Bezpečnostné operačné tímy (SecOps) sa snažia udržať krok s rastúcim a komplikovanejším povrchom útokov pomocou mnohých neprepojených jednoúčelových riešení, pri ktorých musia manuálne triediť a vyhodnocovať prívaly generovaných výstražných hlásení.
Hoci vždy existovala snaha o konsolidáciu a automatizáciu systémov kybernetickej bezpečnosti, väčšina analytikov a vedúcich pracovníkov v oblasti bezpečnosti sa zhoduje na tom, že je dnes nevyhnutné znížiť únavu z bezpečnostných výstrah a s tým súvisiaci počet prehliadnutých výstrah.
Riešení pre modernizáciu SecOps je mnoho, ale informácie o nich sú často neprehľadné, plné reklamných fráz, ktoré preceňujú ich výhody.
Preto v tomto článku vysvetlíme, ako konkrétne by mala vyzerať konsolidácia a automatizácia platforiem a ako zvyšuje efektivitu prevádzky. Urobíme to tak, že sa pozrieme na kľúčové funkcie Bitdefender GravityZone, jednotnej platformy na prevenciu hrozieb, ochranu a rozšírenú detekciu a reakciu.
Základ efektívnej automatizovanej prevencie a ochrany
Základom prístupu Bitdefenderu k zníženiu počtu prehliadnutých upozornení a únavy z upozornenia, je komplexný súbor technológií prevencie a ochrany.
Technológie ako Risk Analytics, Patch Management, Full Disk Encryption a Device Control znižujú plochu útoku. Hrozby, ktoré sa dostanú do užívateľských systémov, sú automaticky blokované ochrannými vrstvami, ako sú Tunable Machine Learning, Cloud Sandboxing, Fileless Attack Defense, Network Attack Defense a Exploit Defense.
Tieto vrstvy zabezpečenia spoločne účinne zastavujú aj pokročilé trvalé hrozby (APT) automaticky, ešte pred ich spustením, čím znižujú tak riziká úniku dát, ako aj počet výstrah, na ktoré musia analytici reagovať.
Konsolidovaná detekcia hrozieb a reakcie na ne nad rámec koncových bodov
Jednotná detekcia a reakcia je kľúčom k odhaleniu niekoľkých málo sofistikovaných útokov, ktorým sa podarí obísť ostatné obranné mechanizmy a k ich včasnému zastaveniu, aby sa zabránilo nepriaznivým dopadom na chod firmy.
Hlavnou výzvou pre tímy SecOps je ohromujúce množstvo výstrah, ktoré musia sledovať v oddelených systémoch, ako sú Endpoint Detection and Response (EDR), Cloud Workload Protection Platforms (CWPP), Network Detection and Response (NDR), Identity and Access Management (IAM) a aplikácie produktivity, ako je Office 365.
Používanie oddelených nástrojov na detekciu a reakciu znamená, že výstrahy neobsahujú dôležité súvislosti a sú zle triedené a prioritizované, takže skutočné hrozby budú pravdepodobne prekryté šumom výstrah a vyšetrovanie bude pravdepodobne pomalé.
Vzhľadom na to, že moderné útoky prechádzajú naprieč prostrediami, môže byť výsledkom rovnakého útoku niekoľko výstrah, ale ručná korelácia signálov naprieč systémami a vytvorenie prehľadu o celom útoku je náročné.
Bitdefender GravityZone eXtended Detection and Response (XDR) rieši tieto problémy rozšírením detekcie, vyšetrovania a reakcie mimo koncových bodov, automatickou integráciou funkcií naprieč sieťami, cloudami, aplikáciami pre produktivitu a identitami.
GravityZone XDR využíva natívnu integráciu senzorov a technológií na kľúč na zhromažďovanie informácií relevantných pre zabezpečenie v týchto prostrediach. Následne používa analytiku a vstavaný threat intelligence na detekciu podozrivých aktivít, koreláciu a konsolidáciu výstrah do incidentov, pričom automaticky vytvára vizuálnu reprezentáciu celého reťazca útokov.
Ako sa líši prístup Bitdefenderu od nástrojov SIEM a Open XDR?
Potreba robustnej jednotnej bezpečnostnej platformy a fenomén XDR sú natoľko rozšírené, že dodávatelia špecializujúci sa na EPP/EDR, SIEM, sieťovú bezpečnosť a ďalšie oblasti, vydávajú svoje verzie platformy XDR.
Jednotlivé kategórie nástrojov sa niekedy prekrývajú a odborové označenia sa používajú nejednotne. Aby sme vám pomohli preniknúť do nejasností, zverejnili sme prehľad hlavných rozdielov medzi SIEM, Native XDR a Open XDR a vy sa môžete pozrieť na ich možnosti a na to, ako by sa integrovali a transformovali vaše pracovné postupy. Niektoré nástroje môžu napríklad vytvárať dodatočnú réžiu
a vyžadovať príliš veľa odborných znalostí a času na údržbu a využitie.
Zjednotenie detekcie, vyšetrovania a reakcie na hrozby pomocou GravityZone XDR je dosiahnuté nasadením EDR a senzorov pre siete, identity, cloud a produktivitu.
Vďaka natívnemu prístupu sú správne informácie zhromažďované v predvídateľnom formáte a nie je potrebné vytvárať a udržiavať vlastné integrácie, ani nechať odborných analytikov vyvíjať a priebežne ladiť pravidlá detekcie. Ihneď po nasadení senzorov prúdia detekcie, ktoré sú vzájomne korelované naprieč systémami do rozšírených incidentov.
Ako analytici využívajú konsolidáciu, praktické poznatky a kontext na rýchlejšiu reakciu?
Pri prístupe na kartu Incidenty, v systéme GravityZone XDR, sa analytikom zobrazí zoznam rozšírených incidentov podľa priorít. Namiesto toho, aby sa analytici prehrabávali desiatkami signálov, ako sú podozrivé prihlásenia a potom samostatne desiatkami incidentov na koncových a sieťových bodoch, začínajú s incidentmi s najvyššou prioritou a môžu sa ľahko prepracovať k pochopeniu toho, ako jedno z podozrivých prihlásení súvisí s ďalšími podozrivými sieťovými a endpointovými aktivitami.
Prístup GravityZone XDR sa sústredí na poskytovanie kontextu a čo najrýchlejšie zodpovedanie kľúčových otázok, ktoré musí analytik zodpovedať, vrátane týchto: aká bola hlavná príčina útoku, aký bol jeho dopad, čo treba urobiť pre zastavenie alebo odstránenie hrozby? Ľudsky čitateľný prehľad popisuje rozšírený incident vrátane príčiny, reťazca udalostí a ovplyvnených systémov, ako aj taktiky a techniky MITRE použitej útočníkom. Pre každý rozšírený incident je automaticky generovaný graf útoku, ktorý zobrazuje ucelený obraz reťazca a časovú os útoku naprieč koncovými bodmi, sieťou, cloudmi, aplikáciami produktivity alebo identitami.
Možnosti vyhľadávania historických dát a Live Search umožňujú bezpečnostným tímom vykonávať vyhľadávanie hrozieb a aktívnu reakciu na incidenty a rýchlo a ľahko identifikovať chybné konfigurácie a zraniteľnosti s ohľadom na dodržiavanie predpisov alebo noriem a osvedčených postupov týkajúcich sa zabezpečenia.
Využiteľné poznatky sa zameriavajú na pochopenie a reakciu tímov na incidenty, bez zdĺhavého manuálneho vyšetrovania, ktoré zaberá čas skúsených odborníkov. Pre lepšiu orientáciu poskytuje GravityZone XDR aj odporúčania na prijatie opatrení, ktoré pomáhajú rýchlo reagovať na hrozby aj tým analytikom, ktorí nemajú dostatok času. Obmedzenie útoku a jeho riešenie sa urýchľuje pomocou reakcií (v rámci celej organizácie), ktoré sa vykonávajú z rovnakej obrazovky GravityZone. Takéto akcie na jedno kliknutie zahŕňajú: izoláciu koncových bodov, odstránenie alebo pozastavenie e-mailových účtov alebo zakázanie účtov Active Directory.
Ďalšie kroky na zlepšenie integrácie a automatizácie zabezpečenia
Existujú stovky dodávateľov a takmer rovnaký počet "zázračných" technológií, ktoré tvrdia, že dokážu konsolidovať a automatizovať monitorovanie zabezpečenia a reakciu na incidenty.
Prístup Bitdefenderu zvyšuje efektivitu pracovných postupov SecOps tým, že blokuje pokročilejšie hrozby ešte pred ich spustením a automaticky triedi, koreluje a konsoliduje výstrahy a incidenty.
Na rozdiel od iných nástrojov SIEM alebo XDR nie je potrebné vytvárať a udržiavať ručné integrácie a pravidlá detekcie. Namiesto zvyšovania záťaže pre správu, kombinuje Bitdefender bohatý bezpečnostný kontext a využiteľné poznatky, ktoré poskytujú pridanú hodnotu prostredníctvom lepších bezpečnostných výstupov a ušetreného času, takže sa bezpečnostné tímy môžu sústrediť na činnosti
s dopadom, ktoré znižujú riziká pre organizáciu. Zároveň, keď je potrebné pokročilé vyšetrovanie, majú tímy k dispozícii výkonné vyhľadávacie funkcie pre aktívne vyhľadávanie hrozieb, zhromažďovanie forenzných informácií a identifikáciu zraniteľností.
Váhate, či je pre Vašu organizáciu alebo firmu Bitdefender riešenie to pravé? Naši experti Vám radi poradia, stačí si rezervovať konzultáciu prostredníctvom nášho formulára.
Comments