้องตรวจสอบการตรวจจับในทุกระดับ ตั้งแต่เครือข่าย คลาวด์ อุปกรณ์ปลายทาง และผู้ใช้ นักวิเคราะห์ทุกคนพูดถึงแนวคิดเรื่องความสัมพันธ์ระหว่างพื้นที่เหล่านี้ว่าเป็นตัวบ่งชี้ที่แท้จริง XDR ความสามารถของคุณ ตัวอย่างเช่น ความสามารถของคุณ SIEM เมื่อคุณเห็นบันทึกที่บอกว่าผู้ใช้เข้าถึง SQL ในเวลาที่ไม่ปกติ เครื่องมือ NTA ของคุณจะบอกว่าผู้ใช้กำลังส่งทราฟฟิกออกนอกประเทศของคุณ และเครื่องมือ UBA ของคุณจะบอกว่านอกจากนี้ ผู้ใช้รายนั้นไม่ได้ใช้งานแอปพลิเคชันนี้ในช่วงเวลาดังกล่าวหรือด้วยอัตราข้อมูลดังกล่าวเป็นประจำ ทั้งหมดนี้แสดงให้เห็นถึงการโจมตีที่ซับซ้อน แต่เครื่องมือที่แยกส่วนกันจำเป็นต้องมีการแทรกแซงด้วยตนเองเพื่อสรุปผล ในปัจจุบัน XDR ระบบสามารถสร้างภาพนี้โดยอัตโนมัติผ่าน AI/ML ได้

ถาม: คุณจะช่วยผู้ที่กำลังเรียนรู้เกี่ยวกับเรื่องนี้อย่างไร XDR เพื่อคัดเลือกบริษัทและตัดสินใจได้อย่างถูกต้อง?
ตอบ: นี่เป็นเรื่องสำคัญ และเราคิดว่ามีข้อกำหนดพื้นฐานหลักห้าประการ ได้แก่ XDR:

1. การรวมศูนย์ของ ปกติ และ อุดม ข้อมูลจากแหล่งข้อมูลที่หลากหลายรวมถึงบันทึกการรับส่งข้อมูลเครือข่ายแอปพลิเคชันคลาวด์ Threat Intelligence เป็นต้น
2. ตรวจสอบอัตโนมัติ เหตุการณ์ด้านความปลอดภัยจากข้อมูลที่รวบรวมด้วยการวิเคราะห์ขั้นสูงเช่น NTA, UBA และอีบีเอ
3. ความสัมพันธ์ ของเหตุการณ์ความปลอดภัยแต่ละเหตุการณ์ในมุมมองระดับสูง
4. ความสามารถในการตอบสนองจากส่วนกลางที่โต้ตอบกับผลิตภัณฑ์รักษาความปลอดภัยแต่ละรายการ
5. สถาปัตยกรรมไมโครบริการบนคลาวด์ เพื่อความยืดหยุ่นในการปรับใช้ความสามารถในการปรับขนาดและความพร้อมใช้งานสูง

และนอกจากนี้สำหรับ Stellar Cyber ​​ความคิดของ Open XDR หมายความว่าเรามีระบบนิเวศแบบเปิดเพื่อให้แน่ใจว่าคุณใช้ประโยชน์จากเครื่องมือรักษาความปลอดภัยที่มีอยู่และแนวทางปฏิบัติที่ดีที่สุด เราเชื่อว่าเราลดความเสี่ยงโดยไม่หยุดชะงักและปรับปรุงความเที่ยงตรงของเครื่องมือที่มีอยู่ทั้งหมดของคุณ

ดังนั้นแทนที่จะเป็นเพียงเครื่องมือเดียวเช่นไฟล์ SIEM, Stellar Cyber's Open XDR ระบบจะเชื่อมโยงข้อมูลจากเครื่องมือต่างๆ มากมาย รวมถึงชุดเครื่องมือแบบบูรณาการของตนเองและเครื่องมือที่มีอยู่เดิม เพื่อสร้างการแจ้งเตือนที่มีความแม่นยำสูงขึ้น ลดการแจ้งเตือนที่ผิดพลาด และเพิ่มประสิทธิภาพการทำงานของนักวิเคราะห์ให้ดียิ่งขึ้น