Stellar Cyber产品管理副总裁Samuel Jones探讨了如何 SIEM原本应该是终极安全分析平台。然而,许多用户觉得它并没有兑现承诺。现在,扩展检测和响应(XDR它有望成为终极平台。您是否应该采用 XDR这对你的意味着什么? SIEM?
安全信息和事件管理(SIEMs) 从安全日志中收集数据,并以此识别盲点、减少噪音和警报疲劳,以及简化对复杂网络攻击的检测和响应。然而, SIEM这些承诺并未兑现。如今,新的理念是扩展检测和响应。它的优势是什么?它应该与现有系统共存还是取代现有系统? SIEM本文探讨了当前的网络安全形势,以及…… SIEM 它如何融入这种格局,以及它如何 XDR 平台可以显著提高安全事件的可见性、分析和响应能力。
安全形势
当今安全形势最明显的一点是威胁正在上升:
- 根据埃森哲的数据,68% 的商业领袖认为他们 网络安全风险 2020 年有所增加。
- RiskBased 报告称,在 36 年上半年,数据泄露暴露了 2020 亿条记录。
- Proofpoint 发现,88% 的全球组织在 2019 年经历了鱼叉式网络钓鱼攻击。
此外,攻击正变得越来越复杂。 黑客曾经针对单个向量,例如防火墙端口,但今天,他们针对多个向量。 例如,攻击者可能从无法识别的位置登录网络,访问活动目录系统并更改用户的权限,然后开始从服务器下载数据。 就其本身而言,这些指标中的每一个都可能被跟踪它们的系统视为误报,但实际上,它们都是单一攻击的一部分。
在这种环境下,公司正在努力识别和修复攻击。 收集一组孤立工具(例如 EDR、 NTA, SIEM 以及 UEBA) 分析网络、服务器、端点、云和其他部分的流量 安全基础设施 根本不工作。 在同一项调查中,ESG 发现 75% 的公司发现很难综合不同安全工具的结果来确定攻击。 此外,调查显示,75% 的公司部署了一种或多种未能兑现承诺的安全工具。
最后,人际交往能力存在差距。 ESG 的调查显示,75% 的公司存在人员技能差距,他们无法聘请足够有经验的分析师来支持安全分析和运营。
了解更多: 迈向智能下一代的旅程SOC 从这里开始
工具如何应对挑战
SIEMs 从许多不同的来源收集数据,包括防火墙、网络检测和响应 (NDR系统、端点检测与响应 (EDR) 系统、云应用安全代理 (CASB)。这个想法很好:使用单一工具收集来自整个攻击面的数据,并将其聚合以进行分析、检测和响应。但存在一些问题。 SIEM 工具:
- 每个孤立的工具都以自己的格式生成数据。
- 仍然需要许多手动任务,例如转换数据(包括数据融合)以创建数据上下文,即丰富威胁情报、位置、资产和/或用户信息
- 数据如此之多,以至于分析师很难发现复杂的攻击。
- 由于数据量很大,并且手动关联单独的检测所花费的精力,分析师无法看到复杂的攻击。 事实是,人脑一次只能关联三个以上的信息源,因此在大量信息中涉水是困难或不可能的。
难怪即使有 SIEM在实际工作中,许多公司需要数周甚至数月才能识别出复杂的攻击:识别出一次复杂安全漏洞的平均时间超过 200 天。安全分析师被大量的误报淹没,就像他们深陷泥潭,只能勉强呼吸,根本看不到沼泽里的鳄鱼。
XDR:既看到森林,也看到所有的树木
如果背后的想法 SIEM就从整个基础设施收集数据而言,s 是正确的选择,扩展检测和响应 (EDR) 是这一理念的演进。其理念是确保可以从单个控制台监控整个攻击面。
XDR 是一个统一的安全运营平台,它将众多安全应用程序紧密集成到一个界面下。 XDR 平台从以下位置摄取数据 SIEMNDR、EDR、CASB、用户实体行为分析(UEBA以及其他工具,而且,与一个 SIEM,将这些不同的数据集规范化为通用格式。 通用数据池易于搜索,因此分析师可以深入了解警报以检测攻击的根本原因。 而且, XDR 也用 人工智能和机器学习 自动关联检测并发出高保真警报,显着减少误报。
与人类不同,计算机可以关联无限数量的数据点,因此通过使用标准化数据和人工智能工具, XDR 在许多情况下,它能够自动识别复杂的攻击,通常只需几分钟或几小时,而不是几周或几个月。此外,与孤立的安全工具紧密集成,使其能够…… XDR 自动触发对警报的响应,例如阻止防火墙端口。
了解更多: XDR 用300字解释
Open XDR: 制作 XDR 更实惠
桥梁 XDR 平台 市场上的单一供应商解决方案建立在 EDR 基地和防火墙。 选择单一供应商的公司 XDR 因此,他们必须放弃现有的工具投资才能采用 XDR大多数公司已经花费数百万美元购置和学习使用现有工具,因此他们不愿这样做。
Open XDR 是一个 XDR 任何可与现有安全工具配合使用的变体 EDR 和任何防火墙。 因此,它允许用户保留他们的网络安全投资,同时通过聚合他们的所有数据、检测攻击、在单一界面下呈现来自整个基础设施的高保真警报以及在许多情况下自动响应以立即改善整体安全态势。
此外, Open XDR 平台 整合自己的一套 SIEM,NTA, UEBA 和其他工具。 这使用户能够随着时间的推移淘汰他们现有的一些工具,逐渐降低许可成本和操作复杂性。
结语
SIEM 多年来一直是安全运营的基础,但它通常会以更少的结果创造更多的工作。 分析师因大量警报而负担过重,数据难以规范化,并且无法聘请足够的分析师来满足需求。
通过自动响应从现有系统中提供快速、清晰的检测, XDR 系统能够加快攻击识别和补救速度,同时减轻分析团队的负担,从而提高整体安全性,让员工更满意。
