• پاسخ آهسته به یک تهدید، در صورت وجود.
• پاسخ آهسته به یک تهدید، در صورت وجود.
منبع: https://www.securitysa.com/18067R
نوشته جرون دوبلمن، بیت تریت.
• اضافه بار ورود به سیستم و هشدار که منجر به “خستگی هشدار” می شود.
• تیم های متفاوت همیشه در صورت لزوم نقاط را به هم وصل نمی کنند.
• سازش غیر ضروری و از کار افتادن کسب و کار.
امروزه تبلیغات زیادی در مورد مخففهای SIEM، EDR، XDR و SOAR در بازار وجود دارد، و من فکر میکنم ناامیدی برای اکثر شرکتهای بزرگ، اطلاعات متناقضی است که هنگام جستجو برای توضیح در اینترنت پیدا میکنید. مثل این است که بخواهید وضعیت پزشکی خود را تشخیص دهید و با بیماریهای مختلفی که گوگل میگوید ممکن است داشته باشید، ترسیده باشید.
هنگام تحقیق در مورد این راه حل ها تعاریف متناقض زیادی وجود دارد. بسیاری از فروشندگان دوست دارند به این راه حل ها به عنوان نرم افزار به عنوان سرویس (SaaS) اشاره کنند، و این ممکن است در بسیاری از موارد درست باشد، اما امکان نصب راه حل های مقایسه ای در محل یا دریافت خدمات از یک ارائه دهنده خدمات مدیریت شده وجود دارد. بدیهی است که مزایا و معایبی وجود دارد که باید در نظر بگیرید، بسته به نیازهای سازمان شما.
سازمان ها برای کمک به این چالش ها چه چیزی می توانند پیاده سازی کنند؟
• بررسی ها طول می کشد که منابع انسانی پرهزینه و کمیاب را می طلبد.
آنچه نگران کننده است این است که بازیگران بد متمرکز بیشتر از مدافعان متمرکز محیط های سایبری ما هستند. مهاجمان اغلب از همان ابزارهایی استفاده میکنند که در ابتدا برای ارزیابی و دفاع از محیطهای سازمانهای ما برای اهداف مخرب یا مجرمانهشان طراحی شده بود. شرکتها از یادگیری ماشینی (ML) یا هوش مصنوعی (AI) برای دفاع استفاده میکنند، اما بازیگران بد همان قابلیتها را در ابزارهای حمله خود ایجاد میکنند. این، به نوبه خود، پیچیدگی و تعداد تهدیداتی را که یک شرکت در معرض آنها قرار می گیرد، افزایش می دهد.
شماره 7 2022 انتخاب سردبیر، امنیت سایبری
• SIEM (اطلاعات امنیتی و مدیریت رویداد) در حدود طولانی ترین زمان بوده است. SIEM دادهها را از چندین منبع دریافت میکند، به ارتباط رویدادها کمک میکند و گزارشدهی را خودکار میکند تا اپراتور انسانی نتیجه را تجزیه و تحلیل کند و تصمیم بعدی را بگیرد.
• برای شناسایی، شناسایی و اصلاح سریعتر تهدیدات، دید بهتری را معرفی کنید.
توضیح خنثی از اینکه هر کدام چیست:
• منابع کارکنان ماهر و آموزش بیشتر را اضافه کنید.
• هدف این است که برنامه های کاربردی حیاتی، دارایی ها، اطلاعات شناسایی شخصی (PII) و شهرت سازمان محافظت و حفظ شوند.
استخدام کارکنان بیشتر ممکن است برای برخی سازمان ها امکان پذیر باشد، اما پیامدهای هزینه ای دارد و مهارت های در دسترس و واجد شرایط برای در نظر گرفتن کمبود وجود دارد. اتوماسیون یک گزینه است، از این رو SIEM، EDR، XDR و SOAR ظهور کردند. تغییرات بیشتری وجود دارد، اما اجازه دهید آن را ساده نگه داریم.
سازمان ها باید به دقت بررسی کنند که چه رویکردی را اتخاذ کنند. شایان ذکر است موارد زیر را در نظر بگیرید:
• تشخیص، پاسخ و اصلاح خودکار.
چرا این راه حل ها امروزه مهم هستند؟ بهترین راه برای پاسخ به این موضوع این است که به 25 تا 30 سال قبل برگردیم. ما در آن زمان به سختی در مورد نقض سازمانی شنیده بودیم. وقتی در مورد یک رویداد شنیدیم، خبر بزرگی بود. امروز، هنوز هم میتواند خبر بزرگی باشد، اما آنقدر مرتب اتفاق میافتد که از آن مصون ماندهایم.
اینها برخی از چالشهای امنیت سایبری است که امروزه سازمانها تجربه میکنند:
من تحقیقات خود را انجام دادهام و متوجه شدهام که نظرات بسیاری بر اساس یک فروشنده، سازنده یا ارائهدهنده خدمات منتشر میشود که دستور کار خود را پیش میبرد. من معتقدم که باید یک دیدگاه بی طرف ارائه شود.
• اینها راه حل های «پیکربندی و ترک» نیستند. برای مدیریت آنها به بهبود مستمر نیاز است.
طعنه آمیز است که وقتی برای این کلمات اختصاری جستجو می کنید مملو از اطلاعات می شوید. شما باید در آن عمیق شوید و سعی کنید آن را درک کنید. به طور مشابه، جالب است که این کلمات اختصاری وجود دارند زیرا بار دادههای رویدادهای امنیت سایبری مشترک هستند.
• افراد ماهر همچنان برای مدیریت این راه حل ها نیاز دارند، چه آنها را استخدام کنید و چه با یک ارائه دهنده خدمات قرارداد ببندید.
• تهدیدهای پنهان را به طور خودکار با یادگیری ماشین شناسایی کنید.
• تهدیدات مخفی تر ممکن است زیر رادار تیم امنیتی پرواز کنند.
هر ساله افزایش تصاعدی در تهدیدها وجود دارد. سالها پیش این یک «بچهای» بود که میخواست ثابت کند میتواند به یک شبکه سازمانی یا دولتی دسترسی پیدا کند. امروزه ما با فعالیت های جنایتکارانه سازمان یافته و پرمخاطره توسط انواع مختلف بازیگران بد با اهداف متفاوت سروکار داریم. تجارت بزرگی است.
• XDR (تشخیص و پاسخ توسعه یافته) ما به عنوان یک توسعه یافته یا تشخیص و پاسخ «گسترده» می بینیم که در آن منابع داده بیشتر از نقاط پایانی نظارت می شوند و برای تشخیص، پاسخ و اصلاح استفاده می شوند. این منابع داده می تواند شامل SIEM، فایروال های نسل بعدی، نقاط پایانی و غیره باشد.
• از دیدگاه کسب و کار، راه حل ها باید از حملات یا رخنه بدون اختلال یا خرابی کسب و کار جلوگیری کنند.
• بسیاری از موارد مثبت کاذب.
• یافتن افراد ماهر کافی برای دفاع یا حفاظت از محیط زیست خود.
ما همچنین باید حملات «دولت ملی» را در ترکیب قرار دهیم، زیرا کشورهایی وجود دارند که بودجه برای ایجاد سلاحهای سایبری فراهم میکنند. برخی استدلال می کنند که این به دلایل دفاعی است، اما در جنگ همیشه آسیب های جانبی وجود دارد. این می تواند شما یا سازمان شما باشید. اشتباه نکنید، جنگ سایبری در اطراف ما در حال وقوع است.
امیدوارم این خلاصه کوتاه به شما در درک راه حل های مختلف و مخفف آنها کمک کند. شاید این بتواند به شما کمک کند تا تصمیم آگاهانه تری در مورد سیستم های دفاعی امنیت سایبری خود بگیرید.
وام)
• EDR (Endpoint Detection and Response) یکی از اولین تکرارهای عصر پاسخ خودکار است که امروزه در XDR و SOAR مشاهده می کنید. نقاط پایانی برای تهدیدها نظارت می شوند، تهدیدها با هم مرتبط هستند و یک پاسخ خودکار به یک تهدید وجود دارد که ممکن است شامل اصلاح باشد.
• شناسایی تهدیدات را به هم مرتبط کنید.
• SOAR (Security Orchestration, Automation and Response) بسیاری از قابلیت های XDR را دارد، اما اتوماسیون سایر فرآیندهای مدیریت امنیتی مانند مدیریت آسیب پذیری و کتاب های بازی را به راه حل اضافه می کند تا بار تیم های امنیتی را کاهش دهد.
• هزینه قابل توجهی برای هر راه حل وجود خواهد داشت، بنابراین تفاوت های بین محل، SaaS یا یک سرویس مدیریت شده را با دقت در دراز مدت بررسی کنید.
• از تجزیه و تحلیل سریعتر رویدادها اطمینان حاصل کنید.