与首席执行官兼联合创始人的问答 Changming Liu
答: SIEM几十年来,安全措施一直是安全行动的基础,这一点我们应该承认。然而, SIEM他们做出了许多宏伟的承诺,但时至今日,其中许多承诺仍未兑现,尤其是全面自动关联检测结果的愿景。这正是我们在 Stellar Cyber 致力于解决的关键问题。 Open XDR 平台
问:让我们澄清一下这个说法。您说的检测结果相关性是什么意思?为什么不能…… SIEM这样做吗?
答: 检测结果显示,事件看起来异常或恶意。而如今,现代安全运营中心面临的问题是(SOC问题在于,检测结果可能来自许多孤立的工具。例如,您的网络保护需要防火墙和网络检测与响应 (NDR),端点保护需要端点检测与响应 (EDR),而 SaaS 应用则需要云应用安全代理 (CASB)。如何将这些检测结果关联起来,从而构建更全面的安全图景,才是关键所在,因为黑客现在使用更复杂的技术来访问您的应用程序和数据,攻击面也越来越大。您的团队要么声称存在误报,要么无法透过这些检测结果,分辨哪些是关键信息,哪些只是噪音。主要目的在于…… SIEMs 的目的是收集和汇总来自不同工具和应用程序的日志等数据,以实现活动可见性和事件调查。
也就是说,仍然需要执行许多手动任务,例如转换包括数据融合在内的数据以创建数据上下文,即充实威胁情报,位置,资产和/或用户信息。
问:现在让我们回到标题,为什么这对安全专业人员如此重要?
答: 我们以分析公司 Gartner 为例。在其安全峰会上,2020 年七大安全和风险趋势中的第二大趋势是人们对实施或完善安全策略的兴趣重新燃起。 SOC重点在于威胁检测和响应。他们进一步指出,“为了应对日益扩大的安全技能差距和攻击者趋势,扩展的检测和响应(XDR工具、机器学习 (ML) 和自动化能力正在兴起,以提高安全运营效率和检测准确性。”
问:这很有启发性,但我们不妨退一步,进一步探讨一下原因。 XDR 它是全新的,而不仅仅是对现有工具的封装。
答: XDR 是一个统一的安全运营平台,它将许多安全应用程序紧密集成在一个平台上。 SIEM 它是众多此类原生支持的应用程序之一,并可与其他应用程序协同工作,包括用户和实体行为分析 (UBA & EBA)、网络流量分析 (NTA)、防火墙流量分析 (FTA)、威胁情报等。在 Stellar Cyber,我们定义 Open XDR 专注于通过关联来自多个安全工具的安全事件,实现自动威胁检测和事件响应用例。这些是主要挑战。 SIEM-仅限这些产品,这使得它们成为日志管理和合规性的主要工具。
问:架构如何? 这对买方有多重要?
答: Open XDR 它采用全新的云原生架构和服务开发,包括基于容器和集群的微服务架构。它在部署方面非常灵活,性能可扩展,并配备基于 Lucene 的搜索引擎,使信息查询速度极快——只需几秒钟,而不是像许多其他系统那样需要数小时甚至数天。 SIEM仅限产品。同一软件可部署在本地加固的物理设备、虚拟机、私有云或公有云上,具备横向扩展和高可用性能力,这对于在开放数据湖上运行的大数据分析至关重要。这些特性对于不断增长的数据量和零数据丢失的合规性要求也至关重要。
问:其他分析师在说什么?
答: Forrester、ESG、IDC 和 Omdia 都指出,当今的 ESG 行业存在信息孤岛和信息缺口。 SOC工具需要检测网络、云端、终端和用户层面的异常情况。所有分析师都认为,这些领域之间的相关性才是真正的指标。 XDR 能力。例如,你的 SIEM 如果日志显示某个用户在非典型时间段访问了 SQL,NTA 工具显示该用户正在将流量发送到国外,而 UBA 工具则显示该用户通常不会在这些时间段或以这样的数据速率使用此应用程序,那么这描绘出一幅复杂的攻击图景。然而,由于各个工具各自独立运行,需要人工干预才能得出结论。 XDR 系统可以通过人工智能/机器学习自动描绘出这幅图景。
问:您会如何帮助那些学习的人? XDR 如何筛选公司并做出正确的决定?
答: 这一点至关重要,我们认为有五个主要的基础要求: XDR:
- 集中化 标准化 和 丰富 来自各种数据源的数据,包括日志,网络流量,应用程序,云,威胁情报等。
- 自动检测 通过高级分析(例如, NTA, 瑞银 和 EBA
- 相关性 各个安全事件的概述。
- 与单个安全产品交互的集中响应能力。
- 云原生微服务架构 具有部署灵活性,可伸缩性和高可用性。
此外,对于Stellar Cyber, Open XDR 意味着我们拥有一个开放的生态系统,可确保您利用现有的安全工具和最佳实践。 我们相信,我们可以在不中断的情况下降低风险,并提高所有现有工具的保真度。
因此,不仅仅是像 SIEM, 恒星网络 Open XDR 它将来自许多不同工具的输入关联起来,包括它自己的集成工具集和现有的工具集,以产生更高保真度的警报,减少误报,并极大地提高分析师的生产力。
