Событие безопасности и Платформы управления информацией (SIEMs) Они собирают данные из журналов безопасности и, таким образом, должны выявлять «слепые зоны», снижать уровень шума и усталость от оповещений, а также упрощать обнаружение сложных кибератак и реагирование на них. Однако, SIEMЭти обещания не были выполнены. Теперь появилась новая идея: XDR - каковы его преимущества, и должен ли он сосуществовать или заменять SIEM? В этой статье исследуется текущая ситуация в области кибербезопасности, как SIEM вписывается в этот ландшафт и как XDR Платформы могут значительно улучшить видимость, анализ и реагирование на инциденты безопасности.
Пейзаж безопасности
Самым очевидным в сегодняшнем ландшафте безопасности является рост числа угроз:
- По данным Accenture, 68% руководителей бизнеса почувствовали, что риски кибербезопасности росли в 2020 году.
- Risk Based сообщил, что в первой половине 36 года в результате утечки данных было выявлено 2020 миллиардов записей.
- Proofpoint обнаружил, что 88% организаций по всему миру испытали целевые фишинговые атаки в течение 2019 года.
К тому же атаки усложняются. Когда-то хакеры нацеливались на один вектор, например порт межсетевого экрана, но сегодня они нацелены на несколько векторов. Например, злоумышленник может войти в сеть из неизвестного места, получить доступ к системе Active Directory и изменить права пользователя, а затем начать загрузку данных с сервера. Сами по себе каждый из этих индикаторов может рассматриваться системами, которые их отслеживают, как ложные срабатывания, но на самом деле все они являются частью одной атаки.
В этой среде компании изо всех сил пытаются выявлять и устранять атаки. Традиционный подход к сбору группы разрозненных инструментов (таких как EDR, NTA, SIEM и UEBA) для анализа трафика в сетях, серверах, конечных точках, облаке и других срезах инфраструктуры безопасности просто не работает. В опросе 2020 г. Группа корпоративной стратегии (ESG) обнаружили, что 75% компаний затрудняются синтезировать результаты различных инструментов безопасности для определения атак. Более того, исследование показывает, что 75 процентов компаний развернули один или несколько инструментов безопасности, которые не оправдали своих обещаний.
Наконец, есть пробел в человеческих навыках. Опрос ESG показал, что 75% компаний испытывают недостаток в человеческих навыках - они не могут нанять достаточно опытных аналитиков для поддержки аналитики безопасности и операций.
Как инструменты решают проблемы
SIEMs собирать данные из множества различных источников, включая межсетевые экраны, обнаружение сети и ответ (NDR) системы, системы обнаружения и реагирования конечных точек (EDR) и брокеры безопасности облачных приложений (CASB). Идея хороша: единый инструмент собирает данные со всей поверхности атаки и объединяет их для анализа, обнаружения и реагирования. Но есть проблемы с SIEM инструменты:
- Каждый разрозненный инструмент производит данные в собственном формате.
- По-прежнему требуется множество ручных задач, таких как преобразование данных (включая слияние данных) для создания контекста для данных, т. Е. Обогащение данными об угрозах, местоположении, активах и / или пользователях.
- Данных так много, что аналитикам очень трудно обнаружить сложные атаки.
- Аналитики не могут увидеть сложные атаки из-за большого объема данных и усилий, необходимых для ручной корреляции отдельных обнаружений. Человеческий мозг не может одновременно сопоставить более трех источников информации, поэтому пробираться сквозь поток информации сложно или невозможно.
Неудивительно, что даже с SIEMs на работе многим компаниям требуются недели или месяцы для выявления сложных атак: в среднем время на выявление сложной уязвимости составляет более 200 дней. Аналитики по безопасности наводнены ложными срабатываниями, поэтому они не видят аллигаторов в болоте, потому что они по шею в воде и просто пытаются дышать.
XDR – Вид на лес и все деревья
Если идея позади SIEMs был правильным с точки зрения сбора данных по всей инфраструктуре, XDR (Обнаружение и реагирование на все инциденты) это эволюция этой идеи. Идея состоит в том, чтобы обеспечить возможность мониторинга всей поверхности атаки с единой консоли.
XDR представляет собой целостную платформу операций по обеспечению безопасности с тесной интеграцией множества приложений безопасности под одной информационной панелью для сопоставления событий и значимых инцидентов на всей поверхности атаки. An XDR Платформа получает данные из SIEM, NDR, EDR, CASB, анализ поведения пользователей (UEBA) и другие инструменты и, в отличие от SIEM, нормализует эти разрозненные наборы данных в общий формат. Общий пул данных легко доступен для поиска, поэтому аналитики могут детализировать предупреждения для выявления основных причин атак. Кроме того, XDR также использует ИИ и машинное обучение для автоматической корреляции обнаружений и выдачи высокоточных предупреждений, что значительно снижает количество ложных срабатываний.
В отличие от людей, компьютеры могут сопоставлять неограниченное количество точек данных, поэтому, используя нормализованные данные и Инструменты AI, XDR может автоматически выявлять сложные атаки во многих случаях, зачастую за минуты или часы, а не за недели или месяцы. Более того, тесная интеграция с разрозненными инструментами безопасности позволяет XDR для автоматического запуска ответных действий на оповещения, например, блокировки порта брандмауэра.
Open XDR - Изготовление XDR Более доступным
Лучшее XDR Платформы на рынке представлены решения от одного поставщика, основанные на EDR база и межсетевые экраны. Компании, выбирающие единого поставщика XDR Следовательно, им придется отказаться от существующих инвестиций в инструменты, чтобы внедрить новые. XDRБольшинство компаний потратили миллионы на приобретение и освоение существующих инструментов, поэтому они неохотно идут на это дальше.
Open XDR это XDR вариант, работающий с существующими инструментами безопасности – любыми EDR и любой файрволл. Таким образом, он позволяет пользователям сохранять свои инвестиции в кибербезопасность, одновременно улучшая их за счет агрегирования всех своих данных, обнаружения атак, представления высокоточных предупреждений по всей инфраструктуре в едином интерфейсе и автоматического реагирования во многих случаях для немедленного улучшения общего поза безопасности.
Помимо вышесказанного, Open XDR Платформы интегрировать свои собственные наборы SIEM, NTA, UEBA и другие инструменты. Это позволяет пользователям со временем отказаться от некоторых из имеющихся у них инструментов, постепенно снижая затраты на лицензирование и сложность эксплуатации.
Заключение
SIEM был основой операций по обеспечению безопасности в течение нескольких лет, но часто он создает больше работы с меньшими результатами. Аналитики перегружены массой предупреждений, данные трудно нормализовать, и невозможно нанять достаточно аналитиков, чтобы удовлетворить потребности.
Обеспечивая быстрое и четкое обнаружение существующих систем с автоматическим реагированием, Open XDR системы ускорить выявление атак и их устранение при одновременном снижении нагрузки на группы аналитиков, что приведет к повышению общей безопасности, более счастливым сотрудникам, меньшим сбоям в работе и снижению затрат.
Open XDR является основой Центра оперативного управления безопасностью нового поколения.
