再次改变网络安全对话的时机已经到了。
都不是 数据驱动 也不 人工智能驱动 网络安全,您可能以前曾经听说过-不仅如此,而且还有更多。
它是相关驱动的 网络安全。 它涉及许多检测的相关性,从非常基本的NGFW到非常先进的如基于AI的EDR,都来自单个内聚平台中的各种数据源。
我们从潜在客户,客户和合作伙伴那里听到了许多安全方面的挑战,为什么? 因为这是人类工作的一部分,所以要分担痛苦! 您可能知道或不知道,攻击者可以使用我们所使用的相同工具。 他们可以使用大数据和AI技术进行更高级的攻击。
然而,随着复杂威胁的增加,我们大家都同意–难怪我们听到了如此一致的主题:
- 我没有足够的数据来进行有效检测,或者
- 相反,我的数据太多了,我被淹没了
- 我在数据中收到太多噪音或错误警报太多
- 我最近尝试了一些使用AI / ML来减少噪声或误报的高级工具,但是这种智能仅针对每种工具。
- 我有很多独立的工具,彼此之间无法交谈,导致答案孤单且成本高昂
对于使用这些挑战来应对您的复杂攻击,您该怎么办? 这是一个简单的示例:
- 您的CEO收到带有嵌入式URL的电子邮件
- 您的CEO通过访问URL将文件下载到他的笔记本电脑
- 您的CEO在工作日的凌晨2点访问文件服务器
- 您首席执行官的笔记本电脑发出大量DNS流量
单独来看,这些单独事件中的每一个都可能看起来很正常。 如果您恰好部署了正确的安全工具,并且其中一些工具已经通过EDR和 瑞银,您可能会发现:
- 您的CEO收到了 网络钓鱼 嵌入式电子邮件 恶意的 网址。
- 您的首席执行官下载了一个 恶意软件 通过转到URL将文件归档到他的笔记本电脑
- 您的CEO在工作日的凌晨2点访问文件服务器, 异常行为 用UBA术语
- 您首席执行官的笔记本电脑通过DNS发送大量DNS流量 隧道
这是通过四个不同的工具进行的许多独立分析。 为了追踪此违规,您将这些事件关联起来的速度和容易程度如何?您需要多少人通过查看许多不同的屏幕将它们包装在一起?
让我们退后一步,问自己如何到达这里。 显然有三波 网络安全,它们是相互依存的:数据的增长,人工智能的增长以及相关性的增长。
1.数据的增长-增加数据量以实现全面的可见性。
数据驱动的安全性是大数据时代的主题,在大数据时代,数据是新的“黄金”。 它分别从日志和原始网络数据包开始。 主要目的 SIEMs 旨在收集和汇总来自不同工具和应用程序的日志,以进行合规性,事件调查和日志管理。 ArcSight,传统之一 SIEM 工具于2000年发布,是一个典型的 SIEM 和日志管理系统。 尽管原始数据包需要大量的存储空间,但它们仍被收集并按原样存储以进行取证,并且很难筛选出如此大量的数据包以查找任何违规迹象。 2006年,NetWitness找到了一种分析原始数据包的解决方案。
很快,我们意识到原始日志和原始数据包都不足以有效地检测违规情况,并且原始数据包太重并且除了取证之外还具有有限的用途。 从流量(例如Netflow / IPFix)中提取的信息(通常用于网络可见性和性能监视)开始用于安全性。 SIEMs 也开始摄取和存储Netflow / IPFix。 但是,由于技术上的可扩展性和成本方面的问题, SIEMs 从未成为流量分析的主流工具。
随着时间的流逝,将收集更多数据:文件,用户信息,威胁情报等。收集更多数据的目标是有效的–获得普遍可见性–但是应对关键攻击的净挑战就像在大海捞针一样,尤其是通过人工搜索或人工手动定义的规则。 这是劳动密集型且时间效率低的。
数据驱动的安全性面临着两个技术挑战:如何大规模存储大量数据,实现有效的搜索和分析,以及如何处理各种数据(尤其是非结构化数据),因为数据可以是任何格式。 基于SQL的传统关系数据库遇到了这两个问题。 早期的供应商争先恐后地使用许多本地解决方案来解决这些问题。 不幸的是,它们大多数都不如我们今天基于NoSQL数据库用于大数据湖的效率高。
数据驱动的安全性还面临着另一个挑战:以经济高效的方式为企业客户构建可扩展系统的软件体系结构。 具有前端业务逻辑和数据库层的典型3层体系结构成为一大障碍。 当今的云原生架构基于带有容器的微服务架构,可提供更具可扩展性和成本效益的解决方案。
2.人工智能的兴起-将机器学习与大数据分析结合使用,以帮助发现和自动进行检测
一旦拥有大量数据,您将如何处理? 如前所述,在海量数据中,进行筛选以寻找有意义的模式既繁琐又耗时。 如果不幸地您的IT基础架构遭到黑客入侵,可能需要几天的时间才能发现它。 为时已晚,因为损坏已经造成,或者敏感数据已经被盗。 在这种情况下,过多的数据将成为问题。 幸运的是,由于机器学习算法和计算能力的进步,我们已经看到了机器学习的兴起。
机器非常擅长快速,高效,不倦地进行24×7重复和繁琐的工作。 当机器具备学习功能之类的智能时,它们就能帮助人类扩展规模。 安全领域的许多研究人员和供应商开始利用AI来解决问题,帮助他们找到问题所在或查看隐藏在大型数据集中的趋势。 因此, 人工智能驱动的安全性这个领域有很多创新。例如,很多端点检测与响应 (EDR) 公司都在使用人工智能来解决端点安全问题;很多用户和实体行为分析 (UEBA) 公司也在使用人工智能来解决端点安全问题。UEBA)利用人工智能应对内部威胁的公司,以及许多其他公司 网络流量分析(NTA) 公司使用AI查找异常 网络流量 图案。
如果数据是新的黄金,则通过AI检测到的漏洞就像是用黄金制成的珠宝。 为了用纯金手工制作漂亮的珠宝,需要大量的时间,耐心和辛勤的工作。 借助机器,尤其是先进的机器,可以进行大型珠宝的商业化生产。
在表面上, 人工智能驱动的安全性随着机器学习的进行,数据量过大不再是主要问题,因为机器学习通常需要大量数据来训练模型并学习模式。相反,数据不足显然是个问题,因为数据越少,模型的准确性就越低,实用性也就越差。然而,随着时间的推移,研究人员逐渐意识到,正确的数据远比数据本身重要。如果数据量过大而缺乏正确的信息,只会浪费机器学习的计算能力和存储空间。许多早期的机器学习模型都存在这个问题。 UEBA 供应商提供基于日志的解决方案 SIEM 工具 我吸取了这个惨痛的教训。 SIEM 可能已经收集了大量日志,但其中只有少数包含与用户行为相关的正确信息。因此,尽管数据驱动的安全为……奠定了良好的基础 人工智能驱动的安全性,以便构建可扩展且准确的 人工智能驱动的安全性,正确的数据更为重要。
人工智能的应用无疑有助于缓解大数据带来的难题,但它自身也面临着挑战。例如,两者都存在问题。 UEBA NTA 利用无监督机器学习进行行为分析。然而,观察到的用户或来自用户的异常行为 网络流量 不一定表示安全事件。 这些工具会产生大量噪音,引起警报疲劳。 此外,聪明的骇客通常会先经过多个杀伤链,然后才能被捕获。 您如何恢复违规的痕迹并解决根本原因?
面临另一个巨大挑战 人工智能驱动的安全性 总的来说:成本–这些工具本身的资本成本,这些工具所使用的计算和存储基础架构的成本,以及在各自的筒仓中使用不同屏幕的许多不同工具的运行成本。
因此,即使每个工具都能够将千兆字节或TB的数据精简为几个关键检测的简短列表,问题仍然存在:“如果不将这些工具整合到一个平台中并关联检测,您会丢失什么?涵盖所有工具和提要吗?”
3.关联的兴起-在单个平台上关联检测并自动在整个攻击面上进行响应
随着这一新潮流,对话从数据和人工智能转移到了相关性。 显然,此浪潮建立在前两个浪潮的基础上。 但是,这不仅仅是获取数据和工具,还涉及将所有内容包装在一个平台中。 遵循我们早期的“金到珠宝”的比喻,这是关于匹配一组正确的珠宝并将其组合到一个人上以使其整体上看起来不错。
安全分析员来自 ESG,Gartner,Forrester,IDC 以及 奥姆迪亚 所有人都同意,从孤立的工具到统一的平台的思维方式的转变对于帮助我们发现并应对严重的违规行为至关重要。 具体而言,该平台需要采取整体方法,并着眼于跨网络,云,端点和应用程序–整个攻击面的相关检测。
跨工具,提要和环境的检测相关性的主要目标是提高检测准确性,通过组合来自多个工具的较弱信号来发现可能被忽略的攻击,从而检测复杂的攻击,并提高操作效率和生产率。 全面的可见性不再意味着找到正确的数据,而是寻找复杂的攻击。
为此,您应该考虑 Open XDR. XDR 是一种具有凝聚力的安全操作解决方案,可将多个安全应用程序紧密集成在具有单个平台的单个平台中。 它会自动从多个工具中收集和关联数据,改进检测并提供自动响应。 一个将工具和应用程序结合在一起的平台本质上降低了工具成本和基础设施成本,同时通过易于使用的单块玻璃板提高了运营效率。
我们认为有五个主要的基础要求: XDR:
- 集中来自各种数据源(包括日志, 网络流量,应用程序,云,威胁情报等。
- 根据通过高级分析(例如)收集的数据自动检测安全事件 NTA, 瑞银 以及 EBA.
- 将各个安全事件关联到高级视图。
- 与单个安全产品交互的集中响应能力。
- 云本地微服务架构,可提供部署灵活性,可扩展性和高可用性。
总之,Stellar Cyber是唯一专门为此目的而打造的 Open XDR 一个摄取和整理所有内容的平台 网络安全 数据以检测,关联和响应整个杀伤链。 相关性的浪潮已经开始,欢迎您与我们一起享受旅程!
