Ako líder na trhu so zabezpečením siete, koncových bodov a cloudu zhromažďujeme neuveriteľné množstvo údajov, ktoré možno využiť na strojové učenie, analýzu a automatizáciu, ktoré by mohli priniesť obrovskú hodnotu a spôsobiť revolúciu v centre bezpečnostných operácií (SOC). SIEM ich však z veľkej časti zavrhuje, pretože nie je navrhnutý na využívanie týchto údajov.

Ako vieme, že údaje, ktoré zhromažďujeme, môžu v SOC robiť zázraky? Pretože to robíme v našom vlastnom SOC:

• SOC spoločnosti Palo Alto Networks spracuje viac ako 1 bilión (10¹²)   udalostí mesačne, takmer 40 miliárd denne, a inteligentne zoskupuje a analyzuje upozornenia, čo vedie k tomu, že v priemere je potrebné vyšetriť len osem incidentov denne.
• Náš priemerný čas na odhalenie je desať sekúnd a náš priemerný čas na reakciu na upozornenia s vysokou prioritou je jedna minúta, a to všetko s relatívne malým globálnym tímom pracujúcim v bežnom pracovnom čase.
• Naši analytici vykonávajú zaujímavú a hodnotnú bezpečnostnú prácu, kvôli ktorej sa pripojili k tomuto odvetviu, bez vyhorenia alebo hrdinstva, pretože sme naše SOC postavili na platforme navrhnutej od základu pre moderné prostredie hrozieb.

A váš SOC môže tiež, pretože XSIAM - autonómna platforma poháňajúca moderný SOC, o ktorú sa s vami radi podelíme, je teraz všeobecne dostupná. Skôr než si podrobne vysvetlíme, ako presne môže XSIAM spôsobiť revolúciu v SOC, preskúmajme problémy, ktorým bezpečnostné operácie v súčasnosti čelia.

SIEM jednoducho nefunguje
Je čoraz jasnejšie, že SIEM pre mnohých zákazníkov jednoducho nefunguje: sťažujú sa, že je príliš drahý, príliš náročný na správu, príliš náročný na prevádzku a že zlyháva v najdôležitejšej úlohe - pomôcť zastaviť hrozby a udržať organizácie v bezpečí.

Buďte obrancom, nielen detektívom
Nie je ťažké zistiť, že ide o problém. Vždy, keď organizácia utrpí útok, dokáže následne zistiť, čo sa stalo. Dokážu zrekonštruovať metódy, vedia, ktoré systémy boli zasiahnuté a ktoré informácie boli odcudzené. Ale ak sú k dispozícii údaje, ktoré umožňujú pochopiť, čo sa stalo neskôr, prečo sa nemohli použiť na zastavenie útoku hneď na začiatku? Odpoveďou je, bohužiaľ, to, že príliš veľa upozornení a príliš veľa siločiar vedie v konečnom dôsledku k príliš malému prehľadu.
Problém spočíva v tom, že systémy SIEM sú vytvorené tak, aby spracovali a uprednostnili upozornenia a potom ich predložili analytikom na triedenie a vyšetrovanie. Množstvo výstrah však neustále narastá, takže analytici jednoducho nestíhajú. Samozrejme, dnes existuje oveľa viac údajov ako len výstrahy a logy. Bez schopnosti spracovať tento väčší súbor údajov, a čo je dôležitejšie, dať mu zmysel na včasnú detekciu a reakciu, sa stráca obrovská príležitosť. Moderné SOC ďalej spracúva údaje EDR, NDR, cloudové údaje, údaje o identite, údaje o hrozbách a ďalšie typy údajov, ale všetky v samostatných silách a takmer nikdy ako súčasť SIEM-u.

Nie je to problém nákladov, ale hodnoty
Na rozdiel od toho, čo tvrdia niektorí výrobcovia, nejde o problém nákladov. Je to problém hodnoty. Veríme však, že je možné riešiť oboje: výrazne zvýšiť hodnotu a znížiť náklady. Ak by vaša SOC dokázala prijímať VŠETKY relevantné údaje, aplikovať strojové učenie na detekciu v reálnom čase a použiť automatizáciu na uvoľnenie ľudí, aby mohli robiť to, čo môžu robiť len ľudia, výrazne by sa zlepšila schopnosť detekovať útoky v reálnom čase a reagovať dostatočne rýchlo na to, aby sa zabránilo úspešnému narušeniu. To je prísľub SIEM-u, ktorý však nebol naplnený. Naši zákazníci nás požiadali, či by sme nemohli vytvoriť niečo lepšie. Tak sme to urobili.

Revolúcia v SOC-u s XSIAM
Sme presvedčení, že jediný spôsob, ako môže platforma SOC fungovať v dnešnom rozsahu, je úplne ju prestavať od základov. Preto sme presne to urobili s XSIAM, autonómnou platformou bezpečnostných operácií, ktorá bola navrhnutá tak, aby umožnila všetkým zákazníkom dosahovať výsledky, aké dosahujem Palo Alto Networks vo vlastnom SOC-u. 
Ako? Všetko spočíva v údajoch, ktoré poháňajú analytiku, automatizáciu a proaktivitu.

Údaje a analytika: Oveľa viac detailov, oveľa viac prehľadu
Pri navrhovaní systému XSIAM sme vychádzali z predpokladu, že bude musieť zhromažďovať obrovské množstvo údajov (viac ako len výstrahy a logy), aby sme mohli realizovať našu víziu analytiky. XSIAM by musel získavať údaje z koncových bodov, siete, systémov identít, cloudu a údaje o samotnom prostredí (napríklad údaje o povrchu útokov). Aby sme tieto údaje mohli použiť ako základ pre analytiku, XSIAM ich musí normalizovať, pochopiť a integrovať (t. j. spojiť dokopy), aby ich naše strojové učenie nespracovávalo ako nesúvisiace podmnožiny, ale s pochopením toho, ako jednotlivé prvky údajov navzájom súvisia.
Predstavte si, o koľko inteligentnejší môže byť systém, ak analyzuje každú udalosť z pohľadu koncového bodu, siete, identifikačných systémov a cloudu, a to všetko súčasne. A potom tento kontext použije na riadenie detekcie, vyšetrovania a reakcie.

Automatizácia: Viac než len pracovné postupy
Keď hovoríme o automatizácii, nemáme na mysli len automatizáciu pracovného postupu(t. j. automatizáciu toho, čo robí ľudský analytik s alertom). Máme na mysli aj natívnu automatizáciu zabudovanú do produktu na normalizáciu a spájanie udalostí do „príbehu útoku", vytváranie nových detektorov na odosielanie upozornení atď. V systéme XSIAM sme túto natívnu automatizáciu vytvorili ako doplnok k automatizácii pracovných postupov. V niektorých oblastiach sme ich skombinovali. Napríklad XSIAM dokáže na základe strojového učenia odporučiť nové knihy prehrávania alebo akcie reakcie, čím sa automatizácia pracovných postupov (SOAR) stáva výkonnejšou.

Proaktivita: Skutočné predchádzanie útokom
Ak by ste sa rozprávali s analytikmi SOC, mnohí by svoju prácu označili za reaktívnu. Obrana pred útokmi je však oveľa jednoduchšia, ak k nim nikdy nedôjde, preto sme sa rozhodli poskytnúť SOC možnosti, ako predbehnúť útočníkov. Výborným spôsobom, ako to dosiahnuť, je začať proaktívne skúmať povrch útoku a to, ktoré systémy sú zraniteľné skôr, ako útočník objaví príležitosť využiť niečo, čo je zle nakonfigurované, otvorené alebo inak rizikové. Zakomponovanie zisťovania povrchu útoku a reakcie naň do systému XSIAM oslobodzuje analytika od cyklu reagovania na nekonečné upozornenia.
Čo môže „oslobodená" SOC skutočne dosiahnuť? Analytici môžu skutočne loviť hrozby. Môžu sa pozrieť na povrch útoku a prijať opatrenia na jeho zabezpečenie skôr, ako sa zraniteľnosť stane útokom. V našej vlastnej SOC sme videli výhody proaktívneho zabezpečenia v kombinácii s výrazne zlepšenou reakciou. Vďaka efektívnej analytike, automatizovanej reakcii a neustálemu zmenšovaniu povrchu útoku sa mení 36 miliárd denných udalostí na nula závažných incidentov.

Čo je Cortex XSIAM? Platforma riadená umelou inteligenciou | Palo Alto Networks
Rozšírená správa bezpečnostnej inteligencie a automatizácie (Extended Security Intelligence and Automation Management, XSIAM) je nový prístup k SecOpsu, ktorý dosahuje výrazne lepšie výsledky v oblasti bezpečnosti tým, že úzko integruje a automatizuje schopnosti a procesy moderného centra bezpečnostných operácií (SOC).

XSIAM, ktorý Palo Alto Networks prvýkrát predstavila v roku 2022, je nová kategória, ktorá je navrhnutá tak, aby poskytovala autonómnu bezpečnostnú platformu budúcnosti.

Cortex XSIAM: Bezpečnostná platforma riadená umelou inteligenciou
XSIAM je navrhnutá tak, aby sa stala centrom činnosti SOC a nahradila produkty SIEM a špecializované produkty zjednotením širokej funkcionality do komplexného riešenia. Funkcie XSIAM zahŕňajú centralizáciu údajov, inteligentnú koreláciu, detekciu založenú na analýze, správu incidentov, spravodajstvo o hrozbách - threat intelligence, automatizáciu, správu útočnej plochy - attack surface management a ďalšie - to všetko v rámci intuitívneho používateľského prostredia. XSIAM poskytuje ochranu vášho prostredia na základe overených možností detekcie hrozieb a reakcie na ne v systéme XDR. Vďaka centralizovanému úložisku údajov a zjednoteným funkciám SOC poskytuje XSIAM jasnú cestu prechodu od tradičných riešení SIEM.

Prečo potrebujeme riešenie XSIAM?
Súčasné požiadavky na bezpečnostné operačné centrá (SOC) sa zmenili, ale štruktúra riadenia bezpečnostných informácií a udalostí (SIEM) a SOC zostala na rovnakej úrovni. Zatiaľ čo ostatné dôležité súčasti bezpečnostných systémov prešli modernizáciou - napríklad koncové body prešli z antivírusu na detekciu a reakciu na koncové body (EDR) a rozšírenú detekciu a reakciu (XDR); siete sa presunuli z tradičných „hard shell" perimetrov na Zero Trust a SASE; a prevádzka sa presunula z dátových centier do cloudu - SOC naďalej fungujú na modeli SIEM, ktorý vznikol pred dvadsiatimi rokmi.
Keďže útočníci automatizujú útoky na infraštruktúry chránené nedostatočne integrovanými bezpečnostnými produktmi, SOC tímy musia reagovať rýchlejšie ako kedykoľvek predtým. Dôležitým posunom v oblasti ochrany v súvislosti s týmito výzvami bol v poslednom desaťročí vývoj riešení na detekciu a reakciu na koncové body (EDR) a rozšírenú detekciu a reakciu (XDR), ktoré poskytujú lepšie možnosti detekcie a reakcie na hrozby prostredníctvom lepšej bezpečnostnej analýzy a viditeľnosti do prostredia. Zatiaľ čo mnohé organizácie dnes využívajú tieto možnosti, mnohé iné organizácie stále používajú SIEM na centralizáciu a agregáciu logov, ktoré sa často používajú na účely zabezpečenia a dodržiavania predpisov. Bohužiaľ, systémy SIEM často závisia od manuálnej konfigurácie pravidiel pre prijímanie a detekciu protokolov, ako aj od triedenia a nápravy výstrah. XSIAM sa snaží zmierniť závislosť od manuálnych procesov tým, že tieto procesy produkuje a integruje tak, aby pre SOC prinášali výsledky bezpečnostných akcií takmer v reálnom čase.

Ako XSIAM funguje?
Systém XSIAM je jedinečný v spôsobe fungovania, pretože využíva inteligentnú automatizáciu, aby sa vymanil z modelu dnešných bezpečnostných produktov, ktorý je založený na analýze. Systém nepretržite zhromažďuje hĺbkovú telemetriu, upozornenia a udalosti z akéhokoľvek zdroja. Potom automaticky pripravuje a obohacuje údaje, jedinečným spôsobom ich spája do bezpečnostnej inteligencie a okamžite aplikuje analýzu detekcie pomocou strojového učenia.
Výstrahy sú zoskupené do incidentov, plne obohatené o relevantný kontext. Bežné incidenty sa rozpoznávajú, spracúvajú a uzatvárajú. Informačné panely spájajú všetky relevantné aspekty dotknutých používateľov, aktív a infraštruktúry. Zabudovaná automatizácia a inline playbooky urýchľujú akcie a samoučia sa v priebehu času. V každom ohľade XSIAM pomáha minimalizovať úlohy analytikov, aby sa mohli sústrediť len na činnosti, ktoré systém nemôže vykonávať sám.


 

Kľúčové integrované schopnosti Cortex XSIAM

Cortex XSIAM spája tieto kľúčové schopnosti produktov SOC do jednej jednotnej platformy:

• Správa bezpečnostných informácií a udalostí (SIEM) Poskytuje všetky bežné funkcie SIEM vrátane správy logov, korelácie a upozorňovania, reportovania a dlhodobého uchovávania údajov.
• Platforma Threat Intelligence Platform (TIP) Agreguje, vyhodnocuje a distribuuje spravodajské údaje o hrozbách vrátane špičkového zdroja hrozieb Unit 42® do nástrojov tretích strán a obohacuje upozornenia o kontext a atribúciu.
• Rozšírená detekcia a reakcia (XDR) Zhromažďuje telemetriu z akéhokoľvek zdroja pre bezkonkurenčné pokrytie a presnosť detekcie s najvyšším počtom detekcií na úrovni techniky v hodnoteniach MITRE ATT&CK 2022.
• Platformu ochrany koncových bodov (EPP) Zabraňuje útokom na koncové body pomocou osvedčeného agenta, ktorý blokuje exploity, malvér a útoky bez súborov a zhromažďuje úplnú telemetriu na účely detekcie a reakcie.
• Attack Surface Management (ASM) Poskytuje vstavané funkcie správy povrchu útokov z pohľadu útočníka na vašu organizáciu s odhaľovaním aktív, hodnotením zraniteľností a riadením rizík.
• Detekcia a reakcia na hrozby súvisiace s identitou (ITDR) Využíva strojové učenie a analýzu správania na vytváranie profilov používateľov a subjektov a upozorňuje na správanie, ktoré môže naznačovať kompromitáciu používateľa alebo zlomyseľného insidera.
• Funkcia bezpečnostnej orchestrácie, automatizácie a reakcie - Security Orchestration, Automation, and Response (SOAR) Automatizuje takmer akýkoľvek prípad použitia pomocou stoviek zabudovaných playbookov a ponúka prispôsobenie pomocou vizuálneho editora playbookov s funkciou drag-and-drop.
• Detekcia a reakcia na cloud (CDR) Analyzuje protokoly auditu cloudu, tokov a hostiteľov kontajnerov spolu s údajmi z iných zdrojov na účely komplexnej detekcie a reakcie v rámci celého hybridného prostredia.
• Správa, manažment, reporting a zaistenie zhody a súladu, zjednodušuje prevádzku, centralizuje všetky funkcie konfigurácie, monitorovania a podávania správ vrátane správy politík koncových bodov, orchestrácie a reakcie.

Cortex XSIAM | Platforma pre moderné SOC
Cortex XSIAM pomáha modernému SOC vyvinúť sa z reaktívneho prístupu zameraného na človeka, ktorý nedokáže držať krok so stále rastúcimi hrozbami, smerom k vízii autonómneho SOC riadeného umelou inteligenciou. XSIAM zavádza automatizáciu a analytiku všade, kde je to možné, aby sa znížili náklady na SOC a aby sa procesy SecOps stali sebestačnými.

Cortex® XSIAM™ zmení SecOps tým, že umožní organizáciám profitovať nasledujúcimi spôsobmi:

• Zjednodušte bezpečnostné operácie pomocou konvergovanej platformy - spojte všetky svoje údaje a schopnosti SOC do jednej platformy. Konvergencia funkcií SOC, ako sú XDR, SOAR, ASM a SIEM, do jednej platformy eliminuje prepínanie konzol a zefektívňuje bezpečnostné operácie.
• Zastavenie hrozieb vo Veľkom rozsahu s výsledkami riadenými umelou inteligenciou - Out-of-the-box modely umelej inteligencie idú nad rámec tradičných metód detekcie a spájajú udalosti z rôznych zdrojov údajov s cieľom presne odhaliť a zastaviť hrozby
• Zrýchlenie nápravy incidentov pomocou prístupu založeného na automatizácii - Opatrenia vykonávajte automaticky ešte predtým, ako sa váš analytik na incident vôbec pozrie. Automatizujte bezpečnostné úlohy, aby ste obmedzili manuálnu prácu a urýchlili reakciu na incidenty a nápravu.

Keď hovoríme, že je riadená umelou inteligenciou, myslíme tým, že to jednoducho funguje, a to v reálnom čase!

Aké sú tri výhody využitia systému Cortex XSIAM pre threat intelligence management?

Zastavenie útokov s výrazne lepším zabezpečením:

• Buduje inteligentný dátový základ. Cortex XSIAM vám umožní premeniť rozšírenú telemetriu na inteligentný dátový základ pripravený na pokročilú analýzu a zároveň vám umožní využívať dáta za polovicu nákladov v porovnaní so staršími riešeniami.
• Zrýchľuje reakciu. Cortex XSIAM využíva dátový základ na odhaľovanie nových taktík protivníka pomocou samoučiacej sa umelej inteligencie dodávanej z cloudu a natívne automatizuje kľúčové kroky vyšetrovania incidentov.
• Predbieha hrozby. Cortex XSIAM priebežne odhaľuje zraniteľnosti prostredníctvom natívnej správy povrchu útokov a integrovanej inteligencie hrozieb.