Сэмюэл Джонс, вице-президент по управлению продуктами компании Stellar Cyber, рассказывает о том, как... SIEMПредполагалось, что это будет идеальная платформа для анализа безопасности. Тем не менее, многие пользователи считают, что она не оправдала ожиданий. Теперь расширенные функции обнаружения и реагирования (XDR) обещает стать идеальной платформой. Стоит ли вам её использовать? XDRЧто это значит для вас? SIEM?
Информация о безопасности и управление событиями (SIEMs) собирают данные из журналов безопасности и, таким образом, должны выявлять «слепые зоны», снижать уровень шума и усталость от оповещений, а также упрощать обнаружение сложных кибератак и реагирование на них. Однако, SIEMЭти обещания не оправдались. Теперь появилась новая идея — расширенное обнаружение и реагирование. Каковы её преимущества, и должна ли она сосуществовать с чем-то подобным или заменить что-то другое? SIEMВ этой статье рассматривается текущая ситуация в сфере кибербезопасности и то, как... SIEM вписывается в этот ландшафт и как XDR Платформы могут значительно улучшить видимость, анализ и реагирование на инциденты безопасности.
Пейзаж безопасности
Самым очевидным в сегодняшнем ландшафте безопасности является рост числа угроз:
- По данным Accenture, 68% руководителей бизнеса чувствовали себя риски кибербезопасности росли в 2020 году.
- RiskBased сообщает, что в первой половине 36 года в результате утечки данных было выявлено 2020 миллиардов записей.
- Proofpoint обнаружил, что 88% организаций по всему миру испытали целевые фишинговые атаки в течение 2019 года.
Кроме того, атаки становятся более сложными. Когда-то хакеры нацеливались на один вектор, например порт брандмауэра, но сегодня они нацелены на несколько векторов. Например, злоумышленник может войти в сеть из неизвестного места, получить доступ к системе Active Directory и изменить права пользователя, а затем начать загрузку данных с сервера. Сами по себе каждый из этих индикаторов может рассматриваться системами, которые их отслеживают, как ложные срабатывания, но на самом деле все они являются частью одной атаки.
В этой среде компании изо всех сил пытаются выявлять и устранять атаки. Традиционный подход к сбору группы разрозненных инструментов (таких как EDR, NTA, SIEM и UEBA) для анализа трафика в сетях, серверах, конечных точках, облаке и других сегментах инфраструктура безопасности просто не работает. В том же опросе ESG обнаружила, что 75% компаний затрудняются синтезировать результаты различных инструментов безопасности для определения атак. Более того, исследование показывает, что 75% компаний развернули один или несколько инструментов безопасности, которые не оправдали своих обещаний.
Наконец, есть пробел в навыках работы с людьми. Опрос ESG показал, что 75% компаний испытывают недостаток в человеческих навыках и не могут нанять достаточно опытных аналитиков для поддержки аналитики и операций по безопасности.
Подробнее: Ваш путь к интеллектуальному NG-SOC начинается здесь
Как инструменты решают проблемы
SIEMсобирает данные из множества различных источников, включая межсетевые экраны, системы обнаружения и реагирования в сети.NDRСистемы обнаружения и реагирования на конечных точках (EDR), брокеры безопасности облачных приложений (CASB). Идея хорошая: единый инструмент собирает данные со всей поверхности атаки и агрегирует их для анализа, обнаружения и реагирования. Но есть проблемы с SIEM инструменты:
- Каждый разрозненный инструмент производит данные в собственном формате.
- По-прежнему требуется много ручных задач, таких как преобразование данных (включая слияние данных) для создания контекста для данных, то есть обогащение аналитическими данными об угрозах, местоположении, активах и / или пользовательской информации.
- Данных так много, что аналитикам очень трудно обнаружить сложные атаки.
- Аналитики не могут увидеть сложные атаки из-за большого объема данных и усилий, необходимых для ручной корреляции отдельных обнаружений. Дело в том, что человеческий мозг не может одновременно сопоставить более трех источников информации, поэтому пробираться сквозь поток информации сложно или невозможно.
Неудивительно, что даже с SIEMНа работе многим компаниям требуются недели или месяцы, чтобы выявить сложные атаки: в среднем на выявление сложного нарушения безопасности уходит более 200 дней. Аналитики безопасности сталкиваются с огромным количеством ложных срабатываний, поэтому они не видят аллигаторов в болоте, потому что те по шею погружены в воду и просто пытаются дышать.
XDRВид на лес и все деревья
Если идея позади SIEMЭто решение было правильным с точки зрения сбора данных со всей инфраструктуры, а расширенное обнаружение и реагирование (SF-) — это эволюция этой идеи. Суть в том, чтобы обеспечить мониторинг всей поверхности атаки с помощью единой консоли.
XDR Это целостная платформа для обеспечения безопасности, обеспечивающая тесную интеграцию множества приложений безопасности под единым интерфейсом. XDR платформа получает данные из SIEMNDR, EDR, CASB, анализ поведения пользовательских сущностей (UEBA) и другие инструменты и, в отличие от SIEM, нормализует эти разрозненные наборы данных в общий формат. Общий пул данных легко доступен для поиска, поэтому аналитики могут детализировать предупреждения для выявления основных причин атак. Кроме того, XDR также использует ИИ и машинное обучение для автоматической корреляции обнаружений и выдачи точных предупреждений, что значительно снижает количество ложных срабатываний.
В отличие от людей, компьютеры могут сопоставлять неограниченное количество точек данных, поэтому, используя нормализованные данные и инструменты искусственного интеллекта, XDR может автоматически выявлять сложные атаки во многих случаях, зачастую за минуты или часы, а не за недели или месяцы. Более того, тесная интеграция с разрозненными инструментами безопасности позволяет XDR для автоматического запуска ответных действий на оповещения, например, блокировки порта брандмауэра.
Подробнее: XDR Объяснение в 300 словах
Open XDR: Изготовление XDR Более доступным
Лучшее XDR Платформы на рынке представлены решения от одного поставщика, основанные на EDR база и межсетевые экраны. Компании, выбирающие единого поставщика XDR Следовательно, им придется отказаться от существующих инвестиций в инструменты, чтобы внедрить новые. XDRБольшинство компаний потратили миллионы на приобретение и освоение существующих инструментов, поэтому они неохотно идут на это дальше.
Open XDR это XDR вариант, работающий с существующими инструментами безопасности – любыми EDR и любой файрволл. Таким образом, он позволяет пользователям сохранять свои инвестиции в кибербезопасность, одновременно улучшая их за счет агрегирования всех своих данных, обнаружения атак, представления высокоточных предупреждений по всей инфраструктуре в едином интерфейсе и автоматического реагирования во многих случаях для немедленного улучшения общего поза безопасности.
Помимо вышесказанного, Open XDR Платформы интегрировать свои собственные наборы SIEM, НТА, UEBA и другие инструменты. Это позволяет пользователям со временем отказаться от некоторых из имеющихся у них инструментов, постепенно снижая затраты на лицензирование и сложность эксплуатации.
Заключение
SIEM был основой операций по обеспечению безопасности в течение нескольких лет, но часто он создает больше работы с меньшими результатами. Аналитики перегружены массой предупреждений, данные трудно нормализовать, и невозможно нанять достаточно аналитиков, чтобы удовлетворить потребности.
Обеспечивая быстрое и четкое обнаружение существующих систем с автоматическим реагированием, XDR Эти системы ускоряют выявление и устранение атак, снижая при этом нагрузку на аналитические группы, что приводит к повышению общей безопасности и удовлетворенности сотрудников.
