ساده سازی SIEM، EDR، XDR و SOAR – شماره 7 2022 – نرخ بیت

• پاسخ آهسته به یک تهدید، در صورت وجود.


منبع: https://www.securitysa.com/18067R

نوشته جرون دوبلمن، بیت تریت.

• اضافه بار ورود به سیستم و هشدار که منجر به “خستگی هشدار” می شود.

• تیم های متفاوت همیشه در صورت لزوم نقاط را به هم وصل نمی کنند.

• سازش غیر ضروری و از کار افتادن کسب و کار.

امروزه تبلیغات زیادی در مورد مخفف‌های SIEM، EDR، XDR و SOAR در بازار وجود دارد، و من فکر می‌کنم ناامیدی برای اکثر شرکت‌های بزرگ، اطلاعات متناقضی است که هنگام جستجو برای توضیح در اینترنت پیدا می‌کنید. مثل این است که بخواهید وضعیت پزشکی خود را تشخیص دهید و با بیماری‌های مختلفی که گوگل می‌گوید ممکن است داشته باشید، ترسیده باشید.

هنگام تحقیق در مورد این راه حل ها تعاریف متناقض زیادی وجود دارد. بسیاری از فروشندگان دوست دارند به این راه حل ها به عنوان نرم افزار به عنوان سرویس (SaaS) اشاره کنند، و این ممکن است در بسیاری از موارد درست باشد، اما امکان نصب راه حل های مقایسه ای در محل یا دریافت خدمات از یک ارائه دهنده خدمات مدیریت شده وجود دارد. بدیهی است که مزایا و معایبی وجود دارد که باید در نظر بگیرید، بسته به نیازهای سازمان شما.

سازمان ها برای کمک به این چالش ها چه چیزی می توانند پیاده سازی کنند؟

• بررسی ها طول می کشد که منابع انسانی پرهزینه و کمیاب را می طلبد.

آنچه نگران کننده است این است که بازیگران بد متمرکز بیشتر از مدافعان متمرکز محیط های سایبری ما هستند. مهاجمان اغلب از همان ابزارهایی استفاده می‌کنند که در ابتدا برای ارزیابی و دفاع از محیط‌های سازمان‌های ما برای اهداف مخرب یا مجرمانه‌شان طراحی شده بود. شرکت‌ها از یادگیری ماشینی (ML) یا هوش مصنوعی (AI) برای دفاع استفاده می‌کنند، اما بازیگران بد همان قابلیت‌ها را در ابزارهای حمله خود ایجاد می‌کنند. این، به نوبه خود، پیچیدگی و تعداد تهدیداتی را که یک شرکت در معرض آنها قرار می گیرد، افزایش می دهد.

ساده سازی SIEM، EDR، XDR و SOAR

شماره 7 2022 انتخاب سردبیر، امنیت سایبری

• SIEM (اطلاعات امنیتی و مدیریت رویداد) در حدود طولانی ترین زمان بوده است. SIEM داده‌ها را از چندین منبع دریافت می‌کند، به ارتباط رویدادها کمک می‌کند و گزارش‌دهی را خودکار می‌کند تا اپراتور انسانی نتیجه را تجزیه و تحلیل کند و تصمیم بعدی را بگیرد.

• برای شناسایی، شناسایی و اصلاح سریعتر تهدیدات، دید بهتری را معرفی کنید.

توضیح خنثی از اینکه هر کدام چیست:

• منابع کارکنان ماهر و آموزش بیشتر را اضافه کنید.

• هدف این است که برنامه های کاربردی حیاتی، دارایی ها، اطلاعات شناسایی شخصی (PII) و شهرت سازمان محافظت و حفظ شوند.

استخدام کارکنان بیشتر ممکن است برای برخی سازمان ها امکان پذیر باشد، اما پیامدهای هزینه ای دارد و مهارت های در دسترس و واجد شرایط برای در نظر گرفتن کمبود وجود دارد. اتوماسیون یک گزینه است، از این رو SIEM، EDR، XDR و SOAR ظهور کردند. تغییرات بیشتری وجود دارد، اما اجازه دهید آن را ساده نگه داریم.

سازمان ها باید به دقت بررسی کنند که چه رویکردی را اتخاذ کنند. شایان ذکر است موارد زیر را در نظر بگیرید:

• تشخیص، پاسخ و اصلاح خودکار.

چرا این راه حل ها امروزه مهم هستند؟ بهترین راه برای پاسخ به این موضوع این است که به 25 تا 30 سال قبل برگردیم. ما در آن زمان به سختی در مورد نقض سازمانی شنیده بودیم. وقتی در مورد یک رویداد شنیدیم، خبر بزرگی بود. امروز، هنوز هم می‌تواند خبر بزرگی باشد، اما آنقدر مرتب اتفاق می‌افتد که از آن مصون مانده‌ایم.

اینها برخی از چالش‌های امنیت سایبری است که امروزه سازمان‌ها تجربه می‌کنند:

من تحقیقات خود را انجام داده‌ام و متوجه شده‌ام که نظرات بسیاری بر اساس یک فروشنده، سازنده یا ارائه‌دهنده خدمات منتشر می‌شود که دستور کار خود را پیش می‌برد. من معتقدم که باید یک دیدگاه بی طرف ارائه شود.

• اینها راه حل های «پیکربندی و ترک» نیستند. برای مدیریت آنها به بهبود مستمر نیاز است.

طعنه آمیز است که وقتی برای این کلمات اختصاری جستجو می کنید مملو از اطلاعات می شوید. شما باید در آن عمیق شوید و سعی کنید آن را درک کنید. به طور مشابه، جالب است که این کلمات اختصاری وجود دارند زیرا بار داده‌های رویدادهای امنیت سایبری مشترک هستند.

• افراد ماهر همچنان برای مدیریت این راه حل ها نیاز دارند، چه آنها را استخدام کنید و چه با یک ارائه دهنده خدمات قرارداد ببندید.

• تهدیدهای پنهان را به طور خودکار با یادگیری ماشین شناسایی کنید.

• تهدیدات مخفی تر ممکن است زیر رادار تیم امنیتی پرواز کنند.

هر ساله افزایش تصاعدی در تهدیدها وجود دارد. سال‌ها پیش این یک «بچه‌ای» بود که می‌خواست ثابت کند می‌تواند به یک شبکه سازمانی یا دولتی دسترسی پیدا کند. امروزه ما با فعالیت های جنایتکارانه سازمان یافته و پرمخاطره توسط انواع مختلف بازیگران بد با اهداف متفاوت سروکار داریم. تجارت بزرگی است.

• XDR (تشخیص و پاسخ توسعه یافته) ما به عنوان یک توسعه یافته یا تشخیص و پاسخ «گسترده» می بینیم که در آن منابع داده بیشتر از نقاط پایانی نظارت می شوند و برای تشخیص، پاسخ و اصلاح استفاده می شوند. این منابع داده می تواند شامل SIEM، فایروال های نسل بعدی، نقاط پایانی و غیره باشد.

• از دیدگاه کسب و کار، راه حل ها باید از حملات یا رخنه بدون اختلال یا خرابی کسب و کار جلوگیری کنند.

• بسیاری از موارد مثبت کاذب.

• یافتن افراد ماهر کافی برای دفاع یا حفاظت از محیط زیست خود.

ما همچنین باید حملات «دولت ملی» را در ترکیب قرار دهیم، زیرا کشورهایی وجود دارند که بودجه برای ایجاد سلاح‌های سایبری فراهم می‌کنند. برخی استدلال می کنند که این به دلایل دفاعی است، اما در جنگ همیشه آسیب های جانبی وجود دارد. این می تواند شما یا سازمان شما باشید. اشتباه نکنید، جنگ سایبری در اطراف ما در حال وقوع است.

امیدوارم این خلاصه کوتاه به شما در درک راه حل های مختلف و مخفف آنها کمک کند. شاید این بتواند به شما کمک کند تا تصمیم آگاهانه تری در مورد سیستم های دفاعی امنیت سایبری خود بگیرید.



وام)

• EDR (Endpoint Detection and Response) یکی از اولین تکرارهای عصر پاسخ خودکار است که امروزه در XDR و SOAR مشاهده می کنید. نقاط پایانی برای تهدیدها نظارت می شوند، تهدیدها با هم مرتبط هستند و یک پاسخ خودکار به یک تهدید وجود دارد که ممکن است شامل اصلاح باشد.

• شناسایی تهدیدات را به هم مرتبط کنید.

• SOAR (Security Orchestration, Automation and Response) بسیاری از قابلیت های XDR را دارد، اما اتوماسیون سایر فرآیندهای مدیریت امنیتی مانند مدیریت آسیب پذیری و کتاب های بازی را به راه حل اضافه می کند تا بار تیم های امنیتی را کاهش دهد.

• هزینه قابل توجهی برای هر راه حل وجود خواهد داشت، بنابراین تفاوت های بین محل، SaaS یا یک سرویس مدیریت شده را با دقت در دراز مدت بررسی کنید.

• از تجزیه و تحلیل سریعتر رویدادها اطمینان حاصل کنید.