Вопросы и ответы с генеральным директором и соучредителем. Changming Liu
Ответ: SIEMСистемы безопасности десятилетиями составляли основу операций по обеспечению безопасности, и мы должны это признать. Однако, SIEMКомпании дали множество громких обещаний, но до сих пор не выполнили многие из них, в частности, концепцию автоматической корреляции обнаружений в комплексе. Именно эту ключевую проблему мы пытаемся решить в Stellar Cyber с помощью наших решений. Open XDR Платформа
SIEMs – Пустые обещания?
SIEMСистемы безопасности десятилетиями составляли основу операций по обеспечению безопасности, и это следует признать. Однако, SIEMОни дали множество громких обещаний, и до сих пор не выполнили многие из них…
В. Давайте уточним это утверждение. Когда вы говорите о корреляции обнаружений, что вы имеете в виду и почему это невозможно? SIEMКак это сделать?
Ответ: Обнаружение — это событие, которое выглядит аномальным или вредоносным. И сегодня это проблема в современном центре управления безопасностью (SOCПроблема заключается в том, что обнаружения могут возникать из множества разрозненных инструментов. Например, у вас есть брандмауэр и система обнаружения и реагирования на сетевые угрозы (NDR) для защиты вашей сети, система обнаружения и реагирования на угрозы на конечных устройствах (EDR) для защиты ваших конечных точек и брокер безопасности облачных приложений (CASB) для ваших SaaS-приложений. Проблема состоит в том, чтобы сопоставить эти обнаружения и составить более полную картину, поскольку хакеры теперь используют более сложные методы для доступа к вашим приложениям и данным, имея увеличенную поверхность атаки. Ваша команда либо утверждает, что получает ложные срабатывания, либо не может распознать эти обнаружения и понять, что является критическим, а что — шумом. Главная цель SIEMЦель состоит в сборе и агрегировании данных, таких как журналы из различных инструментов и приложений, для обеспечения прозрачности активности и расследования инцидентов.
Тем не менее, по-прежнему требуется много ручных задач, таких как преобразование данных, включая слияние данных для создания контекста для данных, т. Е. Обогащение данными об угрозах, местоположении, активах и / или пользовательской информации.
В. Итак, давайте вернемся к заголовку, почему это так важно для профессионалов в области безопасности?
Ответ: Возьмем в качестве примера аналитическую компанию Gartner. На их саммите по безопасности второй по значимости тренд из 7 главных трендов в области безопасности и управления рисками на 2020 год — это возобновление интереса к внедрению или совершенствованию существующих систем. SOCс акцентом на обнаружение угроз и реагирование на них. Они также отмечают: «В ответ на растущий дефицит специалистов по безопасности и тенденции в сфере противодействия злоумышленникам, расширенные методы обнаружения и реагирования (XDRПоявляются инструменты, машинное обучение (МО) и возможности автоматизации, позволяющие повысить производительность операций по обеспечению безопасности и точность обнаружения угроз.
В: Это показательно, но давайте сделаем шаг назад и поговорим подробнее о том, почему. XDR Это новый инструмент, а не просто оболочка для существующего.
Ответ: XDR Это целостная платформа для обеспечения безопасности, отличающаяся тесной интеграцией множества приложений безопасности на единой платформе. SIEM Это одно из многих подобных приложений, поддерживаемых изначально, и оно работает с другими, включая анализ поведения пользователей и сущностей (UBA и EBA), анализ сетевого трафика (NTA) и анализ трафика межсетевого экрана (FTA), анализ угроз и т. д. В Stellar Cyber мы определяем Open XDR В частности, основное внимание уделяется автоматическому обнаружению угроз и реагированию на инциденты путем сопоставления событий безопасности из множества инструментов безопасности. Это основные проблемы. SIEM-только эти продукты, что делает их основным инструментом для управления журналами и обеспечения соответствия нормативным требованиям.
В. А как насчет архитектуры? Насколько это важно для покупателя?
Ответ: Open XDR Разработан с использованием новой облачной архитектуры и сервисов, включая микросервисную архитектуру с контейнерами и кластеризацией. Он отличается высокой гибкостью развертывания, масштабируемостью производительности и поисковой системой на основе Lucene, что позволяет выполнять запросы к информации сверхбыстро — за секунды, а не за часы или дни, как это часто бывает во многих других системах. SIEMЭто программное обеспечение доступно только для локального развертывания на защищенных физических устройствах, виртуальных машинах, в частном или публичном облаке, обеспечивая горизонтальную масштабируемость и высокую доступность, что является ключевым фактором для анализа больших данных на основе открытого озера данных. Эти характеристики также имеют решающее значение для постоянно растущих объемов данных и требований соответствия, предусматривающих нулевую потерю данных.
В. Что говорят другие аналитики?
Ответ: Forrester, ESG, IDC и Omdia утверждают, что в современном мире существуют разрозненные и неэффективные структуры и пробелы. SOCИнструменты должны анализировать обнаружения в сети, облаке, на конечных устройствах и у пользователей. Все аналитики говорят о том, что корреляция между этими областями является истинным индикатором. XDR возможности. Например, ваша SIEM Если вы видите в журнале сообщение о том, что пользователь обращался к SQL в нетипичное время суток, ваш инструмент NTA сообщает, что пользователь отправляет трафик за пределы вашей страны, а ваш инструмент UBA дополнительно указывает на то, что пользователь обычно не использовал это приложение в это время или с такой скоростью передачи данных. Это рисует картину сложной атаки, однако разрозненные инструменты требуют ручного вмешательства для получения выводов. Сегодня XDR Системы могут автоматически создавать эту картину с помощью ИИ/машинного обучения.
В: Как бы вы помогли тем, кто изучает... XDR Как составить список компаний-кандидатов и принять правильные решения?
Ответ: Это ключевой момент, и мы считаем, что существует пять основных основополагающих требований. XDR:
- Централизация нормированный и обогащенный данные из различных источников данных, включая журналы, сетевой трафик, приложения, облако, анализ угроз и т. д.
- Автоматическое обнаружение событий безопасности из данных, собранных с помощью расширенной аналитики, такой как NTA, UBA и ЕБА
- Корреляция отдельных событий безопасности в общее представление.
- Возможность централизованного реагирования, которая взаимодействует с отдельными продуктами безопасности.
- Облачная архитектура микросервисов для гибкости развертывания, масштабируемости и высокой доступности.
И, кроме того, для Stellar Cyber идея Open XDR означает, что у нас есть открытая экосистема, чтобы вы могли использовать свои существующие инструменты безопасности и передовые методы. Мы считаем, что снижаем риски без сбоев и повышаем точность всех ваших существующих инструментов.
Итак, вместо того, чтобы быть всего лишь одним инструментом, таким как SIEM, Звездный Кибер Open XDR Система сопоставляет данные из множества различных инструментов, включая собственный интегрированный набор инструментов и уже существующие, для создания более точных оповещений, снижения количества ложных срабатываний и значительного повышения производительности аналитиков.
