Bezpečnostní operační týmy (SecOps) se snaží udržet krok s rostoucím a komplikovanějším povrchem útoků pomocí mnoha nepropojených jednoúčelových řešení, u kterých musí manuálně třídit a vyhodnocovat přívaly generovaných výstražných hlášení.
Ačkoli vždy existovala snaha o konsolidaci a automatizaci systémů kybernetické bezpečnosti, většina analytiků a vedoucích pracovníků v oblasti bezpečnosti se shoduje na tom, že je dnes nezbytně nutné snížit únavu z bezpečnostních výstrah., a s tím související počet přehlédnutých výstrah.
Řešení pro modernizaci SecOps je mnoho, ale informace o nich jsou často nepřehledné, plné reklamních frází, které přeceňují jejich výhody.
Proto v tomto článku vysvětlíme, jak konkrétně by měla vypadat konsolidace a automatizace platforem, a jak zvyšuje efektivitu provozu. Uděláme to tak, že se podíváme na klíčové funkce Bitdefender GravityZone, jednotné platformy pro prevenci hrozeb, ochranu a rozšířenou detekci a reakci.
Základ efektivní automatizované prevence a ochrany
Základem přístupu Bitdefenderu ke snížení počtu přehlédnutých upozornění a únavy z upozornění, je komplexní soubor technologií prevence a ochrany.
Technologie, jako je Risk Analytics, Patch Management, Full Disk Encryption a Device Control, snižují plochu útoku. Hrozby, které se dostanou do uživatelských systémů, jsou automaticky blokovány ochrannými vrstvami, jako jsou Tunable Machine Learning, Cloud Sandboxing, Fileless Attack Defense, Network Attack Defense a Exploit Defense.
Tyto vrstvy zabezpečení společně účinně zastavují i pokročilé trvalé hrozby (APT) automaticky, ještě před jejich spuštěním, čímž snižují jak rizika úniku dat, tak počet výstrah, na které musí analytici reagovat.
Konsolidovaná detekce hrozeb a reakce na ně nad rámec koncových bodů
Jednotná detekce a reakce je klíčem k odhalení několika málo sofistikovaných útoků, kterým se podaří obejít ostatní obranné mechanismy, a k jejich včasnému zastavení, aby se zabránilo nepříznivým dopadům na chod firmy.
Hlavní výzvou pro týmy SecOps je ohromující množství výstrah, které musí sledovat v oddělených systémech, jako jsou Endpoint Detection and Response (EDR), Cloud Workload Protection Platforms (CWPP), Network Detection and Response (NDR), Identity and Access Management (IAM) a aplikace produktivity, jako je Office 365.
Používání oddělených nástrojů pro detekci a reakci znamená, že výstrahy neobsahují důležité souvislosti a jsou špatně tříděny a prioritizovány, takže skutečné hrozby budou pravděpodobně překryty šumem výstrah, a vyšetřování bude pravděpodobně pomalé.
Vzhledem k tomu, že moderní útoky procházejí napříč prostředími, může být výsledkem stejného útoku několik výstrah, ale ruční korelace signálů napříč systémy a vytvoření přehledu o celém útoku je náročné.
Bitdefender GravityZone eXtended Detection and Response (XDR) řeší tyto problémy rozšířením detekce, vyšetřování a reakce mimo koncové body, automatickou integrací funkcí napříč sítěmi, cloudy, aplikacemi pro produktivitu a identitami.
GravityZone XDR využívá nativní integrace senzorů a technologií na klíč ke shromažďování informací relevantních pro zabezpečení v těchto prostředích. Následně používá analytiku a vestavěný threat intelligence k detekci podezřelých aktivit, korelaci a konsolidaci výstrah do incidentů, přičemž automaticky vytváří vizuální reprezentaci celého řetězce útoků.
Jak se liší přístup Bitdefenderu od nástrojů SIEM a Open XDR?
Potřeba robustní jednotné bezpečnostní platformy a fenomén XDR jsou natolik rozšířené, že dodavatelé specializující se na EPP/EDR, SIEM, síťovou bezpečnost a další oblasti, vydávají své verze platformy XDR.
Jednotlivé kategorie nástrojů se někdy překrývají a oborová označení se používají nejednotně. Abychom vám pomohli proniknout do nejasností, zveřejnili jsme přehled hlavních rozdílů mezi SIEM, Native XDR a Open XDR, a vy se můžete podívat na jejich možnosti a na to, jak by se integrovaly a transformovaly vaše pracovní postupy. Některé nástroje mohou například vytvářet dodatečnou režii a vyžadovat příliš mnoho odborných znalostí a času na údržbu a využití.
Sjednocení detekce, vyšetřování a reakce na hrozby pomocí GravityZone XDR je dosaženo nasazením EDR a senzorů pro sítě, identity, cloud a produktivitu.
Díky nativnímu přístupu jsou správné informace shromažďovány v předvídatelném formátu, a není třeba vytvářet a udržovat vlastní integrace, ani nechat odborné analytiky vyvíjet a průběžně ladit pravidla detekce. Ihned po nasazení senzorů proudí detekce, které jsou vzájemně korelovány napříč systémy do rozšířených incidentů.
Jak analytici využívají konsolidaci, praktické poznatky a kontext k rychlejší reakci?
Při přístupu na kartu Incidenty, v systému GravityZone XDR, se analytikům zobrazí seznam rozšířených incidentů podle priorit. Místo aby se analytici prohrabávali desítkami signálů, jako jsou podezřelá přihlášení, a pak samostatně desítkami incidentů na koncových a síťových bodech, začínají s incidenty s nejvyšší prioritou a mohou se snadno propracovat k pochopení toho, jak jedno z podezřelých přihlášení souvisí s dalšími podezřelými síťovými a endpointovými aktivitami.
Přístup GravityZone XDR se soustředí na poskytování kontextu a co nejrychlejší zodpovězení klíčových otázek, které musí analytik zodpovědět, včetně těchto: jaká byla hlavní příčina útoku, jaký byl jeho dopad, co je třeba udělat pro zastavení nebo odstranění hrozby? Lidsky čitelný přehled popisuje rozšířený incident včetně příčiny, řetězce událostí a ovlivněných systémů, jakož i taktiky a techniky MITRE použité útočníkem. Pro každý rozšířený incident je automaticky generován graf útoku, který zobrazuje ucelený obraz řetězce a časové osy útoku napříč koncovými body, sítí, cloudy, aplikacemi produktivity nebo identitami.
Možnosti vyhledávání historických dat a Live Search umožňují bezpečnostním týmům provádět vyhledávání hrozeb a aktivní reakci na incidenty, a rychle a snadno identifikovat chybné konfigurace a zranitelnosti s ohledem na dodržování předpisů nebo norem, a osvědčených postupů týkajících se zabezpečení.
Využitelné poznatky se zaměřují na pochopení a reakci týmů na incidenty, bez zdlouhavého manuálního vyšetřování, které zabírá čas zkušených odborníků. Pro lepší orientaci poskytuje GravityZone XDR také doporučení k přijetí opatření, která pomáhají rychle reagovat na hrozby i těm analytikům, kteří nemají dostatek času. Omezení útoku a jeho řešení se urychluje pomocí reakcí (v rámci celé organizace), které jsou prováděny ze stejné obrazovky GravityZone. Takové akce na jedno kliknutí zahrnují: izolaci koncových bodů, odstranění nebo pozastavení e-mailových účtů nebo zakázání účtů Active Directory.
Další kroky ke zlepšení integrace a automatizace zabezpečení
Existují stovky dodavatelů a téměř stejný počet "zázračných" technologií, které tvrdí, že dokáží konsolidovat a automatizovat monitorování zabezpečení a reakci na incidenty.
Přístup Bitdefenderu zvyšuje efektivitu pracovních postupů SecOps tím, že blokuje pokročilejší hrozby ještě před jejich spuštěním, a automaticky třídí, koreluje a konsoliduje výstrahy a incidenty.
Na rozdíl od jiných nástrojů SIEM nebo XDR není třeba vytvářet a udržovat ruční integrace a pravidla detekce. Namísto zvyšování zátěže pro správu, kombinuje Bitdefender bohatý bezpečnostní kontext a využitelné poznatky, které poskytují přidanou hodnotu prostřednictvím lepších bezpečnostních výstupů a ušetřeného času, takže se bezpečnostní týmy mohou soustředit na činnosti s dopadem, které snižují rizika pro organizaci. Zároveň, když je potřeba pokročilé vyšetřování, mají týmy k dispozici výkonné vyhledávací funkce pro aktivní vyhledávání hrozeb, shromažďování forenzních informací a identifikaci zranitelností.
Váháte, zda je pro Vaši organizaci nebo firmu Bitdefender řešení to pravé? Naši experti Vám rádi poradí, stačí si rezervovat konzultaci prostřednictvím našeho formuláře.
Comments