Open XDR vs. SIEM

Kết hợp Nguồn lực và Rủi ro Kinh doanh với Giải pháp phù hợp

Đạt được khả năng hiển thị và phản hồi các cuộc tấn công trên toàn bộ cơ sở hạ tầng doanh nghiệp (thiết bị đầu cuối, máy chủ, ứng dụng, SaaS, đám mây, người dùng, v.v.) là một yêu cầu rất cao trong môi trường an ninh mạng ngày nay. Các doanh nghiệp buộc phải tạo các ngăn xếp bảo mật phức tạp bao gồm SIEM, UEBA, SOAR, EDR, NDR, TIP và các công cụ khác để đáp ứng thách thức này. Đối với nhiều doanh nghiệp, SIEM là công cụ chính để tổng hợp và phân tích dữ liệu từ cơ sở hạ tầng. Gần một nửa số doanh nghiệp báo cáo rằng họ không hài lòng với SIEMs [1], nhưng tất cả các doanh nghiệp sẽ nhanh chóng chỉ ra số vốn, thời gian và nguồn lực mà họ đã đầu tư vào việc thành lập và duy trì SIEMs. Open XDR đang nổi lên như một cách tiếp cận mới giải quyết thách thức về khả năng hiển thị và ứng phó với các cuộc tấn công trên toàn bộ cơ sở hạ tầng doanh nghiệp. Trong bài viết này, chúng ta sẽ xem xét cách Open XDR và SIEM Đáp ứng các tiêu chuẩn về giải pháp an ninh.

Xác định Open XDR

Gartner định nghĩa XDRhoặc Phát hiện và Phản hồi Mở rộng (eXtended Detection and Response), được định nghĩa là “một nền tảng phát hiện và phản hồi sự cố bảo mật thống nhất tự động thu thập và đối chiếu dữ liệu từ nhiều thành phần bảo mật độc quyền”. Định nghĩa này, có từ năm 2020, không bao quát được toàn bộ vấn đề. Open XDR như một danh mục mới nổi của XDR thu thập và đối chiếu dữ liệu từ tất cả các thành phần bảo mật hiện có, không chỉ độc quyền hoặc những nhà cung cấp đơn lẻ. Vì thế, Open XDR được định nghĩa giống như Gartner XDR định nghĩa ngoại trừ việc nó kết thúc bằng "Tất cả các thành phần bảo mật hiện có, được phân phối thông qua một kiến ​​trúc mở". Các Mã nguồn mở so với mã nguồn gốc XDR Sự khác biệt được thảo luận chi tiết trong một bài viết khác. Trong bài viết này, chúng tôi tập trung vào... Open XDR so sánh với SIEM. Vì vậy, Open XDR Để thực hiện đúng lời hứa trong định nghĩa trên, hệ thống cần đáp ứng các yêu cầu kỹ thuật sau:

• Khả năng triển khai - Kiến trúc microservice gốc đám mây cho khả năng mở rộng, tính khả dụng và tính linh hoạt khi triển khai
• Phản ứng tổng hợp dữ liệu - Tập trung hóa, chuẩn hóa và phong phú hóa dữ liệu trên toàn bộ bề mặt tấn công, bao gồm mạng, đám mây, điểm cuối, ứng dụng và danh tính
• Phát hiện -  Phát hiện tự động tích hợp thông qua Machine Learning 
• Tương quan - Các phát hiện tương quan có độ trung thực cao trên nhiều công cụ bảo mật
• Phản hồi thông minh - Một cú nhấp chuột hoặc phản hồi tự động từ cùng một nền tảng.

Âm thanh tương tự như SIEM cộng với một ít BAY LÊN? Đó là bởi vì nó là như vậy. Tuy nhiên, có những khác biệt lớn về kiến ​​trúc cho phép Open XDR thực hiện nhiều lời hứa về SIEMs Ở đâu SIEMs đã giảm xuống.

Xác định SIEM

Gartner định nghĩa SIEM, hay Quản lý Thông tin và Sự kiện An ninh, là công nghệ “hỗ trợ phát hiện mối đe dọa, tuân thủ và quản lý sự cố an ninh thông qua việc thu thập và phân tích (cả gần thời gian thực và lịch sử) các sự kiện an ninh, cũng như nhiều nguồn dữ liệu sự kiện và ngữ cảnh khác.” Định nghĩa này đáng chú ý là tương tự với định nghĩa của XDRKiến trúc là lĩnh vực có sự khác biệt lớn nhất, nhưng xét về mặt định nghĩa thuần túy thì... SIEM Được đặt tên theo mục đích chính của nó – quản lý thông tin và sự kiện. XDR Nó cũng được đặt tên theo mục đích chính của nó – phát hiện và phản hồi. Điều này có vẻ như là một điểm nhỏ, nhưng sự khác biệt về mục đích kinh doanh này chính là động lực thúc đẩy cách tiếp cận kiến ​​trúc, và đó là lý do tại sao. SIEMTrong môi trường an ninh hiện nay, việc đầu tư vào các hệ thống này rất tốn kém.

Kiến trúc So sánh

Sự so sánh này chỉ tập trung vào sự khác biệt. Có một số điểm tương đồng về kỹ thuật bao gồm khả năng lưu trữ lâu dài, tích hợp mở với các công cụ bảo mật, hoạt động trên đám mây cũng như khả năng tìm kiếm và săn lùng mối đe dọa hiệu quả.
Tuy vậy, Open XDR có năm điểm khác biệt chính về kiến ​​trúc so với SIEMs:

1. Dữ liệu buộc phải ở trạng thái chuẩn hóa và làm giàu và điều này được thực hiện trước khi dữ liệu được lưu trữ trong hồ dữ liệu.
2. Việc phát hiện và tương quan các cảnh báo được AI tự động điều khiển trong Open XDR, không phải là các quy tắc do con người viết ra như với SIEMs.
3. Các sự cố phát sinh từ các cảnh báo có liên quan, từ đó một phản hồi duy nhất trên cùng một nền tảng được điều phối, so với một... SIEM, hệ thống này gửi cảnh báo đến một nền tảng SOAR khác, sau đó nền tảng này sẽ thực hiện việc đối chiếu và phản hồi tiếp theo.
4. Nhiều công cụ cần thiết cho các hoạt động bảo mật được thống nhất, chẳng hạn như Hồ dữ liệu lớn, UEBA, SOAR, TIP, NDR or BDU trên một nền tảng trong khi nhiều nền tảng khác SIEMchỉ bao gồm một Hồ dữ liệu lớn, buộc SIEM người dùng tự kết hợp nhiều công cụ phức tạp với nhau theo cách thủ công.

Sự khác biệt 1 và 2 có mối liên hệ mật thiết với nhau. Để xây dựng và duy trì trí tuệ nhân tạo (AI) có ý nghĩa trong bất kỳ ngành nào, vấn đề dữ liệu phải được giải quyết. Trong lĩnh vực an ninh mạng, điều đó có nghĩa là dữ liệu phải được tập trung hóa, chuẩn hóa và làm giàu để giảm độ phức tạp của dữ liệu. Nếu dữ liệu được mô hình hóa khác nhau ở mỗi lần triển khai nền tảng, việc duy trì các mô hình AI sẽ trở thành một vấn đề bất khả thi. XDR Điều này buộc dữ liệu phải được mô hình hóa theo cùng một cách trên mỗi lần triển khai trước khi được đưa vào Data Lake; dữ liệu chỉ có sẵn ở trạng thái đã được chuẩn hóa và làm giàu. SIEM Chức năng này hoặc được cung cấp như một tùy chọn hoặc hoàn toàn không được cung cấp; trong trường hợp tùy chọn, chuẩn hóa và làm giàu dữ liệu được coi là một bước xử lý hậu kỳ trên dữ liệu thô đã được lưu trữ.

Tóm lại, về sự khác biệt kỹ thuật 1 và 2, Open XDR buộc bình thường hóa và phong phú hóa dữ liệu, vì vậy nó có khả năng xây dựng AI có ý nghĩa tương quan các sự kiện và cảnh báo với nhau. Vì những lý do tương tự, SIEM Kiến trúc này không thể tạo ra một công cụ AI có độ chính xác tương đương do cách xử lý dữ liệu của nó. SIEMHọ sẽ có thể tận dụng trí tuệ nhân tạo, nhưng việc mở rộng quy mô sẽ rất khó khăn.

Sự khác biệt kỹ thuật 3 giảm xuống một Open XDR thực hiện tương quan và phản hồi trong cùng một nền tảng. Cấu trúc thứ tự cao hơn của một sự cố (nhiều cảnh báo liên quan) được tự động tạo ra trong một Open XDR nền tảng, và điều đó được phản hồi một cách tổng thể. A SIEM phải chuyển cảnh báo cho một BAY LÊN, phải tương quan giữa các cảnh báo cùng với các quy tắc mà không có bối cảnh sâu xa của mọi thứ xảy ra trong môi trường. Open XDR tạo ra phản hồi giống như một SIEM và SOAR cũng vậy, nhưng độ chính xác phản hồi cao hơn nhiều với XDR Bởi vì nó được điều phối từ cùng một nền tảng thực hiện việc phát hiện và phân tích tương quan dựa trên trí tuệ nhân tạo, nơi tất cả dữ liệu đều có sẵn.

Sự khác biệt cuối cùng về mặt kỹ thuật tập trung vào cách tiếp cận để xây dựng và duy trì hệ thống bảo mật tổng thể. Open XDR Được thiết kế để thống nhất tất cả các công cụ quan trọng cho các hoạt động bảo mật sao cho chúng có thể được điều phối từ một nền tảng duy nhất. Nhiều SIEMCác hệ điều hành này cung cấp danh sách dài các plugin và mức độ tùy chỉnh sâu rộng, nhưng điều đó đặt gánh nặng lên người dùng trong việc xây dựng và cấu hình hệ thống của họ.

Đối với doanh nghiệp, những khác biệt về kỹ thuật này ảnh hưởng đến vốn, thời gian và nguồn lực cần thiết để vận hành một nền tảng bảo mật. SIEMĐây là những công nghệ không có giới hạn, vì vậy chi phí vận hành sẽ rất cao. Open XDR nền tảng là các công nghệ quy định về bảo mật và do đó các doanh nghiệp sẽ hiệu quả hơn nhiều khi sử dụng chúng.

Cuối cùng, mặc dù không hoàn toàn là những khác biệt về mặt kỹ thuật, nhưng có hai lĩnh vực mà SIEMCác giải pháp hiện nay tập trung nhiều hơn vào việc lưu trữ dữ liệu liên quan đến tuân thủ quy định và sử dụng cùng một nền tảng cho hoạt động CNTT. XDR Nó được thiết kế cho mục đích phát hiện và phản hồi. Nó vẫn có thể đáp ứng các yêu cầu tuân thủ, nhưng mục đích ban đầu không phải là vậy. Việc vận hành CNTT trên cùng một nền tảng là điều mà chỉ có thể thực hiện được. SIEM có thể khẳng định, như Open XDR Tập trung tuyệt đối vào vấn đề an ninh.

Còn về NG thì sao?SIEMs?

"Thế hệ tiếp theo" bất cứ điều gì báo hiệu một cái gì đó tốt hơn, không khác biệt. NG-SIEMs tốt hơn SIEMs theo nghĩa giả thuyết. Open XDR khác với cả hai. NG-SIEMNhững tiến bộ vượt bậc đã mang lại những bước phát triển to lớn trong nhiều lĩnh vực mà trước đây chưa có. SIEMs đã không theo kịp các yêu cầu của môi trường bảo mật ngày nay. Những cải tiến đáng chú ý là:

• Sử dụng các công nghệ Dữ liệu lớn (không hơn) SIEM (liên tục bị ngã)
• Một số Phân tích Hành vi Người dùng và Thực thể (UEBA) thông qua các thuật toán khác nhau
• Cải tiến giao diện người dùng / UX cho các quy trình công việc chính như Săn mối đe dọa
• Tích hợp tự nhiên hoặc mở với SOAR
• Các plugin mô hình hóa dữ liệu.

NG-SIEMs chắc chắn sẽ thu hẹp khoảng cách năng lực giữa Open XDR và SIEMnhưng những khác biệt về kiến ​​trúc vẫn giữ nguyên.

Một số nhà cung cấp nói rằng họ cung cấp một SIEM Và một XDR Nền tảng – Điều gì đang xảy ra vậy?

Có nhiều điểm tương đồng giữa SIEM và Open XDRNhư đã nêu ở trên, sự khác biệt về kỹ thuật khá tinh tế, nhưng lại có tác động lớn đến giá trị kinh doanh và vốn cần thiết để vận hành. Có hai luận điểm mà các nhà cung cấp đưa ra nếu họ sử dụng cả hai phương pháp. SIEM và Open XDR để mô tả sản phẩm của họ.

Yêu cầu đầu tiên mà nhà cung cấp có thể đưa ra là họ có thể sử dụng "SIEM Khả năng” để tham khảo Open XDR nền tảng sở hữu tất cả các khả năng quan trọng của một SIEM – Thu thập dữ liệu mở, lưu trữ, tìm kiếm, báo cáo, kiến ​​trúc đám mây gốc – như một cách để mô tả cách thức Open XDR có thể được triển khai trong một hệ thống bảo mật doanh nghiệp, cụ thể là để thay thế một hệ thống hiện có. SIEM.

Các nhà cung cấp yêu cầu thứ hai có thể đưa ra là nói rằng nền tảng của họ vừa là SIEM và một Open XDR nền tảngĐây là một điểm gây nhầm lẫn, có lẽ nhằm đảm bảo nhà cung cấp không bỏ lỡ cơ hội tiếp thị sản phẩm theo danh mục và có thể bán sản phẩm cho khách hàng bất kể họ đang tìm kiếm sản phẩm nào. SIEM or Open XDRTuy nhiên, như đã thảo luận ở trên, SIEM và Open XDR Chúng khác nhau, vì vậy cùng một sản phẩm không thể vừa là sản phẩm này vừa là sản phẩm kia.

Vượt qua nguy cơ va chạm XDR và SIEM

XDR đang trong quá trình va chạm với SIEM và SOAR, như Forrester đã lưu ý [2]. Các doanh nghiệp cần tiếp cận cả hai loại công nghệ với mục tiêu kinh doanh dài hạn và nguồn lực sẵn có. Liệu khả năng phát hiện và phản hồi tự động, độ chính xác cao có quan trọng hơn không? Liệu khả năng phản hồi từ cùng một nền tảng bởi cùng một nhóm có quan trọng để giảm thời gian tồn tại của cuộc tấn công không? Nhóm có thiếu nhân sự và/hoặc cần nhiều đào tạo để vận hành công cụ không? Đây là những câu hỏi quan trọng mà các doanh nghiệp phải đưa ra khi xác định chiến lược ngăn xếp bảo mật của họ và quyết định liệu XDR or SIEM là phù hợp với họ.