Много MSSP используют SIEMs и другие решения для управления / агрегирования / анализа журналов для обеспечения видимости кибербезопасности, но достаточно ли анализа журналов? Мы все чаще слышим о комплексных решениях безопасности, таких как XDR Платформы это утверждение покрывает всю поверхность атаки, особенно потому, что последняя конвейерная атака усилила сложный характер современных сложных многоступенчатых кибератак. Злоумышленники признались, что не ожидали, что их атака остановит трубопровод, но результат оказался ужасающим. Давайте быстро посмотрим, что мы получаем из журналов и чего не получаем из журналов.
Бревна по самой своей природе - это взгляд в прошлое. Они позволяют нам видеть активность файловых серверов и серверов приложений, систем управления пользователями, таких как Active Directory, серверов электронной почты и других инструментов. Когда журналы правильно сопоставлены и проанализированы, мы можем узнать, когда в этих системах возникают аномалии.
Но как насчет атак нулевого дня? Если у файла-вымогателя нет репутации, как его обнаружить? Ответ заключается в том, что вы не можете этого сделать, пока он не разрастется в вашей среде до такой степени, что станет заметным по множеству предупреждений ПОСЛЕ того, как он заразил значительную часть вашей среды.
Итак, как нам добиться большей видимости? Во-первых, вместо простого приема необработанных логов нам нужно подумать, как извлечь из этих логов метаданные безопасности из нескольких источников. Во-вторых, нам нужно пропустить эти данные через несколько каналов анализа угроз. Если файл не найден в результате анализа угроз, должен быть автоматизированный способ передачи этого файла в песочницу. После того, как песочница классифицирует файл, эта репутация должна быть включена в событие. Вот почему возникла идея... XDR объединение этих шагов в единое целое отдельная приборная панель становится такой горячей темой - сложные атаки нелегко увидеть с помощью разрозненных команд и инструментов.
В конечном итоге, эта автоматизация значительно упростит рабочий процесс. SOC аналитику. Они могли бы сосредоточиться на взаимосвязанных событиях, вместо того чтобы ждать, пока ситуация сгенерирует значительное количество оповещений, прежде чем она привлечет их внимание. Это значительно сократит среднее время до наступления критического события (MTTD). Обладая необходимой информацией, они также могут действовать быстро, сокращая MTTR.
Журналы играют важную роль в кибербезопасности с точки зрения соблюдения нормативных требований. Но если вы полагаетесь только на журналы для анализа и исправления, вы упускаете большую возможность использовать автоматизацию и прозрачность инструментов и средств обнаружения, чтобы улучшить состояние безопасности и снизить вероятность атаки, которая может существенно повлиять на ваши бизнес-операции.
Вы можете увидеть, как поставщики управляемых услуг безопасности (MSSP) используют концепцию «открытости» от Stellar Cyber. XDR для получения высокорентабельной выручки здесьили свяжитесь со мной напрямую по адресу brian@stellarcyber.ai.
