XDR tehnologija kao odgovor na SIEM rješenja

Organizacije su u posljednje vrijeme sve više suočene s naprednim prijetnjama. Na to su posebno utjecale nove okolnosti poput remote rada. Članovi IT timova zaduženi za sigurnost organizacija ili tvrtki pritom moraju ulagati velike napore da bi potencijalne prijetnje prepoznali. Krajolik prijetnji je podložan brzim promjenama, a tvrtke često nisu spremne na brzu adaptaciju i djelovanje. Trend Micro je u obliku XDR tehnologije ponudio efikasan odgovor na tradicionalne tipove zaštite, što uključuje i SIEM.

Tradicionlni pristup obrani od sigurnosnih prijetnji danas je neadekvatan. Da bi se napadi kroz logove detaljno analizirali, potrebno je uložiti puno vremena i truda. Budući da količina podataka koju je potrebno analizirati konstantno raste, organizacije imaju limitirane resurse detekcije. Čak i nakon sveobuhvatne analize, ne uspijeva se stvoriti kompletna slika o onome što se dogodilo. Što je najvažnije, često je teško odrediti i je li sam napadač uklonjen s mreže.

Problem predstavljaju i izolirani silosi informacija. Na primjer, često dolazi do je manjka korelacije podataka. Primjerice, o e-mail prijetnjama s informacijama o tome kako se to odrazilo na endpointovima. Spomenute e-mail prijetnje pritom se odnose na aktivnosti proizašle iz socijalnog inženjeringa. Pritom su phishing, baiting, prikupljanje informacija o žrtvi i slično najčešći tipovi.

Dodatni problem u detekciji prijetnji je potpuno kriptiranje sadržaja na mrežnom transportu (TLS i HTTPS postaju dominantni protokol). Osnovna svrha kriptiranja je čuvanje povjerljivosti i privatnosti informacija. Istovremeno se smanjuje doseg sigurnosnih mrežnih rješenja koji analiziraju sadržaj na mreži. Budući da je mrežna inspekcija limitirana, kretnje napadača na mreži su nejasne. Ranjivost sustava se tako povećava.

Zašto SIEM rješenja nisu cjelovita priča u zaštiti od naprednih prijetnji?

SIEM (Security Information and Event Management) je zaštita bazirana na analizi log zapisa. Od ranih se 2000-ih godina, SIEM se proklamira kao set alata koji IT stručnjacima olakšava posao. Pritom se ističe prednost prikupljanja svih logova i sigurnosnih događaja iz poslužitelja, aplikacija i sigurnosnih uređaja na jedno centralno mjesto. To kasnije treba olakšati sukladnost s različitim regulativama, ali i identificirati malware te druge maliciozne prijetnje.

SIEM funkcionira na principu upravljanja sigurnosnim informacijama (pohrana i analiza) te sigurnosnim događajima (praćenje, povezivanje i obavještavanje). Cilj je uputiti organizacije na određenu prijetnju i pomoći u njezinom rješavanju.

U praksi, uspješna implementacija SIEM rješenja unutar neke tvrtke dugotrajan je proces koji iziskuje visoke troškove održavanja. Pokazuje se da se SIEM rješenja nisu prilagodila sigurnosnim izazovima organizacija, a sama implementacija obiluje poteškoćama. Često nitko neće imati vremena za kvalitetnu analizu prijetnji, odnosno provjeravanje logova. S druge strane, zaštita bazirana na SIEM rješenju će funkcionirati samo ako se sigurnosna analiza bazira na unaprijed definiranim pravilima. U praksi se radi o ekspertnim pravilima koja često nikome u organizaciji nisu poznata.

Posljedično, SIEM alati će tvrtkama sve teže pomagati kod stvaranja svijesti o situaciji tokom modernih napada. Kako se količina i složenost podataka neprestano povećava, tradicionalna SIEM rješenja postaju nedostatna. Zbog opsežnosti sigurnosnih prijetnji, svaka tvrtka danas treba razmisliti o proaktivnijem i agilnijem pristupu sigurnosnoj infrastrukturi.

Trend Micro Vision One kao odgovor na SIEM rješenja

Trend Micro Vision One

Kao što je ranije spomenuto, tvrtke se danas sve više suočavaju s malicioznim napadačima koji su u stanju zaobići i najbolje sigurnosne prepreke. Također, sigurnosni slojevi i dijelovi IT sustava često nisu međusobno povezani, što otežava analizu informacija i otkrivanje potencijalnih prijetnji (npr. korelacija e-mail i endpoint logova).

Sigurnosni timovi se, u drugim slučajevima, suočavaju s prevelikim brojem upozorenja, a to oduzima potrebne resurse i vrijeme za istragu. Nepotpun uvid u trenutni sigurnosni status tvrtke ujedno limitira timove u budućem djelovanju. Naime, teško je odrediti buduće fokuse i prioritete, odnosno odrediti koje sigurnosne akcije treba poduzeti.

Trend Micro Vision One, platforma koja se odlikuje nadograđenim XDR rješenjima (Extended Detection and Response), rasterećuje rad internih IT zaposlenika, odnosno eliminira uloženo vrijeme detekcije. Radi se o svojevrsnom cross-layer rješenju koje spaja više proizvoda u jedinstven alat zaštite i nudi uslugu ekspertnog znanja utjelovljenu na pravilima.

Osnovna namjena platforme je detekcija svih potencijalnih prijetnji u okruženju, odnosno određivanje prioriteta i njihova kategorizacija. Sve ranjivosti se detektiraju putem ekspertne sigurnosne analitike, a analiza može pokrivati jedno ili više područja. XDR nadogradnja omogućuje laku analizu krajnjih točki (endpoints), e-pošte, poslužitelja, mreže i oblaka. Korelacijom svih segmenata IT sustava, čak i onih koji korisniku mogu izgledati potpuno bezopasno, sprječava se širenje računalne zaraze.

Krajnjem korisniku se kroz jednu platformu nudi prikaz svih događaja na sigurnosnim slojevima. Detekcija potencijalnih ranjivosti se uvelike pojednostavljuje, što otvara put brzom djelovanju. Primjerice, korisnik u kratkom vremenu može poduzeti neposredne akcije poput izoliranja uređaja, prekida rada pojedinih procesa ili brisanja osjetljive e-pošte, i to sve s jedne platforme.

Ključne koristi XDR tehnologije u Trend Micro Vision One

Prema Gartneru, organizacije koje koriste XDR dožive 50 posto manje uspješnih napada. U odnosu na tradicionalna AV rješenja, XDR zbog superiornih mogućnosti detekcije sigurnosnim timovima omogućuje da s manje alata analiziraju više sigurnosnih točaka te djeluju brže i preciznije.

  • Mogućnost prioritetnog pregleda prijetnji u cijeloj organizaciji

XDR nadogradnja tvrtkama omogućuje uvid u duplo više upozorenja o internim sigurnosnim prijetnjama. IT timovima je posljedično omogućeno usmjeravanje fokusa na određene rizike i brzo djelovanje.

  • Učinkovitija analiza

Kroz uvid u krajnje točke (endpoints), poslužitelje, oblake, e-poštu i mrežu, XDR senzori su u mogućnosti točno locirati izvore podataka i događaja. Pravila otkrivanja prijetnji se istovremeno konstantno ažuriraju, na što utječu podaci iz Trend Micro Research laboratorija. Analiza je učinkovitija i nema potrebe za uključivanjem treće strane (API).

  • Jasniji kontekstualni prikaz prijetnji

XDR istovremeno nadgleda više vektora prijetnje, zbog čega se događaji koji se u početku čine bezopasni lako mogu prepoznati kao potencijalni rizik. Više analiziranih točaka ili sigurnosnih slojeva se može povezati u jedan prikaz i na taj način spriječiti napad na čitav lanac.

  • Brže zaustavljanje više napada

Brzo otkrivanje prijetnji u slučaju Trend Micro Vision One podrazumijeva i brži odgovor. Prema istraživanju ESG , tvrtke koje koriste XDR imaju šansu u roku od nekoliko dana otkriti uspješan napad ili prodor u podatke. U suprotnome, može proći nekoliko mjeseci prije nego što organizacije prepoznaju maliciozni napad.

  • Smanjenje vremena potrebnog za otkrivanje i zaustavljanje prijetnji

Uz XDR, sigurnosni timovi troše manje vremena na otkrivanje, analizu i reagiranje na prijetnje. Također, reakcija na napad je potpunija. ESG je istaknuo da tvrtke koje koriste XDR u 60% slučajeva neće prijaviti ponovnu prijetnju istog napadača.

  • Povećana učinkovitost istrage

XDR počiva na automatskoj analizi podataka i prepoznavanju prijetnji, zbog čega se eliminira potreba za manualnim naporima zaposlenika u detekciji ranjivosti.

  • Povezivost sa sustavima trećih strana

Budući da mnoge tvrtke koriste različite sigurnosne alate i tehnologije, Trend Micro Vision One nudi portfolio otvorenih API-ja i mogućnost integracije s drugim sistemima poput SOAR.