Lokasjon! Lokasjon! Lokasjon!

Bli med på en reise

La oss reise til Hverby, USA, der vi utforsker hvorfor trusseljegere forlater tradisjonell SIEM. Her har en administrerende direktør nettopp godkjent kjøpet av den nyeste Security Information and Event Management (SIEM) løsningen. Denne løsningen skryter av loggovervåkning og avansert trusseldeteksjon. Mange møtte dette trekket med optimisme. De håpet det ville styrke deres cybersikkerhetsinnsats midt i et stadig utviklende og fremskrittende digitalt landskap. Teamet hans brukte mange timer over mange måneder på å distribuere og konfigurere løsningen. Endelig er prosjektet fullført.

SIEMs Utfordringer: Fra Trusseldeteksjon til Respons

Etter en stund oppdaget SIEM uvanlige atferdsmønstre. Den genererte en varsling. En trusselaktør forsøkte å få tilgang til og eksfiltrere sensitiv data. Sikkerhetsteamet slet imidlertid med å svare i tide. De var oversvømmet med et høyt volum av sikkerhetsvarsler og falske positiver. Da de endelig forsto alvoret i situasjonen, hadde trusselaktøren avansert videre inn i organisasjonens nettverk. Han utnyttet sårbarheter og forsøkte å dekke over sporene sine.

Selv om SIEM hadde gjort jobben sin, hadde den tidkrevende oppgaven med å behandle og handle på dataene hindret organisasjonens evne til å stoppe trusselen i sanntid. Dette er et klart eksempel på hvorfor trusseljegere forlater tradisjonell SIEM.

Dette scenariet er altfor vanlig i dagens forretningsverden. Organisasjoner sliter med å holde tritt med de stadig mer sofistikerte truslene der angripere beveger seg raskere innen nettverk, prioriterer angrepshastighet over utvidede perioder med stealth. I Mandiants M-Trends 2023 Special Report oppdaget de at den globale medianboligtiden (tiden fra inntrengning til deteksjon) har gått ned fra 21 dager til 16 dager. Over hos Sophos oppdaget de at den falt til åtte dager i første halvdel av 2023. Denne trenden fremhever den voksende oppfatningen om at tradisjonelle SIEMer er eksepsjonelle som kilder til post for hendelsesrespons og digital rettsmedisin, men i deres nåværende form kan de ikke stoppe de avanserte angrepene som blir sett i dagens digitale landskap.

Kjernefunksjonaliteter og Begrensninger av Tradisjonelle SIEM-løsninger

Utover å være et system av poster, er tradisjonelle SIEM-løsninger bygget på ideen om at ikke alle deler av et angrep kan adresseres i en angrepsvektor (endepunkt, nettverk, sky, osv.) og for å få et komplett bilde, må du kunne sy sammen alle disse dataene. I tilfellet med en tradisjonell SIEM-løsning sender de forskjellige datakildene logger som behandles når de er inntatt. Og mens smakene av SIEM-løsninger vil variere, med en løsning som skryter av en funksjon over en annen, kan du forvente følgende funksjonalitet over hele linjen:

  • Aggregering og Korrelasjon av Sikkerhetshendelser
    • Hovedverdien av en tradisjonell SIEM-løsning er at de vil samle og organisere sikkerhetshendelser fra forskjellige kilder for å gi et bilde av aktiviteter i et IT-miljø.
  • Brukeratferdsanalyse
    • En annen funksjon av tradisjonelle SIEM-systemer er at de bruker brukeratferdsanalyse for å analysere de normale arbeidsmønstrene til brukere og oppdage avvik fra normal atferd, og heve varsler om potensielle trusler.
  • Atferd, Signatur, & Anomalideteksjon
    • Tradisjonelle SIEM-løsninger inkorporerer anomalideteksjon for å skille vanlige atferdsmønstre fra potensielle trusler.
  • Loggadministrasjon og Analyse
    • En stor funksjon av tradisjonelle SIEM-løsninger innebærer innsamling, analyse og sikker arkivering av logg- og varselsdata for å få bedre synlighet i forskjellige aktiviteter og møte IT-reguleringsmandater.
  • Rapportering
    • Ved å analysere data fra flere kilder gjør at tradisjonelle SIEM-løsninger kan være en sentralisert rapporteringskilde.

Overgangen fra Tradisjonell SIEM til Blackpoint Cyber’s Løsningssuite

Med å ha en tradisjonell SIEM i organisasjonen din kan forbedre din generelle sikkerhetsposisjon, men det er en klar begrensning for å oppdage og svare på trusler fra SIEM-logger: mangelen på sanntidsrespons. Tradisjonelle SIEM-systemer kan gi varsler og varsler for sikkerhetshendelser, men responsen krever ofte manuell intervensjon og koordinering på tvers av forskjellige sikkerhetsverktøy og systemer, noe som fører til forsinkelser i handling mot trusler.

Dette er hvor en løsning som Blackpoint Cyber’s løsningssuite, forankret rundt vår SIEM+ funksjonalitet kommer inn i bildet. Ikke bare dekker Blackpoint Cyber kjernens funksjoner av en tradisjonell SIEM, men den løser også tradisjonelle SIEM-respons ineffektiviteter.

Blackpoint Cyber: Sanntids Trusselavbrytelse og Overlegen Respons

Blackpoints agent aggregerer og korrelerer metadata fra mange kilder. Vi bruker deretter proprietær deteksjonslogikk for å lage sanntidsvarsler uavhengig av metadatakilden. Ettersom angrepsmønstre ikke er lineære, vil vår løsning korrelere hendelser til en enkelt varsling, og legge til et lag med orkestrering og kontekstuell detalj. På dette tidspunktet vil vårt 24/7 Security Operations Center (SOC) da svare og avhjelpe angrep mens de skjer i sanntid. Måten Blackpoint kan svare og avhjelpe raskere enn en tradisjonell SIEM kan oppsummeres i ett ord. Lokasjon.

Fra Tradisjonell SIEM til Blackpoints Økosystem: En Ny Tilnærming til Cybersikkerhet

I utgangspunktet aggregerer tradisjonelle SIEMer data, utfører deretter analyse og forsøker å finne de riktige mønstrene etter at dataene har blitt behandlet. Måten Blackpoints økosystem er bygget på, vi leter etter de riktige mønstrene (atferd, håndverk og ondsinnet bruk av verktøy) ved kilden og deretter når det har blitt gjort, sender vi dataene til depotet for lagring som gir den sanntidsresponsen som er desperat nødvendig i dag. I dagens cybersikkerhetslandskap er Blackpoints omfattende modell, med proaktiv analyse og korrelasjon, nøkkelen til forretningsresiliens. Du må kunne analysere, oppdage og svare på trusler i sanntid, sammen med å ha forsikringen om at hendelsesdataene er lagret sikkert, kan nås og rapporteres på.

SIEM vs Blackpoint diagram - hvorfor trusseljegere forlater siem

SIEM vs Blackpoint diagram – hvorfor trusseljegere forlater siem

Med Blackpoint Cyber får du kjernefunksjonaliteten til en tradisjonell SIEM – sikker datalagring, tilgang og rapportering – sammen med sanntids trusselavbrytelse som trengs for dagens mest avanserte angrep. Dette er nok en grunn til hvorfor trusseljegere forlater tradisjonell SIEM. Dette er nok en grunn til hvorfor trusseljegere forlater tradisjonell SIEM.

Kom i gang i dag