Notícias de dispositivos móveis, gadgets, aplicativos Android

Proteja sua rede contra ameaças cibernéticas avançadas com SIEM & Abrir XDR

O gerenciamento de eventos e informações de segurança, ou SIEM, foi introduzido há cerca de 17 anos. Faz sentido que um SIEM de próxima geração surja agora, ou pode já estar atrasado. Há necessidade de uma atualização mais poderosa do sistema que está em vigor há quase duas décadas.

Alguns dizem que o gerenciamento tradicional de informações e eventos de segurança está morrendo e que as organizações teriam que fazer a transição para o SIEM da próxima geração, gostem ou não.

É necessário adotar um novo sistema baseado em nuvem e orientado por análises. Espera-se também que este novo sistema seja focado nos resultados. Não é restringido por um quadro datado e por procedimentos demasiado rigorosos.

No entanto, o SIEM de próxima geração não é a única atualização à qual as organizações podem recorrer à medida que melhoram sua postura de segurança. Uma solução relacionada chamada Open XDR oferece resultados comparáveis ​​através de uma abordagem e estrutura diferentes.

Saiba mais sobre a próxima geração SIEM e Open XDR nas discussões abaixo.

Uma análise mais detalhada do SIEM de próxima geração

Não existe uma definição definitiva ou universalmente aceita para SIEM de próxima geração. No entanto, um bom ponto de partida para estabelecer a sua natureza reside na definição da Gartner: uma tecnologia concebida para “apoiar a deteção de ameaças, a conformidade e a gestão de incidentes de segurança através da recolha e análise de eventos de segurança e de uma ampla variedade de outros eventos e fontes de dados contextuais. ”

Quando aplicada ao conceito de SIEM de próxima geração, a definição permanece em grande parte a mesma, com a introdução de melhorias sem mudanças que alteram o paradigma.

SIEM de próxima geração é mais avançado do que o SIEM básico, mas tem a mesma estrutura e objetivos. Não é uma solução nova que emprega diferentes abordagens e princípios de segurança cibernética.

Ele pode utilizar tecnologias de big data e plug-ins de modelagem de dados, oferecer fluxos de trabalho e interfaces/experiências de usuário aprimorados e fornecer recursos adicionais como análise de comportamento de usuário e entidade (UEBA) e integração aberta com SOAR. No entanto, seu processo e objetivos são basicamente os mesmos.

Nós recomendamos:  Relatório: YouTube trabalhando em ‘loja de canais’ para assinatura de serviços de streaming

Os novos recursos do SIEM de próxima geração podem variar dependendo do fornecedor, mas os seguintes recursos característicos geralmente estão presentes.

Operação nativa da nuvem – Como a infraestrutura de TI moderna depende cada vez mais da computação em nuvem, só faz sentido que o SIEM de próxima geração opere nativamente na nuvem e seja compatível com sistemas baseados em nuvem.

Isso permite o monitoramento unificado de aplicativos, dispositivos, servidores e endpoints. Isso torna a coleta de logs em diferentes fontes mais eficiente.

Detecção avançada de ameaças e priorização de incidentes – Em contraste com o SIEM convencional, a iteração de próxima geração é capaz de identificar e antecipar ameaças e ataques. Ele pode descobrir atividades suspeitas, comportamentos incomuns e padrões que coincidem com atividades maliciosas.

Melhor tratamento de falsos positivos – Alertas falsos positivos não são completamente evitáveis. No entanto, é claro que SIEM convencional tem muitos alertas falsos. O SIEM de última geração emprega inteligência artificial e mecanismos de correlação de eventos para melhorar a precisão da detecção.

Processamento de dados econômico – O SIEM legado é frequentemente associado à avaliação de dados baseada em volume. Dessa forma, quanto mais dados são coletados e analisados, maior se torna o custo de operação do SIEM. O SIEM de nova geração aborda esse problema por meio de um modelo de avaliação de dados com preço fixo. Reduz significativamente o custo de ingestão de dados.

Melhor integração – O SIEM de última geração foi projetado para funcionar com mais ferramentas e sistemas de segurança, incluindo SOAR (automação e resposta de orquestração de segurança), ferramentas de visualização em tempo real, análise de comportamento e inteligência de ameaças de fontes abertas/públicas, personalizadas e outras.

Considerando uma alternativa de última geração

Embora o SIEM de nova geração represente um salto significativo em relação ao seu antecessor, está longe de ser perfeito. Tem alguns pontos fracos. Por um lado, a baixa eficiência no gerenciamento de dados é inerente à estrutura do SIEM.

Tem havido esforços para resolver esta questão com o lançamento de plataformas SIEM melhoradas de próxima geração, mas ainda não existe um processo sistemático e contínuo para recolha, armazenamento, correlação e priorização de dados.

Nós recomendamos:  Por que você deve criar um bot do Messenger para sua marca pessoal

As equipes de segurança geralmente enfrentam enormes quantidades de dados de segurança desorganizados enquanto tentam descobrir riscos e responder adequadamente.

Por outro lado, existem preocupações sobre a predisposição do SIEM para fazendo com que as equipes de segurança trabalhem mais, e não de maneira mais inteligente. A estrutura do SIEM não oferece condições ideais para lidar com big data e tirar proveito da inteligência artificial.

Embora seja possível fazer a correlação de dados de segurança com o SIEM, a eficiência do processo poderia necessitar de melhorias adicionais.

Tem havido esforços para resolver este problema com o lançamento de soluções SIEM de última geração que fornecem mecanismos de processamento e priorização de dados prontos para uso, mas ainda não provaram sua eficácia.

Além disso, o trabalho manual continua a ser essencial no SIEM, como evidenciado pela necessidade de regras escritas por humanos ou de configurações dirigidas por humanos.

Além disso, mesmo com melhorias na integração do SIEM de próxima geração, ainda pode ser bastante seletivo. Existem desafios em fazê-lo funcionar com as ferramentas de segurança comumente usadas pelas organizações.

Isto se deve principalmente à complexidade dos modelos de dados usados ​​por diferentes fornecedores. Não é impossível encontrar formas de integração, mas pode ser entediante. Além disso, surgem problemas quando novas versões de ferramentas integradas são lançadas por diferentes fornecedores, o que resulta em problemas de integração que precisam ser resolvidos individualmente.

Abrir XDR

Open eXtended Detection and Response ou Open XDR é considerado uma alternativa ao SIEM de próxima geração, mas também pode ser considerado um complemento. Tem semelhanças com o SIEM, mas é diferente principalmente devido à estrutura distinta e à facilidade de integração.

Ambos procuram alcançar objectivos comparáveis, mas os seus métodos não são os mesmos.

O Open XDR possui abordagens distintas que permitem enfrentar ameaças à segurança de formas ou métodos não cobertos pelo SIEM tradicional e de próxima geração.

Nós recomendamos:  Como usar a ferramenta Disk Speedup para melhorar o desempenho do seu PC?

A estrutura Open XDR é notavelmente diferente do SIEM. Em particular, a forma como trata os dados pode ser considerada mais eficaz e eficiente.

Ele força os dados a passarem por normalização e enriquecimento antes de serem armazenados em um data lake ou em um sistema de processamento de big data, o que contrasta fortemente com o que é convencional. SIM faz.

Isto permite que o Open XDR maximize os benefícios da inteligência artificial, uma vez que os dados de segurança coletados e armazenados já estão organizados em um formato consistente e sensato.

Além disso, o Open XDR torna possível abordar vários riscos por meio de diferentes controles de segurança usando um painel unificado com uma interface de usuário e experiência de usuário familiares.

Também facilita o uso de UEBA, SOAR, NDR, EDR e várias outras ferramentas em uma única plataforma.

Para concluir

SIEM e Open XDR de próxima geração são algumas das novas tecnologias de segurança cibernética com as quais as organizações eventualmente terão que se familiarizar à medida que melhoram suas defesas cibernéticas.

As ameaças evoluem contínua e rapidamente. É inevitável adotar versões atualizadas de informações de segurança e gerenciamento de eventos e detecção e resposta estendidas. No futuro, serão desenvolvidas novas tecnologias para combater novas ameaças.

No entanto, isto não significa que as organizações devam adotar cegamente novas soluções de cibersegurança que pretendam acompanhar a evolução das ameaças. Também é importante examinar estas novas soluções para determinar se correspondem às necessidades de uma organização.

A simples atualização para uma solução de próxima geração pode não ser suficiente. Poderá ser necessária uma abordagem diferente, algo que pode ser oferecido por uma solução alternativa ou suplementar.