Tinatalakay ni Samuel Jones, VP ng pamamahala ng produkto, Stellar Cyber, kung paano SIEMDapat sana ay ang pinakamahusay na plataporma ng security analytics. Gayunpaman, maraming gumagamit ang nakakaramdam na hindi nila natupad ang kanilang mga pangako. Ngayon, ang pinalawak na pagtuklas at pagtugon (XDR) ay nangangakong magiging pinakamahusay na plataporma. Kung gagamit ka ng XDRAno ang ibig sabihin nito para sa iyo SIEM?
Impormasyon sa seguridad at pamamahala ng kaganapan (SIEMs) nangongolekta ng datos mula sa mga security log at sa paggawa nito ay dapat tukuyin ang mga blind spot, bawasan ang ingay at alerto ang pagkapagod, at pasimplehin ang pagtuklas at pagtugon sa mga kumplikadong cyberattack. Gayunpaman, SIEMHindi natupad ang mga pangakong ito. Ngayon, ang bagong ideya ay ang pinalawak na pagtuklas at pagtugon. Ano ang mga bentahe nito, at dapat ba itong umiral o pumalit sa isang SIEMTinatalakay ng artikulong ito ang kasalukuyang kalagayan ng cybersecurity, kung paano SIEM akma sa tanawing iyon, at paano XDR Ang mga platform ay maaaring makabuluhang mapabuti ang visibility, pagsusuri, at pagtugon sa mga insidente sa seguridad.
Ang Security Landscape
Ang pinaka-halata na bagay tungkol sa landscape ng seguridad ngayon ay ang pagtaas ng mga banta:
- Ayon sa Accenture, 68% ng mga lider ng negosyo ang nakadama ng kanilang mga panganib sa cybersecurity ay tumataas noong 2020.
- Iniulat ng RiskBased na ang mga paglabag sa data ay nakalantad sa 36 bilyong mga talaan sa unang kalahati ng 2020.
- Natagpuan ng Proofpoint na 88 porsyento ng mga samahan sa buong mundo ang nakaranas ng mga pag-atake ng sibat-phishing sa panahon ng 2019.
Bilang karagdagan, ang mga pag-atake ay nagiging mas kumplikado. Minsan na-target ng mga hacker ang isang solong vector, tulad ng isang firewall port, ngunit ngayon, tina-target nila ang maraming mga vector. Halimbawa, ang isang magsasalakay ay maaaring mag-log in sa network mula sa isang hindi kilalang lokasyon, i-access ang aktibong sistema ng direktoryo at baguhin ang mga pribilehiyo ng isang gumagamit, at pagkatapos ay magsimulang mag-download ng data mula sa isang server. Sa kanilang sarili, ang bawat isa sa mga tagapagpahiwatig na ito ay maaaring matingnan bilang maling mga positibo ng mga system na sumusubaybay sa kanila, ngunit sa totoo lang, lahat sila ay bahagi ng isang solong pag-atake.
Sa kapaligirang ito, ang mga kumpanya ay nagpupumilit na kilalanin at mabago ang mga pag-atake. Ang tradisyunal na diskarte ng pagkolekta ng isang pangkat ng mga siled tool (tulad ng EDR, NTA, SIEM at UEBA) upang pag-aralan ang trapiko sa mga network, server, mga endpoint, cloud at iba pang mga hiwa ng imprastraktura ng seguridad ay simpleng hindi gumagana. Sa parehong survey, natagpuan ng ESG na 75% ng mga kumpanya ang nahihirapang mag-synthesize ng mga resulta mula sa iba't ibang mga tool sa seguridad upang matukoy ang mga pag-atake. Bukod dito, ipinapakita ng survey na 75% ng mga kumpanya ang nag-deploy ng isa o higit pang mga tool sa seguridad na nabigo na tuparin ang kanilang pangako.
Sa wakas, mayroong isang puwang sa mga kasanayan sa mga tao. Ipinakita ng survey ng ESG na 75% ng mga kumpanya ay mayroong puwang sa mga kasanayan sa mga tao, hindi sila maaaring kumuha ng sapat na may karanasan na mga analista upang suportahan ang analytics ng seguridad at mga pagpapatakbo.
Dagdagan ang Nalalaman: Ang Iyong Paglalakbay Tungo sa Matalinong NG-SOC Nagsisimula Dito
Paano Natutugunan ng Mga Tool ang Mga Hamon
SIEMnangongolekta ng datos mula sa maraming iba't ibang mapagkukunan, kabilang ang mga firewall, pagtuklas at pagtugon ng network (NDR) mga sistema, mga sistema ng endpoint detection and response (EDR), mga cloud application security broker (CASB). Maganda ang ideya: na ang isang tool lamang ang nangongolekta ng data mula sa buong attack surface at pinagsasama-sama ito para sa pagsusuri, pagtuklas, at pagtugon. Ngunit may mga isyu sa SIEM mga tool:
- Ang bawat kasangkapan sa siled ay gumagawa ng data sa sarili nitong format.
- Marami pa ring kinakailangang mga manu-manong gawain, tulad ng pagbabago ng data (kasama ang pagsasanib ng data) upang lumikha ng konteksto para sa data, ibig sabihin, pagpapayaman na may intelligence intelligence, lokasyon, asset at / o impormasyon ng gumagamit
- Napakaraming data na ang mga analista ay nahihirapang makakita ng mga kumplikadong pag-atake.
- Ang mga analista ay hindi makakakita ng mga kumplikadong pag-atake dahil sa dami ng data at pagsisikap na kinakailangan upang manu-manong maiugnay ang magkakahiwalay na mga detection. Ang katotohanan ay ang utak ng isang tao ay hindi maaaring maiugnay ang higit sa tatlong mga mapagkukunan ng impormasyon sa bawat pagkakataon, kaya ang pagdaan sa isang pagbaha ng impormasyon ay mahirap o imposible.
Hindi nakakagulat na kahit kasama SIEMSa trabaho, maraming kumpanya ang inaabot ng ilang linggo o buwan bago matukoy ang mga kumplikadong pag-atake: ang karaniwang oras para matukoy ang isang kumplikadong paglabag ay mahigit 200 araw. Lubog sa mga maling positibo ang mga security analyst, kaya hindi nila makita ang mga alligator sa latian dahil hanggang leeg sila sa tubig at sinusubukang huminga.
XDR: Pagkikita sa Kagubatan at Lahat ng Puno
Kung ang ideya sa likod SIEMAng s ang tama pagdating sa pagkolekta ng datos mula sa iba't ibang imprastraktura, ang pinalawak na pagtuklas at pagtugon) ang ebolusyon ng ideyang iyon. Ang ideya ay upang matiyak na ang buong ibabaw ng pag-atake ay maaaring masubaybayan mula sa iisang console.
XDR ay isang magkakaugnay na plataporma ng operasyon ng seguridad na may mahigpit na integrasyon ng maraming aplikasyon sa seguridad sa ilalim ng isang interface. XDR kumukuha ng datos ang plataporma mula sa SIEM, NDR, EDR, CASB, pagsusuri ng pag-uugali ng entidad ng gumagamit (UEBA) at iba pang mga kagamitan at, hindi tulad ng isang SIEM, normalisahin ang magkakaibang mga hanay ng data na ito sa isang karaniwang format. Ang karaniwang data pool ay madaling hanapin kaya ang mga analista ay maaaring mag-drill sa mga alerto upang makita ang mga sanhi ng pag-atake. Bukod dito, XDR gumagamit din AI at pag-aaral ng machine upang awtomatikong maiugnay ang mga pagtuklas at maglabas ng mga alerto na may mataas na katapatan, na makabuluhang binabawasan ang mga maling positibo.
Hindi tulad ng mga tao, ang mga kompyuter ay maaaring mag-ugnay ng walang limitasyong bilang ng mga punto ng datos, kaya sa pamamagitan ng paggamit ng normalized na datos at mga tool ng AI, XDR awtomatikong matukoy ang mga kumplikadong pag-atake sa maraming pagkakataon, kadalasan sa loob ng ilang minuto o oras sa halip na mga linggo o buwan. Bukod dito, ang mahigpit na integrasyon sa mga siloed security tool ay nagbibigay-daan XDR para awtomatikong mag-trigger ng mga tugon sa mga alerto, tulad ng pagharang sa isang firewall port.
Dagdagan ang Nalalaman: XDR Ipinaliwanag sa 300 Salita
Open XDR: Paggawa XDR Mas kayang-kaya
tulay XDR platform sa merkado ay ang mga solong-vendor na solusyon na bumubuo sa isang Si EDR base at mga firewall. Ang mga kumpanya ay pumipili para sa solong-vendor XDR samakatuwid ay dapat iwanan ang kanilang mga kasalukuyang pamumuhunan sa kagamitan upang magamit XDRKaramihan sa mga kumpanya ay gumastos ng milyun-milyon sa pagbili at pag-aaral kung paano gamitin ang kanilang mga kasalukuyang kagamitan, kaya nag-aatubili silang gawin ito.
Open XDR ay isang XDR variant na gumagana sa mga umiiral na tool sa seguridad – anuman Si EDR at anumang firewall. Dahil dito pinapayagan ang mga gumagamit na panatilihin ang kanilang mga pamumuhunan sa cybersecurity habang pinahuhusay ang mga ito sa pamamagitan ng pagsasama-sama ng lahat ng kanilang data, pagtuklas ng mga pag-atake, pagpapakita ng mga alerto na may mataas na katapatan mula sa buong imprastraktura sa ilalim ng iisang interface, at awtomatikong pagtugon sa maraming mga kaso upang makapaghatid ng agarang pagpapabuti sa pangkalahatang postura ng seguridad.
Sa karagdagan, Open XDR platform isama ang kanilang sariling mga hanay ng SIEM, NTA, UEBA at iba pang mga tool. Pinapayagan nito ang mga gumagamit na mag-sunset ng ilan sa kanilang mga mayroon nang mga tool sa paglipas ng panahon, unti-unting binabawas ang mga gastos sa paglilisensya at pagiging kumplikado sa pagpapatakbo.
Konklusyon
SIEM ay naging batayan ng mga pagpapatakbo ng seguridad sa loob ng maraming taon, ngunit madalas itong lumilikha ng mas maraming trabaho na may mas kaunting mga resulta. Ang mga analista ay napuno ng maraming mga alerto, ang data ay mahirap gawing normal, at imposibleng kumuha ng sapat na mga analista upang matugunan ang pangangailangan.
Sa pamamagitan ng paghahatid ng mabilis, malinaw na mga pagtuklas mula sa mga mayroon nang mga system na may mga awtomatikong tugon, XDR Pinapabilis ng mga sistema ang pagtukoy at remediasyon ng mga atake habang binabawasan ang pasanin sa mga pangkat ng analyst, na humahantong sa mas mahusay na pangkalahatang seguridad at mas masayang mga empleyado.
