Kaganapan sa Seguridad at Mga plataporma ng Pamamahala ng Impormasyon (SIEMs) nangongolekta ng datos mula sa mga security log at sa paggawa nito ay dapat matukoy ang mga blind spot, mabawasan ang ingay at alerto ang pagkapagod, at gawing simple ang pagtuklas at pagtugon sa mga kumplikadong cyberattack. Gayunpaman, SIEMhindi natupad ang mga pangakong ito. Ngayon, ang bagong ideya ay XDR - ano ang mga kalamangan, at dapat itong magkasama o palitan ang a SIEM? Sinisiyasat ng papel na ito ang kasalukuyang tanawin ng cybersecurity, paano SIEM akma sa tanawing iyon, at paano XDR Ang mga platform ay maaaring makabuluhang mapabuti ang visibility, pagsusuri, at pagtugon sa mga insidente sa seguridad.
Ang Security Landscape
Ang pinaka-halata na bagay tungkol sa landscape ng seguridad ngayon ay ang pagtaas ng mga banta:
- Ayon sa Accenture, 68 porsyento ng mga lider ng negosyo ang nakadama ng kanilang mga panganib sa cybersecurity ay tumataas noong 2020.
- Iniulat ng Batay sa Panganib na ang mga paglabag sa data ay nakalantad sa 36 bilyong mga talaan sa unang kalahati ng 2020.
- Natagpuan ng Proofpoint na 88 porsyento ng mga samahan sa buong mundo ang nakaranas ng mga pag-atake ng phishing ng sibat sa panahon ng 2019.
Bilang karagdagan, ang mga pag-atake ay nagiging mas kumplikado. Minsan na-target ng mga hacker ang isang solong vector, tulad ng isang firewall port, ngunit ngayon, tina-target nila ang maraming mga vector. Halimbawa Sa kanilang sarili, ang bawat isa sa mga tagapagpahiwatig na ito ay maaaring matingnan bilang maling mga positibo ng mga system na sumusubaybay sa kanila, ngunit sa totoo lang, lahat sila ay bahagi ng isang solong pag-atake.
Sa kapaligirang ito, ang mga kumpanya ay nagpupumilit na kilalanin at mabago ang mga pag-atake. Ang tradisyunal na diskarte ng pagkolekta ng isang pangkat ng mga siled tool (tulad ng EDR, NTA, SIEM at UEBA) upang pag-aralan ang trapiko sa mga network, server, mga endpoint, cloud at iba pang mga hiwa ng imprastraktura ng seguridad ay hindi gumagana. Sa isang survey noong 2020, Enterprise Strategy Group (ESG) nalaman na 75 porsyento ng mga kumpanya ang nahihirapang mag-synthesize ng mga resulta mula sa iba't ibang mga tool sa seguridad upang matukoy ang mga pag-atake. Bukod dito, ipinakita ng survey na 75 porsyento ng mga kumpanya ang nag-deploy ng isa o higit pang mga tool sa seguridad na nabigo na tuparin ang kanilang pangako.
Sa wakas, mayroong isang puwang sa mga kasanayan sa mga tao. Ipinakita ng survey ng ESG na 75 porsyento ng mga kumpanya ang may agwat ng mga kasanayan sa mga tao - hindi sila maaaring kumuha ng sapat na may karanasan na mga analista upang suportahan ang analytics ng seguridad at mga pagpapatakbo.
Paano Natutugunan ng Mga Tool ang Mga Hamon
SIEMs mangolekta ng data mula sa maraming iba't ibang mga mapagkukunan, kabilang ang mga firewall, pagtuklas ng network at tugon (NDR) mga system, endpoint detection at response (EDR) system at cloud application security brokers (mga CASB). Ang ideya ay isang mahusay: na ang isang solong tool ay nangongolekta ng data mula sa buong ibabaw ng pag-atake at pinagsama-sama ito para sa pagtatasa, pagtuklas at tugon. Ngunit may mga isyu sa SIEM mga tool:
- Ang bawat kasangkapan sa siled ay gumagawa ng data sa sarili nitong format.
- Marami pa ring kinakailangang mga manu-manong gawain, tulad ng pagbabago ng data (kasama ang pagsasanib ng data) upang lumikha ng konteksto para sa data, ibig sabihin, pagpapayaman na may intelligence intelligence, lokasyon, asset at / o impormasyon ng gumagamit.
- Napakaraming data na ang mga analista ay nahihirapang makakita ng mga kumplikadong pag-atake.
- Hindi makita ng mga analista ang mga kumplikadong pag-atake dahil sa dami ng data at pagsusumikap na kinakailangan upang manu-manong maiugnay ang magkakahiwalay na mga detection. Ang utak ng isang tao ay hindi maaaring maiugnay ang higit sa tatlong mga mapagkukunan ng impormasyon sa bawat oras, kaya ang pagdaan sa isang pagbaha ng impormasyon ay mahirap o imposible.
Hindi nakakagulat na kahit kasama SIEMs sa trabaho, maraming mga kumpanya ang tumatagal ng linggo o buwan upang makilala ang mga kumplikadong pag-atake: ang average na oras upang makilala ang isang kumplikadong paglabag ay higit sa 200 araw. Ang mga analista sa seguridad ay napuno ng maling mga positibo, kaya hindi nila makita ang mga buaya sa swamp dahil hanggang sa ang kanilang mga leeg sa tubig at sinusubukan lamang huminga.
XDR – Nakikita ang kagubatan at lahat ng mga puno
Kung ang ideya sa likod SIEMs ay ang tama sa mga tuntunin ng pagkolekta ng data mula sa buong imprastraktura, XDR (Pagtuklas at Pagtugon sa Lahat) ay ang ebolusyon ng ideyang iyon. Ang ideya ay upang matiyak na ang buong ibabaw ng atake ay maaaring subaybayan mula sa isang solong console.
XDR ay isang cohesive security operations platform na may masikip na pagsasama ng maraming mga application ng seguridad sa ilalim ng isang dashboard upang maiugnay ang mga kaganapan sa mga makabuluhang insidente sa buong ibabaw ng pag-atake. Isang XDR platform nakakainit ng data mula sa SIEM, NDR, Si EDR, CASB, pagtatasa ng pag-uugali ng entity ng gumagamit (UEBA) at iba pang mga kagamitan at, hindi katulad ng a SIEM, normalisahin ang magkakaibang mga hanay ng data na ito sa isang karaniwang format. Ang karaniwang data pool ay madaling hanapin kaya ang mga analista ay maaaring mag-drill sa mga alerto upang makita ang mga sanhi ng pag-atake. Bukod dito, XDR gumagamit din ng pag-aaral ng AI at machine upang awtomatikong maiugnay ang mga detection at mag-isyu ng mga alerto na may mataas na katapatan, na makabuluhang binabawasan ang mga maling positibo.
Hindi tulad ng mga tao, ang mga computer ay maaaring maiugnay ang isang walang limitasyong bilang ng mga puntos ng data, kaya sa pamamagitan ng paggamit ng na-normalize na data at Mga tool sa AI, XDR awtomatikong matukoy ang mga kumplikadong pag-atake sa maraming pagkakataon, kadalasan sa loob ng ilang minuto o oras sa halip na mga linggo o buwan. Bukod dito, ang mahigpit na integrasyon sa mga siloed security tool ay nagbibigay-daan XDR para awtomatikong mag-trigger ng mga tugon sa mga alerto, tulad ng pagharang sa isang firewall port.
Open XDR – Paggawa XDR Mas kayang-kaya
tulay XDR platform sa merkado ay ang mga solong-vendor na solusyon na bumubuo sa Si EDR base at mga firewall. Ang mga kumpanya ay pumipili para sa solong-vendor XDR samakatuwid ay dapat iwanan ang kanilang mga kasalukuyang pamumuhunan sa kagamitan upang magamit XDRKaramihan sa mga kumpanya ay gumastos ng milyun-milyon sa pagbili at pag-aaral kung paano gamitin ang kanilang mga kasalukuyang kagamitan, kaya nag-aatubili silang gawin ito.
Open XDR ay isang XDR variant na gumagana sa mga umiiral na tool sa seguridad – anuman Si EDR at anumang firewall. Dahil dito pinapayagan ang mga gumagamit na panatilihin ang kanilang mga pamumuhunan sa cybersecurity habang pinahuhusay ang mga ito sa pamamagitan ng pagsasama-sama ng lahat ng kanilang data, pagtuklas ng mga pag-atake, pagpapakita ng mga alerto na may mataas na katapatan mula sa buong imprastraktura sa ilalim ng iisang interface, at awtomatikong pagtugon sa maraming mga kaso upang makapaghatid ng agarang pagpapabuti sa pangkalahatang postura ng seguridad.
Sa karagdagan, Open XDR platform isama ang kanilang sariling mga hanay ng SIEM, NTA, UEBA at iba pang mga tool. Pinapayagan nito ang mga gumagamit na mag-sunset ng ilan sa kanilang mga mayroon nang mga tool sa paglipas ng panahon, unti-unting binabawas ang mga gastos sa paglilisensya at pagiging kumplikado sa pagpapatakbo.
Konklusyon
SIEM ay naging batayan ng mga pagpapatakbo ng seguridad sa loob ng maraming taon, ngunit madalas itong lumilikha ng mas maraming trabaho na may mas kaunting mga resulta. Ang mga analista ay napuno ng maraming mga alerto, ang data ay mahirap gawing normal, at imposibleng kumuha ng sapat na mga analista upang matugunan ang pangangailangan.
Sa pamamagitan ng paghahatid ng mabilis, malinaw na mga pagtuklas mula sa mga mayroon nang mga system na may mga awtomatikong tugon, Open XDR system pagkilala sa bilis ng pag-atake at pag-aayos habang binabawasan ang pasanin sa mga pangkat ng analyst, na humahantong sa mas mahusay na pangkalahatang seguridad, mas maligayang mga empleyado, mas kaunting pagkagambala at mas mababang gastos.
Open XDR ay ang pundasyon ng susunod na henerasyon ng Security Operations Center.
