Stellar Cyber ​​Open XDR - logo
Tìm kiếm
Đóng hộp tìm kiếm này.

Cuộc trò chuyện về Làn sóng an ninh mạng mới

Cuộc trò chuyện về Làn sóng an ninh mạng mới

Đã đến lúc thay đổi cuộc trò chuyện trong lĩnh vực an ninh mạng.

Nó không phải hướng dữ liệu cũng không Do AI điều khiển an ninh mạng, mà bạn có thể đã nghe trước đây - nó là cả hai và hơn thế nữa.

Nó dựa trên sự tương quan an ninh mạng. Đó là về mối tương quan của nhiều phát hiện, từ rất cơ bản như NGFW đến rất nâng cao như EDR dựa trên AI, từ các nguồn dữ liệu khác nhau trong một nền tảng gắn kết duy nhất.

an ninh mạng, bảo mật dựa trên AI, an ninh mạng, xdr, trí tuệ nhân tạo, công cụ SIEM, phân tích lưu lượng mạng, lưu lượng mạng

Chúng tôi nghe về nhiều thách thức bảo mật từ khách hàng tiềm năng, khách hàng và đối tác — tại sao? Bởi vì đó là một phần của những gì con người làm — chia sẻ nỗi đau! Như bạn có thể biết hoặc không biết, những kẻ tấn công có quyền truy cập vào các công cụ giống như tất cả chúng ta. Họ có quyền truy cập vào cả dữ liệu lớn và công nghệ AI cho các cuộc tấn công tiên tiến hơn.

Tuy nhiên, với những mối đe dọa phức tạp đang gia tăng, tất cả chúng ta đều đồng ý - không có gì ngạc nhiên khi chúng ta nghe thấy những chủ đề nhất quán như vậy:

  • Tôi không có đủ dữ liệu để phát hiện hiệu quả hoặc
  • Ngược lại, tôi có quá nhiều dữ liệu và tôi bị ngập
  • Tôi nhận được quá nhiều tạp âm trong dữ liệu hoặc quá nhiều cảnh báo sai
  • Gần đây tôi đã thử một số công cụ nâng cao sử dụng AI / ML để giảm nhiễu hoặc dương tính giả, nhưng thông minh đó chỉ dành riêng cho từng công cụ.
  • Tôi có rất nhiều công cụ độc lập không nói chuyện với nhau và dẫn đến câu trả lời không chính xác và chi phí cao

Bạn có thể làm gì trước một cuộc tấn công phức tạp sử dụng những thách thức này để chống lại bạn? Đây là một ví dụ đơn giản:

  • Giám đốc điều hành của bạn nhận được email có URL được nhúng
  • Giám đốc điều hành của bạn tải tệp xuống máy tính xách tay của mình bằng cách truy cập URL
  • Giám đốc điều hành của bạn truy cập máy chủ tệp lúc 2 giờ sáng các ngày trong tuần
  • Máy tính xách tay của CEO của bạn gửi rất nhiều lưu lượng DNS

Tự bản thân chúng, mỗi sự kiện riêng lẻ này có thể trông bình thường. Nếu bạn tình cờ triển khai các công cụ bảo mật phù hợp, với một số công cụ được nâng cao với công nghệ máy học như EDR và UBA, bạn có thể phát hiện ra rằng:

  • Giám đốc điều hành của bạn nhận được một LỪA ĐẢO email có nhúng ĐỘC HẠI URL.
  • Giám đốc điều hành của bạn tải xuống một PHẦN MỀM gửi vào máy tính xách tay của anh ấy bằng cách truy cập URL
  • Giám đốc điều hành của bạn truy cập máy chủ tệp lúc 2 giờ sáng các ngày trong tuần, HÀNH VI BẤT THƯỜNG trong một điều khoản UBA
  • Máy tính xách tay của CEO của bạn gửi rất nhiều lưu lượng DNS qua DNS ĐIỀU CHỈNH

Đó là rất nhiều phân tích độc lập bằng bốn công cụ khác nhau. Bạn có thể tương quan các sự kiện này nhanh chóng và dễ dàng như thế nào để theo dõi vi phạm này và bạn cần bao nhiêu người để kết hợp tất cả lại bằng cách xem nhiều màn hình khác nhau?

Hãy lùi lại một bước và tự hỏi bản thân làm thế nào chúng ta đến được đây. Rõ ràng là có ba làn sóng an ninh mạng, được xây dựng dựa trên nhau: sự gia tăng của dữ liệu, sự gia tăng của AI và sự gia tăng của các mối tương quan.

1. Sự trỗi dậy của dữ liệu — Tăng lượng dữ liệu để có được khả năng hiển thị toàn diện.

Bảo mật theo hướng dữ liệu là chủ đề chính của kỷ nguyên Dữ liệu lớn, nơi dữ liệu là “vàng” mới. Nó bắt đầu với nhật ký và gói mạng thô, riêng biệt. Mục đích chính của SIEM là thu thập và tổng hợp nhật ký từ các công cụ và ứng dụng khác nhau để tuân thủ, điều tra sự cố và quản lý nhật ký. ArcSight, một trong những di sản Công cụ SIEM, được phát hành vào năm 2000, là một ví dụ điển hình của một SIÊM và hệ thống quản lý nhật ký. Các gói dữ liệu thô được thu thập và lưu trữ như hiện nay cho pháp y mặc dù thực tế là chúng đòi hỏi nhiều không gian lưu trữ và rất khó sàng lọc qua số lượng gói tin khổng lồ này để tìm ra bất kỳ dấu hiệu vi phạm nào. Năm 2006, NetWitness đã tìm ra giải pháp phân tích các gói tin thô.

Nhanh chóng, chúng tôi nhận ra rằng các bản ghi thô hoặc các gói thô riêng lẻ đều không đủ hiệu quả trong việc phát hiện vi phạm và các gói thô quá nặng và bị hạn chế sử dụng ngoài pháp y. Thông tin trích xuất từ ​​lưu lượng truy cập như Netflow / IPFix, theo truyền thống được sử dụng để giám sát hiệu suất và khả năng hiển thị mạng, bắt đầu được sử dụng để bảo mật. SIEM cũng bắt đầu nhập và lưu trữ Netflow / IPFix. Tuy nhiên, do cả mối quan tâm về khả năng mở rộng kỹ thuật và mối quan tâm về chi phí, SIEM chưa bao giờ trở thành công cụ chính để phân tích lưu lượng truy cập.

Thời gian trôi qua, nhiều dữ liệu được thu thập hơn: tệp, thông tin người dùng, thông tin về mối đe dọa, v.v. Mục tiêu của việc thu thập nhiều dữ liệu hơn là hợp lệ - có được khả năng hiển thị phổ biến - nhưng thách thức mạng, phản ứng với các cuộc tấn công quan trọng, giống như mò kim đáy bể , đặc biệt là thông qua các tìm kiếm thủ công hoặc các quy tắc do con người xác định theo cách thủ công. Nó tốn nhiều công sức và thời gian không hiệu quả.

Có hai thách thức kỹ thuật phải đối mặt với bảo mật theo hướng dữ liệu: làm thế nào để lưu trữ khối lượng lớn dữ liệu trên quy mô lớn, cho phép tìm kiếm và phân tích hiệu quả cũng như cách đối phó với nhiều loại dữ liệu - đặc biệt là dữ liệu phi cấu trúc - vì dữ liệu có thể ở bất kỳ định dạng nào. Cơ sở dữ liệu quan hệ truyền thống dựa trên SQL gặp phải cả hai vấn đề này. Các nhà cung cấp trước đó đã cố gắng giải quyết những vấn đề này bằng nhiều giải pháp tự trồng tại nhà. Thật không may, hầu hết chúng không hiệu quả như những gì chúng ta đang sử dụng ngày nay dựa trên cơ sở dữ liệu NoSQL cho các hồ Dữ liệu lớn.

Có một thách thức nữa phải đối mặt với bảo mật theo hướng dữ liệu: kiến ​​trúc phần mềm để xây dựng một hệ thống có thể mở rộng cho khách hàng doanh nghiệp một cách hiệu quả về chi phí. Kiến trúc 3 tầng điển hình với logic nghiệp vụ front-end và các tầng cơ sở dữ liệu đã trở thành một trở ngại lớn. Các kiến ​​trúc gốc đám mây ngày nay, được xây dựng dựa trên kiến ​​trúc dịch vụ vi mô với các thùng chứa, cung cấp các giải pháp có khả năng mở rộng và tiết kiệm chi phí hơn nhiều.

2. Sự trỗi dậy của AI — Sử dụng học máy với phân tích dữ liệu lớn để giúp tìm và tự động hóa việc phát hiện

Một khi bạn có nhiều dữ liệu, bạn sẽ làm gì với nó? Như đã đề cập trước đây, với một khối lượng lớn dữ liệu, việc sàng lọc để tìm kiếm các mẫu có ý nghĩa là rất tẻ nhạt và tốn thời gian. Nếu cơ sở hạ tầng CNTT của bạn không may bị tấn công bằng cách nào đó, có thể mất nhiều ngày để tìm ra nó. Đã quá muộn vì thiệt hại đã xảy ra hoặc dữ liệu nhạy cảm đã bị đánh cắp. Trong trường hợp này, quá nhiều dữ liệu sẽ trở thành một vấn đề. May mắn thay, chúng ta đã chứng kiến ​​sự gia tăng của học máy nhờ những tiến bộ của thuật toán học máy cũng như sức mạnh tính toán.

Máy móc rất tốt trong việc thực hiện công việc lặp đi lặp lại và tẻ nhạt rất nhanh chóng, rất hiệu quả và không mệt mỏi 24 × 7. Khi máy móc được trang bị trí thông minh như khả năng học tập, chúng sẽ giúp con người mở rộng quy mô. Rất nhiều nhà nghiên cứu và nhà cung cấp trong lĩnh vực bảo mật bắt đầu tận dụng AI để giải quyết vấn đề, giúp họ tìm ra những kim chỉ nam đó hoặc để xem các xu hướng ẩn bên trong các tập dữ liệu lớn. Do đó, sự gia tăng của Bảo mật dựa trên AI. Có rất nhiều đổi mới trong không gian này. Ví dụ, có rất nhiều công ty phát hiện và phản hồi điểm cuối (EDR) sử dụng AI để giải quyết các vấn đề về bảo mật điểm cuối; rất nhiều công ty Phân tích Hành vi Người dùng và Thực thể (UEBA) sử dụng AI để giải quyết các mối đe dọa nội gián và rất nhiều Phân tích lưu lượng mạng (NTA) các công ty sử dụng AI để phát hiện bất thường lưu lượng mạng hoa văn.

Nếu dữ liệu là vàng mới, các vi phạm được phát hiện qua AI giống như đồ trang sức làm từ vàng. Để có thể làm ra những món đồ trang sức đẹp bằng tay từ vàng ròng, đòi hỏi rất nhiều thời gian, sự kiên nhẫn và chăm chỉ. Với sự trợ giúp của máy móc, đặc biệt là máy móc tiên tiến, việc sản xuất thương mại những món đồ trang sức tuyệt vời trở nên khả thi.

Bề ngoài, với Bảo mật dựa trên AI, rất nhiều dữ liệu trở nên ít vấn đề hơn vì ML thường yêu cầu nhiều dữ liệu để đào tạo mô hình và tìm hiểu các mẫu. Ngược lại, không đủ dữ liệu rõ ràng là một vấn đề vì càng ít dữ liệu, càng kém chính xác và do đó, mô hình ML càng trở nên kém hữu ích. Tuy nhiên, thời gian trôi qua, các nhà nghiên cứu dần nhận ra rằng dữ liệu phù hợp quan trọng hơn rất nhiều. Quá nhiều dữ liệu mà không có thông tin phù hợp chỉ gây lãng phí sức mạnh tính toán cho ML cũng như lãng phí dung lượng lưu trữ cùng một lúc. Rất nhiều nhà cung cấp UEBA trước đây với các giải pháp dựa trên nhật ký từ Công cụ SIEM đã học được bài học khó này. SIEM có thể đã thu thập rất nhiều nhật ký, nhưng chỉ một vài trong số chúng chứa thông tin phù hợp liên quan đến hành vi của người dùng. Vì vậy, mặc dù bảo mật theo hướng dữ liệu xây dựng một nền tảng tuyệt vời cho Bảo mật dựa trên AI, để xây dựng có thể mở rộng và chính xác Bảo mật dựa trên AI, dữ liệu phù hợp quan trọng hơn nhiều.

Sử dụng AI chắc chắn giúp giảm bớt khó khăn với Dữ liệu lớn, nhưng nó có những thách thức riêng. Ví dụ: cả UEBA và NTA đều sử dụng máy học không giám sát để phân tích hành vi. Tuy nhiên, một hành vi bất thường được quan sát thấy đối với người dùng hoặc từ lưu lượng mạng không nhất thiết có nghĩa là một sự cố bảo mật. Những công cụ này có thể tạo ra nhiều tiếng ồn, gây ra sự mệt mỏi khi cảnh giác. Hơn nữa, các vụ hack thông minh thường trải qua một số giai đoạn của chuỗi tiêu diệt trước khi chúng có thể bị bắt. Làm thế nào bạn có thể khôi phục dấu vết của một vi phạm và khắc phục nguyên nhân gốc rễ?

Có một thách thức lớn khác phải đối mặt Bảo mật dựa trên AI gọi chung là: chi phí - chi phí vốn của chính các công cụ, chi phí cho cơ sở hạ tầng máy tính và lưu trữ được sử dụng bởi các công cụ này, và chi phí vận hành của rất nhiều công cụ khác nhau trong các hầm chứa của chúng với các màn hình khác nhau.

Vì vậy, ngay cả khi mỗi công cụ có khả năng chắt lọc hàng gigabyte hoặc terabyte dữ liệu thành một danh sách ngắn gồm một vài phát hiện quan trọng, câu hỏi vẫn còn đó, “Bạn còn thiếu điều gì khi không hợp nhất các công cụ này thành một nền tảng duy nhất và so sánh các phát hiện với nhau trên tất cả các công cụ và nguồn cấp dữ liệu? "

3. Sự trỗi dậy của các mối quan hệ — Tương quan các phát hiện và tự động hóa phản ứng trên toàn bộ bề mặt tấn công trong một nền tảng duy nhất

Với làn sóng mới này, cuộc trò chuyện được chuyển từ dữ liệu và AI sang các mối tương quan. Rõ ràng, làn sóng này được xây dựng dựa trên hai làn sóng trước đó. Tuy nhiên, tất cả là về việc vượt qua dữ liệu cũng như các công cụ và nó là về việc gói mọi thứ lại với nhau trong một nền tảng duy nhất. Tiếp theo sự tương tự giữa vàng với đồ trang sức ban đầu của chúng tôi, đây là việc kết hợp một bộ trang sức phù hợp và gắn chúng lại với nhau trên người để làm cho nó trông đẹp đẽ về tổng thể.

Các nhà phân tích bảo mật từ ESG, Gartner, Forrester, IDCOdyssey tất cả đều đồng ý rằng sự thay đổi trong suy nghĩ này từ các công cụ được bảo mật sang một nền tảng hợp nhất là chìa khóa để giúp chúng tôi nhìn thấy và phản ứng với các vi phạm nghiêm trọng. Cụ thể, nền tảng cần thực hiện một cách tiếp cận toàn diện và xem xét các phát hiện tương quan trên mạng, đám mây, điểm cuối và ứng dụng - toàn bộ bề mặt tấn công.

Các mục tiêu chính của mối tương quan của phát hiện giữa các công cụ, nguồn cấp dữ liệu và môi trường là cải thiện độ chính xác của việc phát hiện, phát hiện các cuộc tấn công phức tạp bằng cách kết hợp các tín hiệu yếu hơn từ nhiều công cụ để phát hiện các cuộc tấn công có thể bị bỏ qua và cải thiện hiệu quả hoạt động và năng suất. Khả năng hiển thị toàn diện không còn có nghĩa là tìm đúng dữ liệu — thay vào đó, nó có nghĩa là tìm ra các cuộc tấn công phức tạp.

Để làm như vậy, bạn nên cân nhắc Mở XDR. XDR là một giải pháp hoạt động bảo mật gắn kết với sự tích hợp chặt chẽ của nhiều ứng dụng bảo mật trong một nền tảng duy nhất với một ô kính duy nhất. Nó tự động thu thập và đối chiếu dữ liệu từ nhiều công cụ, cải thiện khả năng phát hiện và cung cấp các phản hồi tự động. Một nền tảng gắn kết các công cụ và ứng dụng với nhau về mặt bẩm sinh sẽ làm giảm chi phí, về cả chi phí công cụ và chi phí cơ sở hạ tầng, trong khi nó cải thiện hiệu quả hoạt động với một tấm kính đơn dễ sử dụng.

Chúng tôi cho rằng có năm yêu cầu nền tảng chính của XDR:

  1. Tập trung dữ liệu được chuẩn hóa và bổ sung từ nhiều nguồn dữ liệu khác nhau bao gồm nhật ký, lưu lượng mạng, ứng dụng, đám mây, Threat Intelligence, v.v.
  2. Tự động phát hiện các sự kiện bảo mật từ dữ liệu được thu thập thông qua phân tích nâng cao, chẳng hạn như NTA, UBAEBA.
  3. Tương quan của các sự kiện bảo mật riêng lẻ vào một chế độ xem cấp cao.
  4. Khả năng phản hồi tập trung tương tác với các sản phẩm bảo mật riêng lẻ.
  5. Kiến trúc dịch vụ vi mô gốc đám mây để triển khai linh hoạt, khả năng mở rộng và tính sẵn sàng cao.

Tóm lại, Stellar Cyber ​​là nền tảng Open XDR được xây dựng có mục đích duy nhất giúp nhập và quản lý tất cả an ninh mạng dữ liệu để phát hiện, tương quan và phản hồi trên toàn bộ chuỗi tiêu diệt. Làn sóng tương quan đã bắt đầu, và bạn có thể thoải mái đi cùng chúng tôi để tận hưởng cuộc hành trình cùng nhau!

SIAMs - Lời hứa suông

SIEMs - KHUYẾN MÃI KHẨN CẤP?

SIEM đã là nền tảng của các hoạt động bảo mật trong nhiều thập kỷ, và điều đó cần được thừa nhận. Tuy nhiên, SIEM đã đưa ra rất nhiều lời hứa tuyệt vời, và cho đến ngày nay, vẫn chưa thực hiện được nhiều lời hứa đó…

Tải sách điện tử

Di chuyển về đầu trang