top of page
Bitdefender

Konsolidace výstrah a reakce na incidenty nad rámec koncových bodů

Aktualizováno: 29. 8. 2023



Bezpečnostní operační týmy (SecOps) se snaží udržet krok s rostoucím a komplikovanějším povrchem útoků pomocí mnoha nepropojených jednoúčelových řešení, u kterých musí manuálně třídit a vyhodnocovat přívaly generovaných výstražných hlášení.


Ačkoli vždy existovala snaha o konsolidaci a automatizaci systémů kybernetické bezpečnosti, většina analytiků a vedoucích pracovníků v oblasti bezpečnosti se shoduje na tom, že je dnes nezbytně nutné snížit únavu z bezpečnostních výstrah., a s tím související počet přehlédnutých výstrah.


Řešení pro modernizaci SecOps je mnoho, ale informace o nich jsou často nepřehledné, plné reklamních frází, které přeceňují jejich výhody.


Proto v tomto článku vysvětlíme, jak konkrétně by měla vypadat konsolidace a automatizace platforem, a jak zvyšuje efektivitu provozu. Uděláme to tak, že se podíváme na klíčové funkce Bitdefender GravityZone, jednotné platformy pro prevenci hrozeb, ochranu a rozšířenou detekci a reakci.


Základ efektivní automatizované prevence a ochrany


Základem přístupu Bitdefenderu ke snížení počtu přehlédnutých upozornění a únavy z upozornění, je komplexní soubor technologií prevence a ochrany.


Technologie, jako je Risk Analytics, Patch Management, Full Disk Encryption a Device Control, snižují plochu útoku. Hrozby, které se dostanou do uživatelských systémů, jsou automaticky blokovány ochrannými vrstvami, jako jsou Tunable Machine Learning, Cloud Sandboxing, Fileless Attack Defense, Network Attack Defense a Exploit Defense.


Tyto vrstvy zabezpečení společně účinně zastavují i pokročilé trvalé hrozby (APT) automaticky, ještě před jejich spuštěním, čímž snižují jak rizika úniku dat, tak počet výstrah, na které musí analytici reagovat.


Konsolidovaná detekce hrozeb a reakce na ně nad rámec koncových bodů


Jednotná detekce a reakce je klíčem k odhalení několika málo sofistikovaných útoků, kterým se podaří obejít ostatní obranné mechanismy, a k jejich včasnému zastavení, aby se zabránilo nepříznivým dopadům na chod firmy.


Hlavní výzvou pro týmy SecOps je ohromující množství výstrah, které musí sledovat v oddělených systémech, jako jsou Endpoint Detection and Response (EDR), Cloud Workload Protection Platforms (CWPP), Network Detection and Response (NDR), Identity and Access Management (IAM) a aplikace produktivity, jako je Office 365.


Používání oddělených nástrojů pro detekci a reakci znamená, že výstrahy neobsahují důležité souvislosti a jsou špatně tříděny a prioritizovány, takže skutečné hrozby budou pravděpodobně překryty šumem výstrah, a vyšetřování bude pravděpodobně pomalé.


Vzhledem k tomu, že moderní útoky procházejí napříč prostředími, může být výsledkem stejného útoku několik výstrah, ale ruční korelace signálů napříč systémy a vytvoření přehledu o celém útoku je náročné.


Bitdefender GravityZone eXtended Detection and Response (XDR) řeší tyto problémy rozšířením detekce, vyšetřování a reakce mimo koncové body, automatickou integrací funkcí napříč sítěmi, cloudy, aplikacemi pro produktivitu a identitami.


GravityZone XDR využívá nativní integrace senzorů a technologií na klíč ke shromažďování informací relevantních pro zabezpečení v těchto prostředích. Následně používá analytiku a vestavěný threat intelligence k detekci podezřelých aktivit, korelaci a konsolidaci výstrah do incidentů, přičemž automaticky vytváří vizuální reprezentaci celého řetězce útoků.


Jak se liší přístup Bitdefenderu od nástrojů SIEM a Open XDR?


Potřeba robustní jednotné bezpečnostní platformy a fenomén XDR jsou natolik rozšířené, že dodavatelé specializující se na EPP/EDR, SIEM, síťovou bezpečnost a další oblasti, vydávají své verze platformy XDR.


Jednotlivé kategorie nástrojů se někdy překrývají a oborová označení se používají nejednotně. Abychom vám pomohli proniknout do nejasností, zveřejnili jsme přehled hlavních rozdílů mezi SIEM, Native XDR a Open XDR, a vy se můžete podívat na jejich možnosti a na to, jak by se integrovaly a transformovaly vaše pracovní postupy. Některé nástroje mohou například vytvářet dodatečnou režii a vyžadovat příliš mnoho odborných znalostí a času na údržbu a využití.


Sjednocení detekce, vyšetřování a reakce na hrozby pomocí GravityZone XDR je dosaženo nasazením EDR a senzorů pro sítě, identity, cloud a produktivitu.


Díky nativnímu přístupu jsou správné informace shromažďovány v předvídatelném formátu, a není třeba vytvářet a udržovat vlastní integrace, ani nechat odborné analytiky vyvíjet a průběžně ladit pravidla detekce. Ihned po nasazení senzorů proudí detekce, které jsou vzájemně korelovány napříč systémy do rozšířených incidentů.


Jak analytici využívají konsolidaci, praktické poznatky a kontext k rychlejší reakci?


Při přístupu na kartu Incidenty, v systému GravityZone XDR, se analytikům zobrazí seznam rozšířených incidentů podle priorit. Místo aby se analytici prohrabávali desítkami signálů, jako jsou podezřelá přihlášení, a pak samostatně desítkami incidentů na koncových a síťových bodech, začínají s incidenty s nejvyšší prioritou a mohou se snadno propracovat k pochopení toho, jak jedno z podezřelých přihlášení souvisí s dalšími podezřelými síťovými a endpointovými aktivitami.


Přístup GravityZone XDR se soustředí na poskytování kontextu a co nejrychlejší zodpovězení klíčových otázek, které musí analytik zodpovědět, včetně těchto: jaká byla hlavní příčina útoku, jaký byl jeho dopad, co je třeba udělat pro zastavení nebo odstranění hrozby? Lidsky čitelný přehled popisuje rozšířený incident včetně příčiny, řetězce událostí a ovlivněných systémů, jakož i taktiky a techniky MITRE použité útočníkem. Pro každý rozšířený incident je automaticky generován graf útoku, který zobrazuje ucelený obraz řetězce a časové osy útoku napříč koncovými body, sítí, cloudy, aplikacemi produktivity nebo identitami.


Možnosti vyhledávání historických dat a Live Search umožňují bezpečnostním týmům provádět vyhledávání hrozeb a aktivní reakci na incidenty, a rychle a snadno identifikovat chybné konfigurace a zranitelnosti s ohledem na dodržování předpisů nebo norem, a osvědčených postupů týkajících se zabezpečení.


Využitelné poznatky se zaměřují na pochopení a reakci týmů na incidenty, bez zdlouhavého manuálního vyšetřování, které zabírá čas zkušených odborníků. Pro lepší orientaci poskytuje GravityZone XDR také doporučení k přijetí opatření, která pomáhají rychle reagovat na hrozby i těm analytikům, kteří nemají dostatek času. Omezení útoku a jeho řešení se urychluje pomocí reakcí (v rámci celé organizace), které jsou prováděny ze stejné obrazovky GravityZone. Takové akce na jedno kliknutí zahrnují: izolaci koncových bodů, odstranění nebo pozastavení e-mailových účtů nebo zakázání účtů Active Directory.


Další kroky ke zlepšení integrace a automatizace zabezpečení


Existují stovky dodavatelů a téměř stejný počet "zázračných" technologií, které tvrdí, že dokáží konsolidovat a automatizovat monitorování zabezpečení a reakci na incidenty.


Přístup Bitdefenderu zvyšuje efektivitu pracovních postupů SecOps tím, že blokuje pokročilejší hrozby ještě před jejich spuštěním, a automaticky třídí, koreluje a konsoliduje výstrahy a incidenty.


Na rozdíl od jiných nástrojů SIEM nebo XDR není třeba vytvářet a udržovat ruční integrace a pravidla detekce. Namísto zvyšování zátěže pro správu, kombinuje Bitdefender bohatý bezpečnostní kontext a využitelné poznatky, které poskytují přidanou hodnotu prostřednictvím lepších bezpečnostních výstupů a ušetřeného času, takže se bezpečnostní týmy mohou soustředit na činnosti s dopadem, které snižují rizika pro organizaci. Zároveň, když je potřeba pokročilé vyšetřování, mají týmy k dispozici výkonné vyhledávací funkce pro aktivní vyhledávání hrozeb, shromažďování forenzních informací a identifikaci zranitelností.




Váháte, zda je pro Vaši organizaci nebo firmu Bitdefender řešení to pravé? Naši experti Vám rádi poradí, stačí si rezervovat konzultaci prostřednictvím našeho formuláře.


46 zobrazení0 komentářů

Nejnovější příspěvky

Zobrazit vše

Comments


Commenting has been turned off.
bottom of page