nhiều Của MSSP sử dụng SIEMs và các giải pháp quản lý / tổng hợp / phân tích nhật ký khác cho khả năng hiển thị an ninh mạng, nhưng liệu phân tích nhật ký có đủ không? Chúng tôi ngày càng nghe nhiều hơn về các giải pháp bảo mật toàn diện như XDR nền tảng tuyên bố bao trùm toàn bộ bề mặt tấn công, đặc biệt là vì cuộc tấn công đường ống mới nhất đã củng cố bản chất phức hợp của các cuộc tấn công mạng nhiều giai đoạn tinh vi ngày nay. Những kẻ tấn công thừa nhận họ không mong đợi cuộc tấn công của họ sẽ đóng cửa đường ống, nhưng kết quả thật tàn khốc. Hãy xem nhanh những gì chúng ta nhận được từ nhật ký và những gì chúng ta không nhận được từ nhật ký.
Bản chất của các bản ghi là một cái nhìn về quá khứ. Chúng cung cấp cho chúng tôi khả năng hiển thị về hoạt động của máy chủ tệp và ứng dụng, hệ thống quản lý người dùng như Active Directory, máy chủ e-mail và các công cụ khác. Khi các bản ghi được phân tích và tương quan chính xác, chúng ta có thể biết khi nào các bất thường xảy ra trong các hệ thống này.
Nhưng còn các cuộc tấn công zero-day thì sao? Nếu không có danh tiếng cho một tệp ransomware, làm thế nào để bạn phát hiện ra nó? Câu trả lời là bạn không thể cho đến khi nó sinh sôi nảy nở trong môi trường của bạn đến mức có thể nhận thấy được thông qua nhiều cảnh báo SAU KHI nó đã lây nhiễm một phần đáng kể trong môi trường của bạn.
Vì vậy, làm thế nào để chúng ta có được khả năng hiển thị lớn hơn này? Đầu tiên, thay vì chỉ thu thập nhật ký thô, chúng ta cần xem xét cách trích xuất siêu dữ liệu bảo mật từ các nhật ký đó từ nhiều nguồn khác nhau. Tiếp theo, chúng ta cần chạy dữ liệu đó qua nhiều nguồn cấp dữ liệu tình báo mối đe dọa. Nếu không tìm thấy kết quả phù hợp nào từ nguồn tình báo mối đe dọa, cần có một cách tự động để chia sẻ tệp đó với một môi trường thử nghiệm (sandbox). Sau khi môi trường thử nghiệm phân loại tệp, uy tín đó cần được đưa vào sự kiện. Đây là lý do tại sao ý tưởng về... XDR kết hợp các bước này lại với nhau thành một bảng điều khiển duy nhất đang trở thành một chủ đề nóng - các cuộc tấn công phức tạp không dễ dàng nhìn thấy với các đội và công cụ kém.
Tóm lại, việc tự động hóa này sẽ đơn giản hóa đáng kể quy trình làm việc cho SOC Nhà phân tích có thể tập trung vào các sự kiện có liên quan thay vì chờ đợi các tình huống tạo ra một lượng lớn cảnh báo trước khi thu hút sự chú ý của họ. Điều này sẽ giảm đáng kể thời gian trung bình để phát hiện lỗi (MTTD). Được trang bị thông tin chính xác, họ cũng có thể hành động nhanh chóng, giảm thiểu rủi ro. MTTR.
Nhật ký có vị trí của chúng trong an ninh mạng từ góc độ tuân thủ. Nhưng nếu bạn chỉ dựa vào nhật ký để phân tích và khắc phục, bạn đang bỏ lỡ cơ hội lớn để tận dụng khả năng tự động hóa và khả năng hiển thị trên các công cụ và phát hiện để cải thiện tình trạng bảo mật của bạn và giảm khả năng xảy ra một cuộc tấn công có thể ảnh hưởng đáng kể đến hoạt động kinh doanh của bạn.
Bạn có thể thấy các nhà cung cấp dịch vụ bảo mật được quản lý (MSSP) đang tận dụng tính năng “Mở” của Stellar Cyber như thế nào. XDR để thúc đẩy doanh thu có tỷ suất lợi nhuận cao đâyhoặc liên hệ trực tiếp với tôi brian@stellarcyber.ai.
