Запитання та відповіді з генеральним директором та співзасновником Changming Liu
Відповідь: SIEMбули основою операцій безпеки протягом десятиліть, і ми повинні це визнати. Однак SIEMдали багато чудових обіцянок, але до сьогодні не виконали багатьох із них, зокрема, бачення автоматичної кореляції виявлень у комплексному режимі. Це ключова проблема, над вирішенням якої ми працюємо в Stellar Cyber за допомогою наших... Open XDR платформа
SIEMs – ПОРОЖНІ ОБІЦЯНКИ?
SIEMбули основою операцій безпеки протягом десятиліть, і це слід визнати. Однак SIEMдали багато великих обіцянок, і донині не виконали багатьох із них…
З. Давайте уточнимо це твердження. Коли ви кажете про кореляцію виявлень, що ви маєте на увазі і чому не можна SIEMзробити це?
Відповідь: Виявлення – це подія, яка виглядає аномальною або зловмисною. І проблема сьогодні в сучасному центрі операцій безпеки (SOC) полягає в тому, що виявлення можуть виникати з багатьох ізольованих інструментів. Наприклад, у вас є брандмауер та мережеве виявлення та реагування (NDR) для захисту вашої мережі, виявлення та реагування на кінцеві точки (EDR) для захисту ваших кінцевих точок та брокер безпеки хмарних додатків (CASB) для ваших SaaS-додатків. Проблема полягає в співвіднесенні цих виявлень для створення більшої картини, оскільки хакери зараз використовують складніші методи доступу до ваших додатків і даних зі збільшеною поверхнею атаки. Ваша команда або стверджує про хибнопозитивні результати, або про нездатність розгледіти ці виявлення та зрозуміти, що є критичним, а що — шумом. Головна мета SIEMполягає у зборі та агрегації даних, таких як журнали з різних інструментів та програм, для моніторингу активності та розслідування інцидентів.
Тим не менш, все ще потрібно виконувати багато ручних завдань, таких як перетворення даних, включаючи об'єднання даних для створення контексту для даних, тобто збагачення інформацією про загрози, місцезнаходження, активи та/або інформацію про користувачів.
З. Тож повернімося до заголовка, чому це так важливо для фахівців з безпеки?
Відповідь: Візьмемо, наприклад, аналітичну фірму Gartner. Для їхнього саміту з безпеки тенденція номер 2 — серед 7 головних тенденцій безпеки та ризиків за 2020 рік — це відновлення інтересу до впровадження або розвитку SOCз акцентом на виявленні загроз та реагуванні на них. Вони також зазначають: «У відповідь на зростаючий розрив у навичках безпеки та тенденції щодо зловмисників, розширене виявлення та реагування (XDR) інструменти, машинне навчання (ML) та можливості автоматизації з'являються для підвищення продуктивності операцій безпеки та точності виявлення».
З. Це показово, але давайте зробимо крок назад і поговоримо більше про те, чому XDR є новим, а не просто обгорткою для існуючого інструменту.
Відповідь: XDR — це цілісна платформа для операцій безпеки з тісною інтеграцією багатьох програм безпеки на одній платформі. SIEM є одним із багатьох таких власно підтримуваних застосунків і працює з іншими, включаючи аналіз поведінки користувачів та об'єктів (UBA та EBA), аналіз мережевого трафіку (NTA) та аналіз трафіку брандмауера (FTA), розвідку загроз тощо. У Stellar Cyber ми визначаємо Open XDR як зосередження на сценаріях використання автоматичного виявлення загроз та реагування на інциденти шляхом співвіднесення подій безпеки з багатьох інструментів безпеки. Це основні проблеми з SIEMпродукти, що видаються лише за стандартом, що робить їх основним інструментом для керування журналами та дотримання вимог.
З. А як щодо архітектури? Наскільки вона важлива для покупця?
Відповідь: Open XDR розроблено з використанням нової хмарної архітектури та сервісів, включаючи архітектуру на основі мікросервісів з контейнерами та кластеризацією. Він дуже гнучкий з точки зору розгортання, масштабований за продуктивністю в поєднанні з пошуковою системою на базі Lucene, що робить запит інформації надзвичайно швидким – за секунди замість годин чи днів, як це спостерігається в багатьох... SIEMПродукти, що пропонуються лише для цього. Те саме програмне забезпечення можна розгортати локально з використанням захищених фізичних пристроїв, віртуальних машин, приватної або публічної хмари з горизонтальною масштабованістю та високою доступністю, що є ключовим фактором для аналітики великих даних, що працює на відкритому озері даних. Ці характеристики також є критично важливими для постійно зростаючих обсягів даних та відповідності вимогам щодо нульової втрати даних.
З. Що кажуть інші аналітики?
Відповідь: Forrester, ESG, IDC та Omdia стверджують, що в сучасному світі існують прогалини та нерівності. SOCІнструменти повинні аналізувати виявлення в мережі, хмарі, кінцевих точках та серед користувачів. Усі аналітики говорять про ідею кореляцій між цими областями як про справжній показник XDR можливості. Наприклад, ваш SIEM бачить журнал, який повідомляє, що користувач звернувся до SQL у нетиповий час доби, ваш інструмент NTA повідомляє, що користувач надсилає трафік за межі вашої країни, а ваш інструмент UBA повідомляє, що, крім того, користувач зазвичай не використовував цю програму в цей час або з такою швидкістю передачі даних. Це малює картину складної атаки, проте ізольовані інструменти потребують ручного втручання, щоб зробити висновок. Сьогодні XDR Системи можуть автоматично зобразити цю картину за допомогою штучного інтелекту/модельного навчання.
З. Як би ви допомогли тим, хто вивчає XDR скласти короткий список компаній та прийняти правильні рішення?
Відповідь: Це ключово, і ми вважаємо, що існує п'ять основних основоположних вимог XDR:
- Централізація нормалізується та Збагачений дані з різних джерел, включаючи журнали, мережевий трафік, програми, хмару, розвідку загроз тощо.
- Автоматичне виявлення подій безпеки на основі даних, зібраних за допомогою розширеної аналітики, такої як NTA, UBA та ЄБА
- Кореляція окремих подій безпеки у вигляді загального вигляду.
- Централізована можливість реагування, яка взаємодіє з окремими продуктами безпеки.
- Хмарно-орієнтована архітектура мікросервісів для гнучкості розгортання, масштабованості та високої доступності.
А також для Stellar Cyber, ідея Open XDR означає, що наша відкрита екосистема гарантує вам ефективне використання ваших існуючих інструментів безпеки та найкращих практик. Ми вважаємо, що ми знижуємо ризики без збоїв та покращуємо точність усіх ваших існуючих інструментів.
Отже, замість того, щоб бути лише одним інструментом, таким як SIEM, Зоряний кібер Open XDR співвідносить вхідні дані з багатьох різних інструментів, включаючи власний інтегрований набір інструментів та вже існуючі, для створення точніших сповіщень, зменшення кількості хибнопозитивних результатів та підвищення продуктивності аналітиків.
