Пришло время снова изменить разговор о кибербезопасности.
Это ни то, ни другое управляемых данными ни Управляемый ИИ информационной безопасности, о котором вы, возможно, слышали раньше - это одновременно и многое другое.
Это связано с корреляцией информационной безопасности. Речь идет о корреляции многих обнаружений, от очень простых, таких как NGFW, до очень сложных, таких как EDR на основе AI, из различных источников данных на единой единой платформе.
Мы слышим о многих проблемах безопасности от потенциальных клиентов, клиентов и партнеров. Почему? Потому что это часть того, что делают люди - разделять боль! Возможно, вы знаете, а можете и не знать, у злоумышленников есть доступ к тем же инструментам, что и у всех нас. У них есть доступ как к большим данным, так и к технологиям искусственного интеллекта для более сложных атак.
Тем не менее, учитывая рост комплексных угроз, мы все согласны - неудивительно, что мы слышим такие постоянные темы:
- У меня недостаточно данных для эффективного обнаружения, или
- Напротив, у меня слишком много данных, и я завален
- Я получаю слишком много шума в данных или слишком много ложных срабатываний
- Недавно я попробовал несколько продвинутых инструментов, которые используют AI / ML для уменьшения шума или ложных срабатываний, но этот интеллект специфичен только для каждого инструмента.
- У меня много независимых инструментов, которые не разговаривают друг с другом и приводят к разрозненным ответам и высоким затратам.
Что вы можете сделать со сложной атакой, которая использует эти вызовы против вас? Вот простой пример:
- Ваш генеральный директор получает электронное письмо со встроенным URL-адресом.
- Ваш генеральный директор загружает файл на свой ноутбук, перейдя по URL-адресу
- Ваш генеральный директор обращается к файловому серверу в 2 часа ночи в будний день.
- Ноутбук вашего генерального директора отправляет много DNS-трафика
Сами по себе каждое из этих отдельных событий может выглядеть нормально. Если у вас развернуты правильные инструменты безопасности, некоторые из которых оснащены машинным обучением, например EDR и UBA, вы можете узнать, что:
- Ваш генеральный директор получает ФИШИНГ электронное письмо со встроенным ВРЕДОНОСНЫЙ URL.
- Ваш генеральный директор скачивает MALWARE файл на свой ноутбук, перейдя по URL-адресу
- Ваш генеральный директор обращается к файловому серверу в 2 часа ночи в будний день, АНОМАЛЬНОЕ ПОВЕДЕНИЕ в терминах UBA
- Ноутбук вашего генерального директора отправляет много DNS-трафика через DNS. ТЮНЕЛЛИНГ
Это много независимого анализа четырьмя разными инструментами. Насколько быстро и легко вы можете сопоставить эти события, чтобы отследить это нарушение, и сколько людей вам нужно, чтобы собрать все воедино, глядя на множество разных экранов?
Давайте сделаем шаг назад и спросим себя, как мы сюда попали. Ясно, что есть три волны информационной безопасности, которые построены друг на друге: рост объемов данных, рост ИИ и рост корреляций.
1. Рост объемов данных - увеличение объема данных для достижения полной наглядности.
Безопасность на основе данных была главной темой эпохи больших данных, когда данные стали новым «золотом». Все началось с журналов и необработанных сетевых пакетов по отдельности. Основная цель SIEMs заключалась в сборе и объединении журналов из различных инструментов и приложений для обеспечения соответствия, расследования инцидентов и управления журналами. ArcSight, один из наследников SIEM инструменты, выпущенный в 2000 году, был типичным примером SIEM и система управления журналами. Необработанные пакеты были собраны и сохранены как есть для криминалистической экспертизы, несмотря на то, что для них требуется много места для хранения, и очень сложно отсеять это огромное количество пакетов, чтобы найти какие-либо признаки нарушений. В 2006 году NetWitness нашла решение для анализа сырых пакетов.
Вскоре мы поняли, что ни сырых журналов, ни сырых пакетов по отдельности недостаточно для эффективного обнаружения нарушений, а сырые пакеты слишком тяжелы и имеют ограниченное использование, кроме криминалистики. Информация, извлеченная из трафика, такая как Netflow / IPFix, традиционно используемая для видимости сети и мониторинга производительности, начала использоваться для обеспечения безопасности. SIEMs также начал принимать и хранить Netflow / IPFix. Однако, как из соображений технической масштабируемости, так и из соображений стоимости, SIEMs никогда не становились основным инструментом анализа трафика.
Со временем собирается больше данных: файлы, информация о пользователях, информация об угрозах и т. Д. Цель сбора большего количества данных была верной - получить всеобъемлющую видимость, - но основная задача, связанная с ответом на критические атаки, подобна поиску иголок в стоге сена. , особенно с помощью ручного поиска или правил, определенных людьми вручную. Это трудоемко и неэффективно по времени.
Перед безопасностью, управляемой данными, стоят две технические проблемы: как хранить большие объемы данных в большом масштабе, обеспечивая эффективный поиск и анализ, и как работать с разнообразными данными, особенно с неструктурированными данными, поскольку данные могут быть любого формата. Традиционные реляционные базы данных, основанные на SQL, сталкиваются с обеими этими проблемами. Ранее поставщики пытались решить эти проблемы с помощью многих собственных решений. К сожалению, большинство из них были не такими эффективными, как то, что мы используем сегодня на основе баз данных NoSQL для озер больших данных.
Есть еще одна проблема, с которой сталкивается безопасность на основе данных: архитектура программного обеспечения для экономичного построения масштабируемой системы для корпоративных клиентов. Типичная трехуровневая архитектура с интерфейсной бизнес-логикой и уровнями базы данных стала большим препятствием. Сегодняшние облачные архитектуры, основанные на архитектуре микросервисов с контейнерами, обеспечивают гораздо более масштабируемые и экономичные решения.
2. Рост искусственного интеллекта. Используйте машинное обучение с анализом больших данных, чтобы находить и автоматизировать обнаружение.
Что вы будете с ними делать, когда у вас будет много данных? Как упоминалось ранее, при большом объеме данных их просмотр в поисках значимых закономерностей утомительно и требует много времени. Если ваша ИТ-инфраструктура каким-то образом, к сожалению, будет взломана, на то, чтобы это выяснить, могут потребоваться дни. Слишком поздно, потому что ущерб уже нанесен или конфиденциальные данные уже украдены. В этом случае проблемой становится слишком много данных. К счастью, мы стали свидетелями роста машинного обучения благодаря достижениям алгоритмов машинного обучения, а также вычислительной мощности.
Машины очень хорошо справляются с повторяющейся и утомительной работой, очень быстро, очень эффективно и без устали 24 × 7. Когда машины оснащены интеллектом, например способностями к обучению, они помогают людям масштабироваться. Многие исследователи и поставщики в области безопасности начали использовать ИИ для решения проблемы, чтобы помочь им найти эти иглы или увидеть тенденции, которые скрыты внутри больших наборов данных. Таким образом, рост Безопасность на основе искусственного интеллектаВ этой области происходит множество инноваций. Например, многие компании, занимающиеся обнаружением и реагированием на угрозы на конечных устройствах (EDR), используют ИИ для решения проблем безопасности конечных устройств; также существует множество компаний, занимающихся анализом поведения пользователей и сущностей (UEBA) компании, использующие ИИ для борьбы с внутренними угрозами, и множество анализ сетевого трафика (NTA) компании, использующие ИИ для поиска ненормальных сетевой трафик узоры.
Если данные представляют собой новое золото, обнаруженные с помощью ИИ нарушения подобны украшениям, сделанным из золота. Это требует много времени, терпения и упорного труда, чтобы сделать красивые украшения вручную из обычного золота. С помощью машин, особенно современного оборудования, становится возможным коммерческое производство великолепных ювелирных изделий.
На поверхности, с Безопасность на основе искусственного интеллектаБольшое количество данных перестает быть проблемой, поскольку для обучения модели машинного обучения и выявления закономерностей обычно требуется много данных. Напротив, недостаток данных, очевидно, является проблемой, поскольку чем меньше данных, тем менее точной и, следовательно, менее полезной становится модель машинного обучения. Однако со временем исследователи постепенно осознали, что правильные данные гораздо важнее. Слишком много данных без необходимой информации — это просто пустая трата вычислительных мощностей для машинного обучения, а также пустая трата места для хранения. Многие ранние исследования UEBA поставщики решений, основанных на журналах событий из SIEM инструменты Усвоил этот горький урок. SIEM Можно собрать множество логов, но лишь немногие из них содержат необходимую информацию о поведении пользователей. Поэтому, хотя безопасность, основанная на данных, создает отличную основу для Безопасность на основе искусственного интеллекта, чтобы создавать масштабируемые и точные Безопасность на основе искусственного интеллекта, правильные данные гораздо важнее.
Использование ИИ, безусловно, помогает смягчить проблемы, связанные с большими данными, но у него есть и свои сложности. Например, оба UEBA NTA использует неконтролируемое машинное обучение для анализа поведения. Однако, если у пользователя наблюдается аномальное поведение, это может привести к его неадекватному поведению. сетевой трафик не обязательно означает нарушение безопасности. Эти инструменты могут создавать много шума, вызывая утомление от предупреждений. Более того, умные хаки обычно проходят несколько этапов цепочки уничтожения, прежде чем их можно будет поймать. Как можно восстановить след нарушения и устранить основную причину?
Перед нами еще одна большая проблема Безопасность на основе искусственного интеллекта в совокупности: стоимость - капитальные затраты на сами инструменты, стоимость инфраструктуры вычислений и хранения, используемой этими инструментами, и стоимость операций с таким количеством различных инструментов в их разрозненных хранилищах с разными экранами.
Таким образом, даже если у каждого инструмента есть возможность выделить гигабайты или терабайты данных до короткого списка из нескольких критических обнаружений, все равно остается вопрос: «Что вы упускаете, если не объединяете эти инструменты в единую платформу и не коррелируете обнаруженные данные? через все инструменты и корма? "
3. Рост корреляции - корреляция обнаружений и автоматизация реагирования по всей поверхности атаки на единой платформе.
С этой новой волной разговор смещается от данных и ИИ к корреляциям. Очевидно, эта волна построена на двух предыдущих волнах. Тем не менее, все дело в том, чтобы превзойти данные, а также инструменты, и объединить все вместе на одной платформе. Следуя нашей ранней аналогии с золотом и ювелирными изделиями, речь идет о подборе правильного набора ювелирных изделий и надевании их на человека, чтобы он выглядел хорошо в целом.
Аналитики по безопасности из ESG, Gartner, Forrester, IDC и Омдиа все согласны с тем, что это изменение мышления с разрозненных инструментов на консолидированную платформу является ключом к тому, чтобы помочь нам увидеть и отреагировать на критические нарушения. В частности, платформа должна использовать целостный подход и рассматривать корреляцию обнаружений в сети, облаке, конечных точках и приложениях - всю поверхность атаки.
Ключевыми целями корреляции обнаружений между инструментами, потоками и средами являются повышение точности обнаружения, обнаружение сложных атак путем комбинирования более слабых сигналов от нескольких инструментов для выявления атак, которые в противном случае могли бы быть проигнорированы, а также повышение операционной эффективности и производительности. Полная видимость больше не означает нахождение правильных данных - скорее, это означает обнаружение сложных атак.
Для этого вам следует учесть Open XDR. XDR представляет собой связное решение для обеспечения безопасности с тесной интеграцией многих приложений безопасности на единой платформе с единой стеклянной панелью. Он автоматически собирает и сопоставляет данные от нескольких инструментов, улучшает обнаружение и обеспечивает автоматические ответы. Платформа, объединяющая инструменты и приложения, по своей сути снижает стоимость как стоимости инструментов, так и стоимости инфраструктуры, в то же время она повышает операционную эффективность за счет простой в использовании единой стеклянной панели.
Мы считаем, что существует пять основных основополагающих требований XDR:
- Централизация нормализованных и расширенных данных из различных источников данных, включая журналы, сетевой трафик, приложения, облако, анализ угроз и т. д.
- Автоматическое обнаружение событий безопасности на основе данных, собранных с помощью расширенной аналитики, такой как NTA, UBA и EBA.
- Корреляция отдельных событий безопасности в высокоуровневом представлении.
- Возможность централизованного реагирования, которая взаимодействует с отдельными продуктами безопасности.
- Облачная архитектура микросервисов для гибкости развертывания, масштабируемости и высокой доступности.
В заключение, Stellar Cyber — единственная компания, созданная специально для этих целей. Open XDR платформа, которая собирает и обрабатывает все информационной безопасности данные для обнаружения, корреляции и реагирования по всей цепочке уничтожения. Волна корреляций началась, и вы можете прокатиться вместе с нами, наслаждаясь совместным путешествием!
SIEMs – Пустые обещания?
SIEMСистемы безопасности десятилетиями составляли основу операций по обеспечению безопасности, и это следует признать. Однако, SIEMОни дали множество громких обещаний, и до сих пор не выполнили многие из них…
