以安全信息事件管理(SIEM)為中心的安全數(shù)據(jù)堆棧受到各種限制的困擾,這些限制正在導(dǎo)致越來越嚴(yán)重和有影響的數(shù)據(jù)孤島。
SIEM解決方案造成了這些數(shù)據(jù)孤島,其定價模式使完全可見性變得不現(xiàn)實,安全運營越來越多地繞過SIEM來處理公共云基礎(chǔ)設(shè)施生成的大量日志。對安全數(shù)據(jù)采取孤立的方法會造成被動的安全態(tài)勢。
數(shù)據(jù)孤島的困境及其對安保團隊的影響
數(shù)據(jù)孤島使挖掘數(shù)據(jù)以獲得洞察力變得困難,并給數(shù)據(jù)工程帶來了挑戰(zhàn)-信息被分散在不連續(xù)的解決方案和歸檔中,使得安全分析師的大腦成為整合和綜合洞察力的唯一場所。更糟糕的是,數(shù)據(jù)孤島將用于僅在入侵事件發(fā)生后才開始的調(diào)查,而不是用于在殺傷鏈的早期進行檢測。
由于其頻繁的變化和虛擬的邊界,向云計算的轉(zhuǎn)移使得及時連接這些點變得更加困難。安全團隊?wèi)?yīng)該意識到,當(dāng)他們遇到豎井問題時,他們的單一SIEM解決方案需要幫助,實際上,該解決方案只接收組織安全數(shù)據(jù)的一小部分。
跨大容量安全數(shù)據(jù)集檢測威脅
由于數(shù)據(jù)孤島困擾著企業(yè)及其安全團隊,在發(fā)生事件之前,可見性差距很容易被忽略。從終端檢測和響應(yīng)(EDR)取證數(shù)據(jù)到AWS訪問日志和PowerShell活動,再到VPN遙測,這些海量安全數(shù)據(jù)集往往無法支持有效的威脅檢測。以下是數(shù)據(jù)孤島困境的一些常見示例:
·EDR數(shù)據(jù)被拋在后面:雖然終端檢測和響應(yīng)通常是第一道防線,但其對幾乎每一項操作(創(chuàng)建的文件、啟動的進程和建立的連接)的全面跟蹤阻止了其與大多數(shù)SIEM部署的集成。作為一種解決辦法,大多數(shù)組織會捕獲警報記錄并留下取證數(shù)據(jù)——超過99.9%的數(shù)據(jù)。雖然EDR供應(yīng)商建議將這些數(shù)據(jù)存檔以用于事件響應(yīng)(特別是考慮到他們只存儲有限的時間),但許多組織仍在苦苦掙扎。EDR取證數(shù)據(jù)經(jīng)常在安全行動的威脅檢測工作中丟失。
·云日志未啟用:從云存儲中流出是重大云入侵的一部分。在這一領(lǐng)域進行早期檢測的挑戰(zhàn)在于,了解哪些用戶下載了文件以及從哪里下載文件至關(guān)重要。默認(rèn)情況下,云存儲訪問的日志記錄通常是禁用的,因此,如果組織不知道啟用日志記錄或?qū)⑵淙罩居涗洷A粼赟IEM之外,則這一潛在的強大威脅檢測來源將保持未開發(fā)狀態(tài)。
·攻擊者靠土地謀生:PowerShell腳本是攻擊者在對Windows系統(tǒng)進行后門操作并推出勒索軟件時避免被發(fā)現(xiàn)的一種方式,但PowerShell中發(fā)生了如此多的良性活動,以至于IT組織往往不會跟蹤它。直到發(fā)現(xiàn)PowerShell支持的入侵和勒索軟件攻擊時,才為時已晚。
·VPN活動是缺失的一環(huán):鑒于威脅參與者普遍以支持遠程登錄的基礎(chǔ)設(shè)施為目標(biāo),將HR和終端遙測數(shù)據(jù)結(jié)合在一起來檢測VPN數(shù)據(jù)中的威脅的多維方法是強大的,但只有在這些來源統(tǒng)一時才可用。
這些只是幾個通常孤立的安全數(shù)據(jù)集。對于使用部分或全部這些或其他功能的組織來說,這應(yīng)該成為多平臺威脅檢測策略的驅(qū)動因素。
安全數(shù)據(jù)湖在打破孤島中的作用
豎井的對立面是背景。情景意味著提供更多的安全分析信息,而不是鎖定在孤島中的數(shù)據(jù),這為安全團隊創(chuàng)造了機會,以創(chuàng)建更好的檢測,在攻擊鏈中及早識別攻擊者,并培訓(xùn)機器學(xué)習(xí)模型以實現(xiàn)更強的自動化。
安全領(lǐng)導(dǎo)者應(yīng)該認(rèn)識到,收集數(shù)據(jù)可能不會對威脅檢測有用。日益靈活的數(shù)據(jù)管道和豐富的云存儲使這成為一種常見的反模式。無論是將數(shù)據(jù)留在源位置,還是將其收集但轉(zhuǎn)儲到存儲桶中,都應(yīng)將其視為暗安全數(shù)據(jù),并對組織的威脅檢測狀態(tài)構(gòu)成風(fēng)險。
對于許多組織來說,這些暗數(shù)據(jù)的量大于收集到SIEM的數(shù)據(jù)量。因此,使用可擴展且經(jīng)濟高效的安全數(shù)據(jù)湖來增強SIEM應(yīng)該是您的安全運營架構(gòu)不可或缺的一部分。
隨著我們進入2024年,我們將看到更多的組織使用多平臺解決方案來通過數(shù)據(jù)湖支持其SIEM,并馴服這些大容量數(shù)據(jù)集。橋接解決方案的優(yōu)勢不僅僅是減少暗數(shù)據(jù)和可見性差距帶來的風(fēng)險。支持多個平臺進行威脅檢測的解決方案可實現(xiàn)優(yōu)化以節(jié)省成本。通過抽象底層日志庫,多平臺解決方案使檢測工程師能夠使用最合適且最具成本效益的選項,隨著時間的推移遷移用例。
現(xiàn)代數(shù)據(jù)湖解決方案令人難以置信的能力和性價比為安全運營帶來了巨大的希望。今天因為依賴于黑暗數(shù)據(jù)而不可能進行的檢測可以被啟用,威脅獵手和檢測工程師的創(chuàng)造性潛力可以被釋放,但對于大多數(shù)組織來說,這只有在逐步過渡時才是可行的。在現(xiàn)狀和完全重啟之間,第三條橫跨現(xiàn)有和新數(shù)據(jù)平臺的路徑正在出現(xiàn)——保留目前的工作方式,同時有可能檢測到未來的威脅。
