ساده سازی SIEM، EDR، XDR و SOAR – شماره 7 2022 – نرخ بیت

امیدوارم این خلاصه کوتاه به شما در درک راه حل های مختلف و مخفف آنها کمک کند. شاید این بتواند به شما کمک کند تا تصمیم آگاهانه تری در مورد سیستم های دفاعی امنیت سایبری خود بگیرید.



وام)

• XDR (تشخیص و پاسخ توسعه یافته) ما به عنوان یک توسعه یافته یا تشخیص و پاسخ «گسترده» می بینیم که در آن منابع داده بیشتر از نقاط پایانی نظارت می شوند و برای تشخیص، پاسخ و اصلاح استفاده می شوند. این منابع داده می تواند شامل SIEM، فایروال های نسل بعدی، نقاط پایانی و غیره باشد.

• از دیدگاه کسب و کار، راه حل ها باید از حملات یا رخنه بدون اختلال یا خرابی کسب و کار جلوگیری کنند.

• شناسایی تهدیدات را به هم مرتبط کنید.

• یافتن افراد ماهر کافی برای دفاع یا حفاظت از محیط زیست خود.

امروزه تبلیغات زیادی در مورد مخفف‌های SIEM، EDR، XDR و SOAR در بازار وجود دارد، و من فکر می‌کنم ناامیدی برای اکثر شرکت‌های بزرگ، اطلاعات متناقضی است که هنگام جستجو برای توضیح در اینترنت پیدا می‌کنید. مثل این است که بخواهید وضعیت پزشکی خود را تشخیص دهید و با بیماری‌های مختلفی که گوگل می‌گوید ممکن است داشته باشید، ترسیده باشید.

سازمان ها برای کمک به این چالش ها چه چیزی می توانند پیاده سازی کنند؟

• منابع کارکنان ماهر و آموزش بیشتر را اضافه کنید.


منبع: https://www.securitysa.com/18067R

این صفحه را چاپ کن نسخه چاپگر پسند

ساده سازی SIEM، EDR، XDR و SOAR

شماره 7 2022 انتخاب سردبیر، امنیت سایبری

طعنه آمیز است که وقتی برای این کلمات اختصاری جستجو می کنید مملو از اطلاعات می شوید. شما باید در آن عمیق شوید و سعی کنید آن را درک کنید. به طور مشابه، جالب است که این کلمات اختصاری وجود دارند زیرا بار داده‌های رویدادهای امنیت سایبری مشترک هستند.

• اضافه بار ورود به سیستم و هشدار که منجر به “خستگی هشدار” می شود.

• هدف این است که برنامه های کاربردی حیاتی، دارایی ها، اطلاعات شناسایی شخصی (PII) و شهرت سازمان محافظت و حفظ شوند.

• تشخیص، پاسخ و اصلاح خودکار.

نوشته جرون دوبلمن، بیت تریت.

• افراد ماهر همچنان برای مدیریت این راه حل ها نیاز دارند، چه آنها را استخدام کنید و چه با یک ارائه دهنده خدمات قرارداد ببندید.

• پاسخ آهسته به یک تهدید، در صورت وجود.

هر ساله افزایش تصاعدی در تهدیدها وجود دارد. سال‌ها پیش این یک «بچه‌ای» بود که می‌خواست ثابت کند می‌تواند به یک شبکه سازمانی یا دولتی دسترسی پیدا کند. امروزه ما با فعالیت های جنایتکارانه سازمان یافته و پرمخاطره توسط انواع مختلف بازیگران بد با اهداف متفاوت سروکار داریم. تجارت بزرگی است.

• برای شناسایی، شناسایی و اصلاح سریعتر تهدیدات، دید بهتری را معرفی کنید.

سازمان ها باید به دقت بررسی کنند که چه رویکردی را اتخاذ کنند. شایان ذکر است موارد زیر را در نظر بگیرید:

• بسیاری از موارد مثبت کاذب.

چرا این راه حل ها امروزه مهم هستند؟ بهترین راه برای پاسخ به این موضوع این است که به 25 تا 30 سال قبل برگردیم. ما در آن زمان به سختی در مورد نقض سازمانی شنیده بودیم. وقتی در مورد یک رویداد شنیدیم، خبر بزرگی بود. امروز، هنوز هم می‌تواند خبر بزرگی باشد، اما آنقدر مرتب اتفاق می‌افتد که از آن مصون مانده‌ایم.

آنچه نگران کننده است این است که بازیگران بد متمرکز بیشتر از مدافعان متمرکز محیط های سایبری ما هستند. مهاجمان اغلب از همان ابزارهایی استفاده می‌کنند که در ابتدا برای ارزیابی و دفاع از محیط‌های سازمان‌های ما برای اهداف مخرب یا مجرمانه‌شان طراحی شده بود. شرکت‌ها از یادگیری ماشینی (ML) یا هوش مصنوعی (AI) برای دفاع استفاده می‌کنند، اما بازیگران بد همان قابلیت‌ها را در ابزارهای حمله خود ایجاد می‌کنند. این، به نوبه خود، پیچیدگی و تعداد تهدیداتی را که یک شرکت در معرض آنها قرار می گیرد، افزایش می دهد.

اینها برخی از چالش‌های امنیت سایبری است که امروزه سازمان‌ها تجربه می‌کنند:

• SOAR (Security Orchestration, Automation and Response) بسیاری از قابلیت های XDR را دارد، اما اتوماسیون سایر فرآیندهای مدیریت امنیتی مانند مدیریت آسیب پذیری و کتاب های بازی را به راه حل اضافه می کند تا بار تیم های امنیتی را کاهش دهد.

ما همچنین باید حملات «دولت ملی» را در ترکیب قرار دهیم، زیرا کشورهایی وجود دارند که بودجه برای ایجاد سلاح‌های سایبری فراهم می‌کنند. برخی استدلال می کنند که این به دلایل دفاعی است، اما در جنگ همیشه آسیب های جانبی وجود دارد. این می تواند شما یا سازمان شما باشید. اشتباه نکنید، جنگ سایبری در اطراف ما در حال وقوع است.

• اینها راه حل های «پیکربندی و ترک» نیستند. برای مدیریت آنها به بهبود مستمر نیاز است.

• EDR (Endpoint Detection and Response) یکی از اولین تکرارهای عصر پاسخ خودکار است که امروزه در XDR و SOAR مشاهده می کنید. نقاط پایانی برای تهدیدها نظارت می شوند، تهدیدها با هم مرتبط هستند و یک پاسخ خودکار به یک تهدید وجود دارد که ممکن است شامل اصلاح باشد.

• SIEM (اطلاعات امنیتی و مدیریت رویداد) در حدود طولانی ترین زمان بوده است. SIEM داده‌ها را از چندین منبع دریافت می‌کند، به ارتباط رویدادها کمک می‌کند و گزارش‌دهی را خودکار می‌کند تا اپراتور انسانی نتیجه را تجزیه و تحلیل کند و تصمیم بعدی را بگیرد.

من تحقیقات خود را انجام داده‌ام و متوجه شده‌ام که نظرات بسیاری بر اساس یک فروشنده، سازنده یا ارائه‌دهنده خدمات منتشر می‌شود که دستور کار خود را پیش می‌برد. من معتقدم که باید یک دیدگاه بی طرف ارائه شود.

• سازش غیر ضروری و از کار افتادن کسب و کار.

استخدام کارکنان بیشتر ممکن است برای برخی سازمان ها امکان پذیر باشد، اما پیامدهای هزینه ای دارد و مهارت های در دسترس و واجد شرایط برای در نظر گرفتن کمبود وجود دارد. اتوماسیون یک گزینه است، از این رو SIEM، EDR، XDR و SOAR ظهور کردند. تغییرات بیشتری وجود دارد، اما اجازه دهید آن را ساده نگه داریم.

• از تجزیه و تحلیل سریعتر رویدادها اطمینان حاصل کنید.

هنگام تحقیق در مورد این راه حل ها تعاریف متناقض زیادی وجود دارد. بسیاری از فروشندگان دوست دارند به این راه حل ها به عنوان نرم افزار به عنوان سرویس (SaaS) اشاره کنند، و این ممکن است در بسیاری از موارد درست باشد، اما امکان نصب راه حل های مقایسه ای در محل یا دریافت خدمات از یک ارائه دهنده خدمات مدیریت شده وجود دارد. بدیهی است که مزایا و معایبی وجود دارد که باید در نظر بگیرید، بسته به نیازهای سازمان شما.

• بررسی ها طول می کشد که منابع انسانی پرهزینه و کمیاب را می طلبد.

• هزینه قابل توجهی برای هر راه حل وجود خواهد داشت، بنابراین تفاوت های بین محل، SaaS یا یک سرویس مدیریت شده را با دقت در دراز مدت بررسی کنید.

• تهدیدهای پنهان را به طور خودکار با یادگیری ماشین شناسایی کنید.

توضیح خنثی از اینکه هر کدام چیست:

• تیم های متفاوت همیشه در صورت لزوم نقاط را به هم وصل نمی کنند.

• تهدیدات مخفی تر ممکن است زیر رادار تیم امنیتی پرواز کنند.