Tanong at Sagot kasama ang CEO at Co-Founder Changming Liu
Ans: SIEMAng mga ito ay naging pundasyon ng mga operasyon sa seguridad sa loob ng mga dekada, at dapat nating kilalanin iyon. Gayunpaman, SIEMMaraming magagandang pangako ang aming ginawa, at hanggang ngayon, hindi pa rin natutupad ang marami sa mga ito, partikular na ang pananaw sa awtomatikong ugnayan ng mga pagtuklas nang holistiko. Ito ang pangunahing problemang pinagsisikapan naming tugunan sa Stellar Cyber kasama ang aming Open XDR platform
SIEMs – MGA WALANG BUKANG PANGAKO?
SIEMAng mga ito ay naging pundasyon ng mga operasyon sa seguridad sa loob ng mga dekada, at dapat itong kilalanin. Gayunpaman, SIEMMarami na silang magagandang pangako, at hanggang ngayon, marami sa mga ito ay hindi pa natutupad...
T. Linawin natin ang pahayag na iyan. Kapag sinabi mong ugnayan ng mga pagtuklas, ano ang ibig mong sabihin at bakit hindi SIEMgawin ito?
Ans: Ang mga pagtuklas ay isang pangyayaring mukhang kakaiba o malisyoso. At ang isyu ngayon sa isang modernong sentro ng operasyon ng seguridad (SOC) ay ang mga detection ay maaaring lumitaw mula sa maraming siloed tools. Halimbawa, mayroon kang firewall at network detection and response (NDR) para sa proteksyon ng iyong network, Endpoint Detection and Response (EDR) para sa proteksyon ng iyong mga endpoint at Cloud Application Security Broker (CASB) para sa iyong mga SaaS application. Ang isyu ay ang pag-uugnay ng mga detection na iyon upang magpinta ng mas malaking larawan, dahil ang mga hacker ngayon ay gumagamit ng mas kumplikadong mga pamamaraan upang ma-access ang iyong mga application at data na may mas mataas na attack surfaces. Ang iyong team ay maaaring nag-aangkin ng mga false positive o kawalan ng kakayahang makita ang mga detection na ito at maunawaan kung ano ang kritikal kumpara sa ingay. Ang pangunahing layunin ng SIEMAng s ay ang mangolekta at mag-ipon ng datos tulad ng mga log mula sa iba't ibang tool at application para sa visibility ng aktibidad at pagsisiyasat ng insidente.
Sinabi nito na marami pa ring mga manu-manong gawain na kinakailangan, tulad ng pagbabago ng data kasama ang pagsasama ng data upang lumikha ng konteksto para sa data, ibig sabihin, pagpapayaman na may intelligence intelligence, lokasyon, asset at / o impormasyon ng gumagamit.
Q. Kaya bumalik tayo sa headline, bakit ito ang susi para sa mga propesyonal sa seguridad?
Ans: Kunin nating halimbawa ang kompanya ng Analyst na Gartner. Para sa kanilang Security Summit, ang kanilang numero 2 na trend — mula sa Top 7 Security and Risk Trends para sa 2020 — ay ang panibagong interes sa pagpapatupad o pag-e-mature SOCna nakatuon sa pagtuklas at pagtugon sa banta. Dagdag pa nila, “Bilang tugon sa lumalaking agwat sa mga kasanayan sa seguridad at mga uso sa pag-atake, ang pinalawak na pagtuklas at pagtugon (XDR) mga kagamitan, machine learning (ML), at kakayahan sa automation ay umuusbong upang mapabuti ang produktibidad ng mga operasyon sa seguridad at katumpakan ng pagtuklas.”
T. Nakakapagtaka iyan, pero balikan natin sandali at pag-usapan pa natin kung bakit XDR ay bago, at hindi lamang isang pambalot sa isang umiiral nang kagamitan.
Ans: XDR ay isang magkakaugnay na plataporma para sa mga operasyon ng seguridad na may mahigpit na integrasyon ng maraming aplikasyon sa seguridad sa iisang plataporma. SIEM ay isa sa maraming ganitong katutubong sinusuportahang aplikasyon at gumagana kasama ng iba, kabilang ang User and Entity Behavior Analysis (UBA at EBA), Network Traffic Analysis (NTA) at Firewall Traffic Analysis (FTA), threat intelligence, atbp. Sa Stellar Cyber, tinutukoy namin Open XDR bilang pagtutuon sa awtomatikong pagtukoy ng banta at mga kaso ng paggamit ng pagtugon sa insidente sa pamamagitan ng pag-uugnay ng mga kaganapan sa seguridad mula sa maraming tool sa seguridad. Ito ang mga pangunahing hamon sa SIEMmga produktong -lamang, na siyang dahilan kung bakit sila ang pangunahing kagamitan para sa pamamahala ng log at pagsunod.
Q. Ano ang tungkol sa arkitektura? Gaano kahalaga iyon sa mamimili?
Ans: Open XDR ay binuo gamit ang bagong arkitektura at serbisyong cloud-native kabilang ang arkitekturang nakabatay sa micro-services na may mga container at clustering. Ito ay lubos na flexible sa mga tuntunin ng pag-deploy, scalable sa performance kasama ang isang Lucene-based search engine upang gawing napakabilis ang query ng impormasyon – sa loob ng ilang segundo sa halip na oras o araw gaya ng nakikita sa marami. SIEMmga produktong -lamang. Ang parehong software ay maaaring i-deploy on-premises gamit ang mga hardened physical appliances, virtual machines, pribado o pampublikong cloud na may horizontal scalability at high availability capability na susi sa big data analytics na tumatakbo sa isang open data lake. Ang mga katangiang ito ay kritikal din para sa patuloy na pagtaas ng dami ng data at pagsunod sa kinakailangan ng zero data loss.
Q. Ano ang sinasabi ng ibang mga analista?
Ans: Sinasabi ng Forrester, ESG, IDC at Omdia na may mga silo at puwang sa kasalukuyan SOCKailangang tingnan ng mga tool ang mga detection sa network, cloud, mga endpoint at mga user. Pinag-uusapan ng lahat ng analyst ang ideya ng mga ugnayan sa mga lugar na ito bilang isang tunay na tagapagpahiwatig ng XDR kakayahan. Bilang halimbawa, ang iyong SIEM Nakakakita ng log na nagsasabi sa iyo na ang isang user ay nag-access sa SQL sa isang oras ng araw na hindi pangkaraniwan, sasabihin sa iyo ng iyong NTA tool na ang user ay nagpapadala ng trapiko sa labas ng iyong bansa, at sasabihin sa iyo ng iyong UBA tool na bukod pa rito, hindi karaniwang ginagamit ng user ang app na ito sa mga oras na iyon o sa mga rate ng data na iyon. Nagpapakita ito ng isang kumplikadong pag-atake, ngunit ang mga siloed tool ay nangangailangan ng manu-manong interbensyon upang makagawa ng konklusyon. Ngayon XDR Awtomatikong maipapakita ng mga sistema ang larawang ito sa pamamagitan ng AI/ML.
T. Paano mo matutulungan ang mga nag-aaral tungkol sa XDR para pumili ng mga kumpanya at gumawa ng mga tamang desisyon?
Ans: Ito ang susi, at sa tingin namin ay may limang pangunahing pundamental na kinakailangan ng XDR:
- Sentralisasyon ng na-normalize at pinayaman data mula sa iba't ibang mga mapagkukunan ng data kabilang ang mga log, trapiko sa network, mga application, cloud, Threat Intelligence, atbp.
- Awtomatikong pagtuklas ng mga kaganapan sa seguridad mula sa data na nakolekta kasama ang mga advanced na analytics tulad ng NTA, UBA at EBA
- Korelasyon ng mga indibidwal na kaganapan sa seguridad sa isang mataas na antas ng pagtingin.
- Ang sentralisadong kakayahan sa pagtugon na nakikipag-ugnay sa mga indibidwal na produkto ng seguridad.
- Cloud-katutubong arkitektura ng mga micro-service para sa kakayahang umangkop ng pag-deploy, kakayahang sumukat at mataas na kakayahang magamit.
At bilang karagdagan para sa Stellar Cyber, ang ideya ng Open XDR nangangahulugang mayroon kaming bukas na ecosystem upang matiyak na magagamit mo ang iyong umiiral na mga tool sa seguridad at pinakamahusay na kasanayan. Naniniwala kaming binawasan namin ang peligro nang walang pagkagambala, at pinapahusay ang katapatan ng lahat ng iyong mayroon nang mga tool.
Kaya, sa halip na maging isang tool lamang tulad ng SIEM, Stellar Cyber's Open XDR Pinag-uugnay ang mga input mula sa maraming iba't ibang tool, kabilang ang sarili nitong integrated toolset at mga umiiral nang toolset, upang makagawa ng mga higher-fidelity alert, mabawasan ang mga false positive, at mapataas ang produktibidad ng analyst.
