Подія безпеки та Платформи управління інформацією (SIEMs) збирати дані з журналів безпеки і таким чином виявляти сліпі зони, зменшувати шум і втому від оповіщень, а також спрощувати виявлення та реагування на складні кібератаки. Однак SIEMне виконали цих обіцянок. Тепер нова ідея полягає в тому, XDR – які його переваги, і чи повинен він співіснувати з ним або замінювати його SIEMУ цій статті досліджується сучасний ландшафт кібербезпеки, як SIEM вписується в цей ландшафт, і як XDR платформи можуть значно покращити видимість, аналіз та реагування на інциденти безпеки.
Ландшафт безпеки
Найбільш очевидним у сучасному ландшафті безпеки є зростання кількості загроз:
- За даними Accenture, 68 відсотків бізнес-лідерів відчували, що їхні ризики кібербезпеки зростали у 2020 році.
- Risk Based повідомив, що внаслідок витоків даних було викрито 36 мільярдів записів протягом першої половини 2020 року.
- Proofpoint виявив, що 88 відсотків організацій у всьому світі зазнали фішингових атак протягом 2019 року.
Крім того, атаки стають дедалі складнішими. Раніше хакери атакували один вектор, наприклад, порт брандмауера, але сьогодні вони атакують кілька векторів. Наприклад, зловмисник може увійти в мережу з невідомого місця, отримати доступ до системи Active Directory та змінити привілеї користувача, а потім почати завантаження даних із сервера. Самі по собі кожен із цих показників може розглядатися системами, які їх відстежують, як хибнопозитивний результат, але насправді всі вони є частиною однієї атаки.
У цьому середовищі компанії мають труднощі з виявленням та усуненням атак. Традиційний підхід, що полягає у збиранні групи ізольованих інструментів (таких як EDR, NTA, SIEM та UEBA) для аналізу трафіку в мережах, серверах, кінцевих точках, хмарі та інших сегментах інфраструктури безпеки просто не працює. В опитуванні 2020 року Enterprise Strategy Group (ESG) виявили, що 75 відсоткам компаній важко синтезувати результати різних інструментів безпеки для визначення атак. Більше того, опитування показує, що 75 відсотків компаній розгорнули один або декілька інструментів безпеки, які не виправдали своїх обіцянок.
Зрештою, існує розрив у навичках роботи з людьми. Опитування ESG показало, що 75 відсотків компаній мають дефіцит навичок роботи з людьми – вони не можуть найняти достатньо досвідчених аналітиків для підтримки аналітики безпеки та операцій.
Як інструменти вирішують проблеми
SIEMs збирати дані з багатьох різних джерел, включаючи брандмауери, виявлення та відповідь мережі (NDR) системи, системи виявлення та реагування на кінцеві точки (EDR) та брокери безпеки хмарних застосунків (CASB)Ідея гарна: один інструмент збирає дані з усієї поверхні атаки та агрегує їх для аналізу, виявлення та реагування. Але є проблеми з SIEM інструменти:
- Кожен ізольований інструмент створює дані у власному форматі.
- Все ще потрібно виконувати багато ручних завдань, таких як перетворення даних (включаючи об'єднання даних) для створення контексту для даних, тобто збагачення інформацією про загрози, місцезнаходження, активи та/або інформацію про користувачів.
- Даних так багато, що аналітикам дуже важко виявляти складні атаки.
- Аналітики не можуть розпізнати складні атаки через обсяг даних та зусилля, необхідні для ручного співвіднесення окремих виявлень. Людський мозок не може співвіднести більше трьох джерел інформації одночасно, тому пробиратися крізь потік інформації важко або неможливо.
Не дивно, що навіть з SIEMs На роботі багатьом компаніям потрібні тижні або місяці для виявлення складних атак: середній час виявлення складного порушення становить понад 200 днів. Аналітики безпеки стикаються з великою кількістю хибнопозитивних результатів, тому вони не можуть побачити алігаторів у болоті, бо ті по шию занурені у воду і просто намагаються дихати.
XDR – Бачити ліс і всі дерева
Якщо ідея, що лежить в основі SIEMs був правильним з точки зору збору даних з усієї інфраструктури, XDR (Виявлення та реагування на все) є еволюцією цієї ідеї. Ідея полягає в тому, щоб забезпечити моніторинг усієї поверхні атаки з однієї консолі.
XDR — це цілісну платформу операцій безпеки з тісною інтеграцією багатьох програм безпеки в рамках однієї панелі інструментів для співвіднесення подій у значущі інциденти на всій поверхні атаки. XDR платформа отримує дані з SIEM, NDR, EDR, КАСБ, аналіз поведінки користувача (UEBA) та інші інструменти, і, на відміну від SIEM, нормалізує ці різнорідні набори даних у єдиний формат. Загальний пул даних легко шукати, тому аналітики можуть детально аналізувати сповіщення, щоб виявити першопричини атак. Крім того, XDR також використовує штучний інтелект та машинне навчання для автоматичного співвіднесення виявлень та видачі високоточних сповіщень, що значно зменшує кількість хибнопозитивних результатів.
На відміну від людей, комп'ютери можуть співвідносити необмежену кількість точок даних, тому, використовуючи нормалізовані дані та Інструменти AI, XDR може автоматично виявляти складні атаки в багатьох випадках, часто за лічені хвилини або години, а не за тижні чи місяці. Більше того, тісна інтеграція з ізольованими інструментами безпеки дозволяє XDR автоматично запускати реакції на сповіщення, такі як блокування порту брандмауера.
Open XDR – Виготовлення XDR Доступніші
міст XDR Платформи на ринку є рішення від одного постачальника, які базуються на EDR база та брандмауери. Компанії, що обирають єдиного постачальника XDR тому повинні відмовитися від своїх існуючих інвестицій в інструменти, щоб впровадити XDRБільшість компаній витратили мільйони на придбання та навчання використанню існуючих інструментів, тому вони неохоче роблять це.
Open XDR є XDR варіант, який працює з існуючими засобами безпеки – будь-яким EDR і будь-який брандмауер. Таким чином, це дозволяє користувачам зберігати свої інвестиції в кібербезпеку, одночасно покращуючи їх, об’єднуючи всі свої дані, виявляючи атаки, відображаючи високоточні сповіщення з усієї інфраструктури в єдиному інтерфейсі та автоматично реагуючи в багатьох випадках, щоб забезпечити негайне покращення загального стану безпеки.
Крім того, Open XDR Платформи інтегрувати власні набори SIEM, NTA, UEBA та інші інструменти. Це дозволяє користувачам з часом припинити використання деяких існуючих інструментів, поступово зменшуючи витрати на ліцензування та складність експлуатації.
Висновок
SIEM вже кілька років є основою операцій безпеки, але часто створює більше роботи з меншими результатами. Аналітики перевантажені величезною кількістю сповіщень, дані важко нормалізувати, і неможливо найняти достатню кількість аналітиків для задоволення потреб.
Забезпечуючи швидке та чітке виявлення з існуючих систем з автоматизованими реакціями, Open XDR системи пришвидшити виявлення та усунення атак, одночасно зменшуючи навантаження на команди аналітиків, що призводить до кращої загальної безпеки, задоволеності співробітників, меншої кількості збоїв та нижчих витрат.
Open XDR є основою Центру операцій безпеки наступного покоління.
