Stellar Cyber ​​Open XDR - logo
paghahanap
Isara ang box para sa paghahanap na ito.

Isang Pakikipag-usap tungkol sa Bagong Wave ng Cybersecurity

Pag-uusap tungkol sa New Wave of Cybersecurity

Oras nito, muli, upang baguhin ang pag-uusap sa cybersecurity.

Hindi naman data-driven ni Hinihimok ng AI cybersecurity, na maaaring narinig mo dati - pareho at marami pa, mas marami pa.

Ito ay hinihimok ng ugnayan cybersecurity. Ito ay tungkol sa mga ugnayan ng maraming mga pagtuklas, mula sa napaka pangunahing tulad ng NGFW hanggang sa napaka-advanced na tulad ng AI-based EDR, mula sa iba't ibang mga mapagkukunan ng data sa isang solong cohesive platform.

cybersecurity, seguridad na hinimok ng AI, seguridad sa cyber, xdr, artipisyal na katalinuhan, mga tool ng SIEM, pagsusuri sa trapiko sa network, trapiko sa network

Naririnig natin ang tungkol sa maraming mga hamon sa seguridad mula sa mga prospect, customer at kasosyo — bakit? Sapagkat bahagi ito ng ginagawa ng mga tao — ibahagi ang sakit! Tulad ng nalalaman mo o hindi, ang mga umaatake ay may access sa parehong mga tool tulad ng ginagawa nating lahat. Mayroon silang access sa parehong mga teknolohiya ng Big Data at AI para sa mas advanced na pag-atake.

Gayunpaman, sa pagtaas ng mga kumplikadong banta, sumasang-ayon kaming lahat - hindi nakakagulat na naririnig natin ang mga pare-parehong tema:

  • Wala akong sapat na data upang magkaroon ng mabisang pagtuklas, o
  • Sa kabaligtaran, mayroon akong masyadong maraming data at lumubog ako
  • Nakakakuha ako ng sobrang ingay sa data o sobrang maling mga alarma
  • Kamakailan ay sinubukan ko ang ilang mga advanced na tool na gumagamit ng AI / ML upang mabawasan ang ingay o maling mga positibo, ngunit ang intelihensiya na iyon ay tukoy lamang sa bawat tool.
  • Mayroon akong maraming mga independiyenteng tool na hindi nakikipag-usap sa bawat isa at humantong sa mga siled na sagot at mataas na gastos

Ano ang magagawa mo tungkol sa isang komplikadong pag-atake na gumagamit ng mga hamong laban sa iyo? Narito ang isang simpleng halimbawa:

  • Tumatanggap ang iyong CEO ng isang email na may naka-embed na URL
  • Nagda-download ang iyong CEO ng isang file sa kanyang laptop sa pamamagitan ng pagpunta sa URL
  • Ang iyong CEO ay nag-a-access sa isang file server ng 2 am sa isang araw ng linggo
  • Nagpapadala ang laptop ng iyong CEO ng maraming trapiko sa DNS

Sa kanilang sarili, ang bawat isa sa mga indibidwal na kaganapang ito ay maaaring magmukhang normal. Kung nagkataon na mayroon kang tamang mga tool sa seguridad na ipinakalat, na may ilang advanced sa pag-aaral ng makina tulad ng EDR at UBA, maaari mong malaman na:

  • Tumatanggap ang iyong CEO ng a Phishing email na may naka-embed MAY MASAMANG HANGARIN URL
  • Ina-download ng iyong CEO a MALWARE file sa kanyang laptop sa pamamagitan ng pagpunta sa URL
  • Ina-access ng iyong CEO ang isang file server ng alas-2 ng umaga sa isang araw ng trabaho, isang ABNORMAL GALING sa isang term na UBA
  • Nagpapadala ang laptop ng iyong CEO ng maraming trapiko sa DNS sa pamamagitan ng DNS PAGTUNEL

Iyon ay maraming independiyenteng pagtatasa ng apat na magkakaibang mga tool. Gaano kabilis at gaano kadali mo maiuugnay ang mga kaganapang ito upang matunton ang paglabag na ito, at kung gaano karaming mga tao ang kailangan mong balutin ang lahat sa pamamagitan ng pagtingin sa maraming iba't ibang mga screen?

Bumalik tayo ng isang hakbang at tanungin ang ating sarili kung paano tayo nakarating dito. Malinaw na mayroong tatlong mga alon ng cybersecurity, na binuo sa tuktok ng bawat isa: ang pagtaas ng data, pagtaas ng AI, at pagtaas ng mga ugnayan.

1. Ang Pagtaas ng data - Pagtaas ng dami ng data upang makamit ang komprehensibong kakayahang makita.

Ang seguridad na hinimok ng data ay ang pangunahing tema ng panahon ng Big Data kung saan ang data ay ang bagong "ginto." Nagsimula ito sa mga log at raw network packet, magkahiwalay. Ang pangunahing layunin ng Mga SIEM ay upang mangolekta at pagsasama-sama ng mga troso mula sa iba't ibang mga tool at aplikasyon para sa pagsunod, pagsisiyasat sa insidente at pamamahala ng troso. ArcSight, isa sa legacy SIEM tool, na inilabas noong 2000, ay isang tipikal na halimbawa ng a SIEM at sistema ng pamamahala ng log. Ang mga hilaw na packet ay nakolekta at nakaimbak bilang-para sa forensics sa kabila ng katotohanang nangangailangan sila ng maraming espasyo sa pag-iimbak at napakahirap mag-ayos sa mga malalaking bilang ng mga packet na ito upang makahanap ng anumang pahiwatig ng mga paglabag. Noong 2006, natagpuan ng NetWitness ang isang solusyon sa pag-aaral ng mga hilaw na packet.

Mabilis, napagtanto namin na ang mga raw log o raw packet na paisa-isa ay hindi sapat upang maging epektibo sa pagtuklas ng mga paglabag, at ang mga raw packet ay masyadong mabigat at may limitadong paggamit bukod sa forensics. Ang impormasyong nakuha mula sa trapiko tulad ng Netflow / IPFix, na tradisyonal na ginamit para sa visibility ng network at pagsubaybay sa pagganap, ay nagsimulang gamitin para sa seguridad. Mga SIEM nagsimula ring ingest at iimbak ang Netflow / IPFix din. Gayunpaman, dahil sa parehong mga alalahanin sa kakayahang sumukat sa teknikal at alalahanin sa gastos, Mga SIEM hindi pa naging pangunahing tool para sa pagtatasa ng trapiko.

Sa pagdaan ng panahon, maraming data ang nakolekta: mga file, impormasyon ng gumagamit, intelligence intelligence, atbp. Ang layunin ng pagkolekta ng mas maraming data ay wasto - makakuha ng malawakang kakayahang makita - ngunit ang hamon sa net, na tumutugon sa mga kritikal na atake, ay tulad ng paghahanap ng mga karayom ​​sa isang haystack , lalo na sa pamamagitan ng manu-manong mga paghahanap o patakaran na tinukoy ng mga tao nang manu-mano. Ito ay masipag sa trabaho at walang sapat na oras.

Mayroong dalawang mga teknikal na hamon na nakaharap sa seguridad na hinihimok ng data: kung paano mag-imbak ng malalaking dami ng data sa sukat, na nagpapahintulot sa mahusay na mga paghahanap at pagsusuri, at kung paano makitungo sa iba't ibang data - lalo na ang hindi nakaayos na data - dahil ang data ay maaaring maging anumang format. Ang mga tradisyunal na pamamagitang database batay sa SQL ay tumakbo sa pareho ng mga problemang ito. Ang mga naunang nagtitinda ay nagkagulo upang malutas ang mga problemang ito sa maraming mga solusyon sa bahay. Sa kasamaang palad, ang karamihan sa kanila ay hindi kasing husay ng ginagamit namin ngayon batay sa mga database ng NoSQL para sa mga lawa ng Big Data.

May isa pang hamon na kinakaharap ang seguridad na hinihimok ng data: ang arkitektura ng software upang mabisang mabuo ang isang nasusukat na sistema para sa mga customer ng enterprise. Ang tipikal na 3-tier na arkitektura na may front-end na lohika sa negosyo at mga tier ng database ay naging isang malaking sagabal. Ang mga cloud-katutubong arkitektura ngayon, na nagtatayo sa arkitektura ng mga serbisyong mikro na may mga lalagyan, ay nagbibigay ng higit na masusukat at mabisang solusyon sa mga solusyon.

2. Ang Pagtaas ng AI — Gumamit ng pag-aaral ng makina na may malaking pagtatasa ng data upang makatulong na makahanap at ma-automate ang mga detection

Kapag mayroon kang maraming data, ano ang gagawin mo rito? Tulad ng nabanggit dati, na may isang malaking dami ng data, ang pagsala dito na naghahanap ng mga makahulugang pattern ay nakakapagod at nakakapagod ng oras. Kung ang iyong IT imprastraktura sa paanuman sa kasamaang palad ay na-hack, maaaring tumagal ng maraming araw upang malaman ito. Huli na dahil ang pinsala ay tapos na, o ang sensitibong data ay ninakaw na. Sa kasong ito, ang labis na data ay nagiging isang problema. Sa kasamaang palad, nakita namin ang pagtaas ng pag-aaral ng machine salamat sa mga pagsulong ng mga algorithm sa pag-aaral ng machine pati na rin ang lakas ng computing.

Ang mga makina ay napakahusay sa paggawa ng paulit-ulit at nakakapagod na trabaho nang napakabilis, napakahusay at walang pagod na 24 × 7. Kapag ang mga makina ay nilagyan ng katalinuhan tulad ng mga kakayahan sa pag-aaral, tumutulong sila sa sukat ng mga tao. Maraming mga mananaliksik at vendor sa seguridad ay nagsimulang magamit ang AI upang malutas ang problema, upang matulungan silang makita ang mga karayom ​​na iyon, o upang makita ang mga trend na nakatago sa loob ng malalaking mga dataset. Sa gayon, ang pagtaas ng Seguridad na hinimok ng AI. Maraming mga makabagong ideya sa puwang na ito. Halimbawa, maraming mga kumpanya ng Endpoint Detection and Response (EDR) na gumagamit ng AI upang tugunan ang mga problema sa seguridad ng endpoint; maraming mga kumpanya ng Pagsusuri sa Pag-uugali ng User at Entity (UEBA) na gumagamit ng AI upang tugunan ang mga banta ng tagaloob, at maraming pagsusuri sa trapiko sa network (NTA) mga kumpanya na gumagamit ng AI upang makahanap ng abnormal trapiko sa network mga pattern.

Kung ang data ay bagong ginto, ang mga paglabag na napansin sa pamamagitan ng AI ay tulad ng alahas na gawa sa ginto. Nangangailangan ito ng maraming oras, pasensya at pagsusumikap upang makagawa ng magagandang alahas sa pamamagitan ng kamay na walang ginto. Sa tulong ng mga makina, lalo na ang mga advanced na makinarya, posible ang komersyal na paggawa ng mahusay na alahas.

Sa ibabaw, may Seguridad na hinimok ng AI, maraming data ay nagiging mas mababa sa isang problema dahil ang ML ay karaniwang nangangailangan ng maraming data upang sanayin ang modelo at malaman ang mga pattern. Sa kabaligtaran, hindi sapat ang data ay malinaw na isang problema dahil mas mababa ang data, mas mababa ang tumpak at sa gayon ay hindi gaanong kapaki-pakinabang ang modelo ng ML. Gayunpaman, habang tumatagal, unti-unting napagtanto ng mga mananaliksik na ang tamang data ay higit na mahalaga. Napakaraming data nang walang tamang impormasyon ay isang pag-aaksaya lamang ng kapangyarihan sa computing para sa ML pati na rin ang pag-aaksaya ng pag-iimbak nang sabay. Maraming mas naunang mga vendor ng UEBA na may mga solusyon batay sa mga log mula sa SIEM tool natutunan ang mahirap na aral na ito. Maaaring nakolekta ng SIEM ang maraming mga troso, ngunit iilan lamang sa mga ito ang naglalaman ng tamang impormasyon na nauugnay sa pag-uugali ng gumagamit. Kaya, kahit na ang seguridad na hinihimok ng data ay nagtatayo ng isang mahusay na pundasyon para sa Seguridad na hinimok ng AI, upang makabuo ng nasusukat at tumpak Seguridad na hinimok ng AI, ang tamang data ay higit na mahalaga.

Ang paggamit ng AI ay tiyak na makakatulong na maibsan ang mga sakit sa Big Data, ngunit mayroon itong sariling mga hamon. Halimbawa, kapwa ang UEBA at NTA ay gumagamit ng hindi suportadong pag-aaral ng makina para sa pagtatasa ng pag-uugali. Gayunpaman, isang abnormal na pag-uugali na sinusunod para sa isang gumagamit o mula trapiko sa network ay hindi nangangahulugang isang insidente sa seguridad. Ang mga tool na ito ay maaaring makabuo ng maraming ingay, na nagiging sanhi ng pagkapagod ng alerto. Bukod dito, ang mga matalinong pag-hack ay karaniwang dumadaan sa maraming mga yugto ng chain ng pagpatay bago sila mahuli. Paano mo mababawi ang bakas ng isang paglabag at ayusin ang ugat na sanhi?

May isa pang malaking hamon na kinakaharap Seguridad na hinimok ng AI sama-sama: gastos - ang kapital na gastos ng mga tool mismo, ang gastos ng imprastraktura ng compute at imbakan na ginagamit ng mga tool na ito, at ang gastos ng pagpapatakbo ng napakaraming iba't ibang mga tool sa kanilang mga silo na may iba't ibang mga screen.

Kaya, kahit na ang bawat tool ay may kakayahang maglinis ng gigabytes o terabytes ng data pababa sa isang maikling listahan ng ilang mga kritikal na detection, nananatili pa rin ang tanong, "Ano ang nawawala sa iyo sa hindi pagsasama-sama ng mga tool na ito sa isang solong platform at pag-uugnay ng mga detection sa lahat ng mga tool at feed? "

3. Ang Pag-usbong ng Mga Pag-uugnay-Magkaugnay ng mga pagtuklas at i-automate ang tugon sa buong ibabaw ng pag-atake sa isang solong platform

Sa bagong alon na ito, ang pag-uusap ay inilipat mula sa data at AI patungo sa mga ugnayan. Malinaw na, ang alon na ito ay itinayo sa dalawang nakaraang mga alon. Gayunpaman, ang lahat ay tungkol sa pagkuha sa itaas ng data pati na rin ang mga tool, at ito ay tungkol sa pagbabalot ng lahat sa isang solong platform. Kasunod sa aming maagang pagkakatulad sa ginto-sa-alahas, ito ay tungkol sa pagtutugma ng isang hanay ng mga tamang alahas at pagsamahin ito sa isang tao upang gawin itong maganda sa kabuuan.

Mga analista sa seguridad mula ESG, Gartner, Forrester, IDC at Odyssey lahat ay sumasang-ayon sa pagbabagong ito ng pag-iisip mula sa mga siled tool hanggang sa isang pinagsama-samang platform ay susi upang matulungan kaming makita at tumugon sa mga kritikal na paglabag. Partikular, ang platform ay kailangang gumawa ng isang holistic na diskarte at tingnan ang pag-uugnay ng mga detection sa kabuuan ng network, cloud, mga endpoint at application - ang buong ibabaw ng pag-atake.

Ang mga pangunahing layunin ng mga ugnayan ng mga pagtuklas sa mga tool, feed at kapaligiran ay upang mapabuti ang katumpakan ng pagtuklas, upang makita ang mga kumplikadong pag-atake sa pamamagitan ng pagsasama ng mas mahina na mga signal mula sa maraming mga tool upang makita ang mga pag-atake na maaaring hindi pansinin, at upang mapabuti ang kahusayan at pagiging produktibo ng pagpapatakbo. Hindi na nangangahulugang ang komprehensibong kakayahang makita ay ang paghahanap ng tamang data — sa halip, nangangahulugan ito ng paghahanap ng mga kumplikadong pag-atake.

Upang magawa ito, dapat mong isaalang-alang Buksan ang XDR. XDR ay isang solusyon sa pagpapatakbo ng seguridad na may mahigpit na pagsasama ng maraming mga aplikasyon ng seguridad sa isang solong platform na may isang solong pane ng baso. Awtomatiko nitong kinokolekta at iniuugnay ang data mula sa maraming mga tool, nagpapabuti ng mga pagtuklas, at nagbibigay ng mga awtomatikong tugon. Ang isang platform na tinali ang mga tool at application na likas na hinihimok ang gastos ng pababa, sa parehong gastos ng mga tool at gastos sa imprastraktura, habang pinapabuti nito ang kahusayan sa pagpapatakbo na may madaling gamiting solong pane ng baso.

Sa palagay namin mayroong limang pangunahing mga kinakailangan sa pundasyon ng XDR:

  1. Sentralisasyon ng na-normalize at napayaman na data mula sa iba't ibang mga mapagkukunan ng data kabilang ang mga troso, trapiko sa network, mga application, cloud, Threat Intelligence, atbp.
  2. Awtomatikong pagtuklas ng mga kaganapan sa seguridad mula sa data na nakolekta sa pamamagitan ng advanced na analytics tulad ng NTA, UBA at EBA.
  3. Pag-uugnay ng mga indibidwal na kaganapan sa seguridad sa isang mataas na antas ng pagtingin.
  4. Ang sentralisadong kakayahan sa pagtugon na nakikipag-ugnay sa mga indibidwal na produkto ng seguridad.
  5. Cloud-katutubong micro-services na arkitektura para sa kakayahang umangkop ng pag-deploy, kakayahang sumukat at mataas na kakayahang magamit.

Bilang konklusyon, ang Stellar Cyber ​​ay ang tanging binubuo ng layunin na Open XDR platform na nakakain at nag-curate sa lahat cybersecurity data upang makita, maiugnay at tumugon sa buong buong chain ng pagpatay. Ang alon ng mga ugnayan ay nagsimula, at malugod kang sumakay kasama namin na tinatangkilik ang paglalakbay nang magkasama!

SIAMs - Walang laman na mga Pangako

SIEMs - MAHALAGA PANGAKO?

Ang SIEM ay naging pundasyon ng mga pagpapatakbo ng seguridad sa mga dekada, at dapat itong kilalanin. Gayunpaman, ang SIEM ay gumawa ng maraming magagaling na pangako, at hanggang ngayon, hindi natutupad ang marami sa kanila ...

Mag-download ng eBook

Mag-scroll sa Tuktok