XDR – ¿Por favor, explique? | Blogs de McAfee


SIEM, ¡necesitamos hablar!

Albert Einstein dijo una vez: "No podemos resolver nuestros problemas con el mismo pensamiento que usamos cuando los creamos".

Sseguridad los proveedores han pasado las últimas dos décadas proporcionando más de lo mismo orquestación, detección, y respuesta capacidades, mientras promete resultados diferentes. Y como dice el viejo adagio, hacer lo mismo una y otra vez esperando resultados diferentes es? yo"te dejaré llenar el espacio en blanco tú mismo.

Figura 1: El impacto de XDR en el SOC moderno: mayores desafíos de SIEM – ESG Research 2020

SIEM! REMONTARSE! SIEM de próxima generación! Tel nombre cambió, mientras la mismo fundamental retos se mantuvo: todos requierenre levantamiento pesado y continuo manual mantenimiento. Como señaló ESG Research, SIEM ser un capacidad de línea de base dentro de entornos SOC continúa presentando desafíos a las organizaciones por ser demasiado costoso, excesivamente intensivo en recursos, requiriendo demasiada experiencia, y varios otros preocupaciones. Un ejemplo común de esto es cómo Los equipos SOC todavía debe crear manual reglas de correlación para encontrar la "malo" conexiones entre registros de diferentes productos, aplicaciones y redes. Con demasiada frecuencia, estos reglas inundared analistas con información y falsas alertas y hacer el producto demasiado ruidoso a efectivo.

La expansión superficie de ataque, que ahora lapsos Web, Nube, Datos, Red y más, también ha añadido una capa de complejidad. La seguridad la industria no puede solamente depender de sus clientes" analistas para configurar adecuadamente una solución de seguridad con un alcance tan amplio. Implementar solo las configuraciones correctas, ajustar cientos de analizadores e intérpretes de registros personalizados, definir reglas de correlación muy específicas, desarrollar los flujos de trabajo de corrección necesarios y mucho más eso"todo es demasiado.

reetecciones ahora brota de muchas herramientas en silos, también, incluyendo Sistema de Prevención de Intrusións (IPS) para protección de red, plataforma de protección de endpointss (EPP) implementado en sistemas administrados y solución Cloud Application Security Broker (CASB)s para sus aplicaciones SaaS. Correlacionar esas detecciones para pintar un completar La imagen es ahora un desafío aún mayor.

Tampoco hay "R" en SIEM es decir, no hay una respuesta inherente integrada en SIEM. Casi puedes compararlo con un incendio alarma que no es"t conectado a los rociadores.

Los SIEM han sido la base de las operaciones de seguridad durante décadas, y eso debe reconocerse. Afortunadamente, ellos"ahora se utilizan de forma más adecuada, es decir, para el registro, la agregacióny archivando.

Ahora, las soluciones de Endpoint Detection and Response (EDR) están absolutamente en el camino correcto Permitir que los analistas mejoren sus habilidades a través de investigaciones guiadas. y agilizar los esfuerzos de remediación, pero en última instancia sufre un punto ciego en la red. Del mismo modo, las soluciones de seguridad de red no"t ofrecer la telemetría y la visibilidad necesarias en todos los activos de sus terminales.

Considerando las alternativas

De Gartner"s Las 9 principales tendencias de seguridad y riesgo para 2020, "Surgen capacidades extendidas de detección y respuesta para mejorar la precisión y la productividad" clasificado como su tendencia # 1. Ellos notanre, "Están surgiendo soluciones de detección y respuesta extendidas (XDR) que recopilan y correlacionan automáticamente datos de varios productos de seguridad para mejorar la detección de amenazas y proporcionar una capacidad de respuesta a incidentesLos objetivos principales de una solución XDR son aumentar la precisión de detección y mejorar la eficiencia y productividad de las operaciones de seguridad."

Eso suena terriblemente similar a SIEM, entonces, ¿cómo es un XDR cualquier diferente de todos los orquestación de seguridad previa, detección, y soluciones de respuesta?

La respuesta es: Un XDR es una plataforma convergente que aprovecha una ontología común y lenguaje unificador. Un XDR efectivo debe reunir numerosas señales heterogéneas y devolver una homogénea visual y analitica representación.. XDR debe mostrar claramente las posibles correlaciones de seguridad (o en otras palabras, "historias de ataque") en el que debería centrarse el SOC. Tal solucion eliminaría los duplicados de información por un lado, pero enfatizaría los ataques verdaderamente de alto riesgo, mientras que filtraría las montañas de ruido. El resultado deseado no requeriría excediendo cantidades de trabajo manual; permitiendo Analistas de SOC a dejar de servir como un ejército de "traductores" y céntrate en el trabajo real liderando investigaciones y mitigar los ataques. Esta presentación normalizada de datos sería consciente del contexto y el contenido, estaría tecnológicamente avanzado, pero simple de entender para los analistas y actuar sobre.

Los SIEM se basan en datos, lo que significa que necesitan definiciones de datos, personalizado analizar reglas y paquetes de contenido prefabricados para proporcionar contexto retrospectivamente. Por el contrario, XDR se basa en hipótesis, aprovechando el poder de los motores de aprendizaje automático e inteligencia artificial para analizar datos de amenazas de alta fidelidad de una multitud de fuentes en todo el entorno para respaldar líneas de investigación específicas asignadas al marco MITRE ATT & CK.

El marco MITRE ATT & CK es eficaz para resaltar "cómo los malos hacen lo que hacen y cómo lo hacen." Si bien las medidas de prevención tradicionales son excelentes "detectarlo y detenerlo" protecciones, MITRE ATT & CK demuestra que hay muchos pasos que tienen lugar en el ciclo de vida del ataque que no"t obvio. Estas acciones no"t Activar alertas suficientes para generar la confianza necesaria para respaldar una reacción.

XDR no"t un solo producto. Más bien, se refiere a un conjunto de múltiples productos (y servicios) de seguridad que comprenden una plataforma unificada. UnEl enfoque XDR cambiaráprocesos y probablemente fusionar y fomentarcoordinación más estrecha entre diferentes funciones comoAnalistas de SOC, cazadores, personal de respuesta a incidentesy esadministradores.

La solución XDR ideal debe proporcionar capacidades mejoradas de detección y respuesta a través de terminales, redes y nube. infraestructuras. Necesita prioritisey predice amenazas importantes ANTES DE el ataque y prescribir las contramedidas necesarias que permitan la organisación para fortalecer proactivamente su entorno.

Figura 2: Dónde fallan los enfoques actuales de XDR

McAfee"s Solución MVISION XDR hace precisamente eso, al capacitar al SOC para que haga más con visibilidad y control unificados en los puntos finales, la red y la nube. McAfee XDR organiza tanto los activos de seguridad de McAfee como los que no son de McAfee para brindar una administración de amenazas cibernéticas procesable y brindar soporte a ambos investigaciones guiadas y automatizadas.

¿Qué pasaría si pudiera averiguar si está en el punto de mira de una campaña de las principales amenazas mediante el uso de la telemetría global de más de mil millones de sensores que rastrea automáticamente las nuevas campañas según la geografía y el sector vertical? ¿No sería eso?perspicaz?

“Muchas empresas quieren ser más proactivas pero no tienen los recursos ni el talento para ejecutar. McAfee puede ayudar a cerrar esta brecha al ofrecer a las organizaciones una perspectiva global en todo el panorama de amenazas con contexto local para responder de manera adecuada. De esta manera, McAfee puede respaldar una estrategia de nivel CISO que combina operaciones de riesgo y amenaza ".

– John Oltsik, analista principal y miembro de ESG

Pero, Aférrate… YOes esto todos solo otra "plataforma" jugar?

Ttoma un momento para considerar como "plataforma" ofrendas han evolucionado durante el añoorejas. Diseñado inicialmente para compensar la heterogeneidad y el volumen de fuentes de datos internas y fuentes de inteligencia de amenazas externas, tel núcleo El objetivo tiene predominantemente been al hombredatos de ifest centralmente desde un rango de vectores para optimizar las operaciones de seguridad esfuerzos. Entonces vimos la introducción de capacidades de gestión de casos.

Durante la última década, la seguridad la industria propuso resolver muchos de los desafíos presentados en los contextos del SOC a través de integraciones. usted haría comprar productos de algunos diferentes vendedores, OMS promesare sería todos trabajan juntos a través de la integración de API, y Básicamente darte un poco forma de pseudo-XDR resultados nosotros"estás explorando aquí.

Francamente, existen significativo limitaciones en ese enfoque. Ahi esta sin persistencia de datos; tu básicamente make solicituds al denominador API más bajo uno a uno. El modelo de intercambio de información fue un de una sola mano "pregunta y respuesta" aprovechando una metodología push-pull programada. El otro gran problema fue la incapacidad de extraer información en cualquier forma estaba limitado a la API disponible entre las partes participantes, con el resultado en última instancia solo tan bueno como el "más tonto" API.

¿Y qué hay de la falta de ontología compartida, es decir, poco o ningún objeto o atributo común? Había no componentes compartidos, como UI / UX, gestión de incidentes, registro, paneles, definiciones de políticas, autenticación de usuarios, etc.

Lo que se necesita desesperadamente es una plataforma subyacente abierta, esencialmente como una puerta de enlace de API universal escalada en la nube. ese leverages telas de mensajería como DXL que facilitan la fácil ex bi-lateralcambio entre muchos funciones de seguridad – donde los proveedores y las tecnologías de socios crean integraciones y sinergias estrechas para respaldar casos de uso específicos que benefician a los ecosistemas de SOC.

Es XDR, entonces, una solución o producto a ser adquirido? Or solo una estrategia de seguridad para ser adoptared?Potencialmente,"s ambos.Algunos los proveedores son soltando XDR soluciones que complementan las fortalezas de su cartera, y otras simplemente hacen alarde XDR-me gusta Capacidades

Pensamientos finales

SIEMs S tenfermo entregar resultados específicos para organizaciones y SOC, que no puede ser reemplazado por XDR. De hecho, con XDR, un SIEM puede ser incluso más valioso.

Fo la mayoría de las organizaciones, XDR estarán un viaje, no un destinación. Su habilidad para ser más eficaz a través de XDR wDependeré de su madurez y disposición paraabrazo todos lo requeridoprocesos.En términos de madurez en ciberseguridad, si"d calificar a su organización en un nivel medio a alto, la pregunta serproviene Cómo y cuando.

La mayoría de organisaciones que utilizan una detección y respuesta de punto final(EDR) probablemente esté bastante listapara abrazar XDR"scapacidades. Ya estan investigar y resolver amenazas de endpoints y ellos"estas listo para expandir este esfuerzo a entender como su adversarioies moverse por elir infraestructura, también.

Si tu"Me gustaría saber más sobre cómo McAfee aborda estos desafíos con MVISION XDR, no dude en contactarnos!





Enlace a la noticia original