以安全信息事件管理(SIEM)為中心的安全數據堆棧受到各種限制的困擾,這些限制正在導致越來越嚴重和有影響的數據孤島。
SIEM解決方案造成了這些數據孤島,其定價模式使完全可見性變得不現實,安全運營越來越多地繞過SIEM來處理公共云基礎設施生成的大量日志。對安全數據采取孤立的方法會造成被動的安全態勢。
數據孤島的困境及其對安保團隊的影響
數據孤島使挖掘數據以獲得洞察力變得困難,并給數據工程帶來了挑戰-信息被分散在不連續的解決方案和歸檔中,使得安全分析師的大腦成為整合和綜合洞察力的唯一場所。更糟糕的是,數據孤島將用于僅在入侵事件發生后才開始的調查,而不是用于在殺傷鏈的早期進行檢測。
由于其頻繁的變化和虛擬的邊界,向云計算的轉移使得及時連接這些點變得更加困難。安全團隊應該意識到,當他們遇到豎井問題時,他們的單一SIEM解決方案需要幫助,實際上,該解決方案只接收組織安全數據的一小部分。
跨大容量安全數據集檢測威脅
由于數據孤島困擾著企業及其安全團隊,在發生事件之前,可見性差距很容易被忽略。從終端檢測和響應(EDR)取證數據到AWS訪問日志和PowerShell活動,再到VPN遙測,這些海量安全數據集往往無法支持有效的威脅檢測。以下是數據孤島困境的一些常見示例:
·EDR數據被拋在后面:雖然終端檢測和響應通常是第一道防線,但其對幾乎每一項操作(創建的文件、啟動的進程和建立的連接)的全面跟蹤阻止了其與大多數SIEM部署的集成。作為一種解決辦法,大多數組織會捕獲警報記錄并留下取證數據——超過99.9%的數據。雖然EDR供應商建議將這些數據存檔以用于事件響應(特別是考慮到他們只存儲有限的時間),但許多組織仍在苦苦掙扎。EDR取證數據經常在安全行動的威脅檢測工作中丟失。
·云日志未啟用:從云存儲中流出是重大云入侵的一部分。在這一領域進行早期檢測的挑戰在于,了解哪些用戶下載了文件以及從哪里下載文件至關重要。默認情況下,云存儲訪問的日志記錄通常是禁用的,因此,如果組織不知道啟用日志記錄或將其日志記錄保留在SIEM之外,則這一潛在的強大威脅檢測來源將保持未開發狀態。
·攻擊者靠土地謀生:PowerShell腳本是攻擊者在對Windows系統進行后門操作并推出勒索軟件時避免被發現的一種方式,但PowerShell中發生了如此多的良性活動,以至于IT組織往往不會跟蹤它。直到發現PowerShell支持的入侵和勒索軟件攻擊時,才為時已晚。
·VPN活動是缺失的一環:鑒于威脅參與者普遍以支持遠程登錄的基礎設施為目標,將HR和終端遙測數據結合在一起來檢測VPN數據中的威脅的多維方法是強大的,但只有在這些來源統一時才可用。
這些只是幾個通常孤立的安全數據集。對于使用部分或全部這些或其他功能的組織來說,這應該成為多平臺威脅檢測策略的驅動因素。
安全數據湖在打破孤島中的作用
豎井的對立面是背景。情景意味著提供更多的安全分析信息,而不是鎖定在孤島中的數據,這為安全團隊創造了機會,以創建更好的檢測,在攻擊鏈中及早識別攻擊者,并培訓機器學習模型以實現更強的自動化。
安全領導者應該認識到,收集數據可能不會對威脅檢測有用。日益靈活的數據管道和豐富的云存儲使這成為一種常見的反模式。無論是將數據留在源位置,還是將其收集但轉儲到存儲桶中,都應將其視為暗安全數據,并對組織的威脅檢測狀態構成風險。
對于許多組織來說,這些暗數據的量大于收集到SIEM的數據量。因此,使用可擴展且經濟高效的安全數據湖來增強SIEM應該是您的安全運營架構不可或缺的一部分。
隨著我們進入2024年,我們將看到更多的組織使用多平臺解決方案來通過數據湖支持其SIEM,并馴服這些大容量數據集。橋接解決方案的優勢不僅僅是減少暗數據和可見性差距帶來的風險。支持多個平臺進行威脅檢測的解決方案可實現優化以節省成本。通過抽象底層日志庫,多平臺解決方案使檢測工程師能夠使用最合適且最具成本效益的選項,隨著時間的推移遷移用例。
現代數據湖解決方案令人難以置信的能力和性價比為安全運營帶來了巨大的希望。今天因為依賴于黑暗數據而不可能進行的檢測可以被啟用,威脅獵手和檢測工程師的創造性潛力可以被釋放,但對于大多數組織來說,這只有在逐步過渡時才是可行的。在現狀和完全重啟之間,第三條橫跨現有和新數據平臺的路徑正在出現——保留目前的工作方式,同時有可能檢測到未來的威脅。
