Hỏi đáp với CEO và đồng sáng lập Changming Liu
Trả lời: SIEMCác quy trình an ninh đã là nền tảng của các hoạt động an ninh trong nhiều thập kỷ, và chúng ta nên thừa nhận điều đó. Tuy nhiên, SIEMHọ đã đưa ra rất nhiều lời hứa hẹn tuyệt vời, và cho đến nay, nhiều lời hứa vẫn chưa được thực hiện, đặc biệt là tầm nhìn về việc tự động tương quan toàn diện các phát hiện. Đây là vấn đề then chốt mà chúng tôi đang nỗ lực giải quyết tại Stellar Cyber với giải pháp của mình. Open XDR nền tảng
SIEMs – NHỮNG LỜI HỨA RỖNG CUỘC?
SIEMCác quy trình an ninh đã là nền tảng của các hoạt động an ninh trong nhiều thập kỷ và điều đó cần được thừa nhận. Tuy nhiên, SIEMHọ đã đưa ra rất nhiều lời hứa hẹn tuyệt vời, và cho đến nay, vẫn chưa thực hiện được nhiều lời hứa đó…
Hỏi: Chúng ta hãy làm rõ tuyên bố đó. Khi ông nói về sự tương quan giữa các lần phát hiện, ông muốn nói gì và tại sao không thể... SIEMHọ làm vậy à?
Trả lời: Phát hiện là một sự kiện có vẻ bất thường hoặc độc hại. Và vấn đề hiện nay trong một trung tâm điều hành an ninh hiện đại (SOCVấn đề là các phát hiện có thể xuất hiện từ nhiều công cụ riêng lẻ. Ví dụ, bạn có tường lửa và hệ thống phát hiện và phản hồi mạng (NDR) để bảo vệ mạng, hệ thống phát hiện và phản hồi điểm cuối (EDR) để bảo vệ các điểm cuối và Cloud Application Security Broker (CASB) cho các ứng dụng SaaS của bạn. Vấn đề nằm ở việc liên kết các phát hiện đó để có cái nhìn tổng thể hơn, vì tin tặc hiện đang sử dụng các kỹ thuật phức tạp hơn để truy cập vào các ứng dụng và dữ liệu của bạn với bề mặt tấn công ngày càng mở rộng. Nhóm của bạn hoặc đang báo cáo các cảnh báo sai hoặc không thể nhìn thấu các phát hiện này và phân biệt được đâu là mối đe dọa nghiêm trọng và đâu là nhiễu. Mục đích chính của SIEMMục đích là thu thập và tổng hợp dữ liệu, chẳng hạn như nhật ký từ các công cụ và ứng dụng khác nhau, để theo dõi hoạt động và điều tra sự cố.
Điều đó cho thấy rằng vẫn còn rất nhiều tác vụ thủ công cần thiết, như chuyển đổi dữ liệu bao gồm cả việc kết hợp dữ liệu để tạo bối cảnh cho dữ liệu, tức là làm phong phú thêm thông tin về mối đe dọa, vị trí, tài sản và / hoặc thông tin người dùng.
Q. Vì vậy, hãy quay lại tiêu đề, tại sao điều này lại quan trọng đối với các chuyên gia bảo mật?
Trả lời: Hãy lấy công ty phân tích Gartner làm ví dụ. Tại Hội nghị Thượng đỉnh về An ninh của họ, xu hướng số 2 — trong số 7 xu hướng hàng đầu về An ninh và Rủi ro năm 2020 — là sự quan tâm mới đến việc triển khai hoặc hoàn thiện các biện pháp bảo mật. SOCvới trọng tâm là phát hiện và ứng phó với các mối đe dọa. Họ cũng lưu ý thêm, “Để đáp ứng khoảng cách kỹ năng bảo mật ngày càng gia tăng và xu hướng tấn công của kẻ thù, việc phát hiện và ứng phó mở rộng (XDRCác công cụ như học máy (ML) và khả năng tự động hóa đang nổi lên để cải thiện năng suất hoạt động an ninh và độ chính xác phát hiện.”
Hỏi: Điều đó thật đáng chú ý, nhưng hãy lùi lại một bước và nói thêm về lý do tại sao. XDR Đây là một công cụ mới, chứ không chỉ là một lớp vỏ bọc bên ngoài của một công cụ hiện có.
Trả lời: XDR Đây là một nền tảng vận hành an ninh thống nhất với sự tích hợp chặt chẽ của nhiều ứng dụng an ninh trên một nền tảng duy nhất. SIEM Đây là một trong nhiều ứng dụng được hỗ trợ nguyên bản như vậy và hoạt động cùng với các ứng dụng khác, bao gồm Phân tích Hành vi Người dùng và Thực thể (UBA & EBA), Phân tích Lưu lượng Mạng (NTA) và Phân tích Lưu lượng Tường lửa (FTA), tình báo mối đe dọa, v.v. Tại Stellar Cyber, chúng tôi định nghĩa Open XDR như việc tập trung vào các trường hợp sử dụng phát hiện mối đe dọa tự động và ứng phó sự cố bằng cách đối chiếu các sự kiện bảo mật từ nhiều công cụ bảo mật. Đây là những thách thức chính với SIEM- Chỉ những sản phẩm này mới trở thành công cụ chính để quản lý nhật ký và tuân thủ quy định.
Q. Còn về kiến trúc? Điều đó quan trọng như thế nào đối với người mua?
Trả lời: Open XDR Nền tảng này được phát triển bằng kiến trúc và dịch vụ điện toán đám mây thế hệ mới, bao gồm kiến trúc dựa trên vi dịch vụ với container và phân cụm. Nó rất linh hoạt về triển khai, có khả năng mở rộng hiệu năng, kết hợp với công cụ tìm kiếm dựa trên Lucene giúp truy vấn thông tin cực nhanh – chỉ trong vài giây thay vì hàng giờ hoặc hàng ngày như nhiều nền tảng khác. SIEM- Chỉ dành cho các sản phẩm. Phần mềm tương tự có thể được triển khai tại chỗ với các thiết bị vật lý được bảo mật cao, máy ảo, đám mây riêng hoặc công cộng với khả năng mở rộng theo chiều ngang và khả năng sẵn sàng cao, yếu tố then chốt cho phân tích dữ liệu lớn chạy trên kho dữ liệu mở. Những đặc điểm này cũng rất quan trọng đối với khối lượng dữ liệu ngày càng tăng và yêu cầu tuân thủ về việc không mất dữ liệu.
Q. Các nhà phân tích khác đang nói gì?
Trả lời: Forrester, ESG, IDC và Omdia đều cho rằng hiện nay vẫn còn những rào cản và lỗ hổng trong hệ thống quản lý chung (ESG) và CNTT. SOCCác công cụ cần xem xét các phát hiện trên toàn mạng, đám mây, thiết bị đầu cuối và người dùng. Tất cả các nhà phân tích đều nói về ý tưởng về mối tương quan giữa các lĩnh vực này như một chỉ báo thực sự về... XDR khả năng của bạn. Ví dụ, của bạn SIEM Bạn thấy nhật ký cho biết người dùng đã truy cập SQL vào thời điểm không điển hình, công cụ NTA cho biết người dùng đang gửi lưu lượng truy cập ra ngoài quốc gia của bạn, và công cụ UBA cho biết thêm rằng người dùng thường không sử dụng ứng dụng này vào những thời điểm đó hoặc với tốc độ dữ liệu đó. Điều này cho thấy một cuộc tấn công phức tạp, nhưng các công cụ riêng lẻ cần sự can thiệp thủ công để đưa ra kết luận. Ngày nay XDR Các hệ thống có thể tự động vẽ nên bức tranh này thông qua trí tuệ nhân tạo/học máy.
Hỏi: Bạn sẽ giúp đỡ những người đang học về như thế nào? XDR Làm thế nào để lập danh sách rút gọn các công ty và đưa ra quyết định đúng đắn?
Trả lời: Đây là điểm mấu chốt, và chúng tôi cho rằng có năm yêu cầu nền tảng chính của XDR:
- Tập trung của bình thường hóa và Làm giàu dữ liệu từ nhiều nguồn dữ liệu bao gồm nhật ký, lưu lượng mạng, ứng dụng, đám mây, Threat Intelligence, v.v.
- Tự động phát hiện các sự kiện bảo mật từ dữ liệu được thu thập bằng phân tích nâng cao, chẳng hạn như NTA, UBA và EBA
- Tương quan của các sự kiện bảo mật riêng lẻ vào chế độ xem cấp cao.
- Khả năng phản hồi tập trung tương tác với các sản phẩm bảo mật riêng lẻ.
- Kiến trúc dịch vụ vi mô gốc đám mây để triển khai linh hoạt, khả năng mở rộng và tính sẵn sàng cao.
Ngoài ra, đối với Stellar Cyber, ý tưởng về Open XDR có nghĩa là chúng tôi có một hệ sinh thái mở để đảm bảo bạn tận dụng các công cụ bảo mật hiện có và các phương pháp hay nhất. Chúng tôi tin rằng chúng tôi giảm thiểu rủi ro mà không bị gián đoạn và cải thiện độ trung thực của tất cả các công cụ hiện có của bạn.
Vì vậy, thay vì chỉ là một công cụ như SIEM, Stellar Cyber's Open XDR Nó tổng hợp dữ liệu đầu vào từ nhiều công cụ khác nhau, bao gồm cả bộ công cụ tích hợp của riêng nó và các công cụ hiện có, để tạo ra các cảnh báo có độ chính xác cao hơn, giảm thiểu cảnh báo sai và tăng cường năng suất của nhà phân tích.
