CISO’ların XDR üreticilerinden duymak istediği 8 şey nedir?
RSA konferansına az bir zaman kalan bir süreç içerisinde olduğumuza göre, güvenlik diasporası kendisini üç endüstri girişimi etrafındaki bir kakofoniye hazırlamalıdır: Secure Access Service Edge (SASE), Genişletilmiş Algılama ve Yanıt (eXtended Detection and Response-XDR) ve sıfır güven (zero trust).
Evet, her üç alan da yenilikçi ve son derece ümit verici, ancak biraz da bunaltıcı. Önümüzdeki haftalarda bizden SASE ve sıfır güven hakkında daha fazlasını bekleyebilirsiniz. Şimdilik XDR’ye odaklanacağız.
ESG araştırması işletmelerin % 83’ünün 2021’de tehdit algılama/müdahale harcamalarını artıracağını gösteriyor – mevcut araçların ve tekniklerin yetersiz olduğunun açık bir göstergesi. XDR, bu pazar talebinden faydalanabilir, ancak yalnızca üreticiler endüstri süslemesini kesip güvenlik uzmanlarıyla gerçekten bağlantı kurabilirse. Aşağıdakiler etrafında net iletişim sağlayan sanal RSA’e katılacak XDR üreticilerini arayın:
XDR’nin tanımı. ESG araştırmasına göre, güvenlik uzmanlarının yalnızca %24’ü XDR ile ilişkili teknoloji konseptlerine “çok aşina” olduklarını iddia ediyorlar. Müşterilerinizin dörtte üçünün onlara satmaya çalıştığınız şey konusunda kafası karıştığında çok da başarılı olacağınızı sanmıyorum. Buradaki sorun, XDR’nin bir üründen çok bir mimari (güvenlik operasyonları ve analitik platform mimarisi veya SOAPA’yı düşünün) ve mimarilerin ürünlere kıyasla biraz zayıf olmasıdır. Ek olarak, XDR, kontrol tabanlı (yani EDR + NDR + diğer), yönetim düzlemi tabanlı, açık XDR, yazılım katmanı vb. dâhil olmak üzere çeşitli şekillerde gelir. Açık ve ayrıntılı piyasa eğitimine acil bir ihtiyaç vardır. RSA Konferansı, başlamak için iyi bir yerdir.
Algoritma ortaya çıkıyor. XDR ile ilgili temel değer önerilerinden biri, analitik üstünlüğünün mevcut tehdit algılama teknolojilerine göre olmasıdır. Teori, XDR’nin telemetriyi tek tek araçlardan toplaması ve işlemesi ve daha zamanında, doğru ve kapsamlı tehdit tespiti için tüm bu verileri bir şekilde bir araya getirmesidir. Kulağa hoş geliyor, ancak şüpheci güvenlik uzmanları bunu daha önce duymuştu (UEBA akla geliyor). XDR üreticileri teorinin ötesine geçmeli ve en azından biraz veri bilimi yabani otlarına girmelidir. Tehdit algılama doğruluğunun burada anahtar olduğunu unutmayın. Güvenlik operasyonlarını kolaylaştırmak da önemlidir, ancak XDR, karmaşık çok aşamalı saldırılara karşı kör olurken işlemleri kolaylaştırırsa önemli değildir.
Uygulama kılavuzu. Bu, kontrol tabanlı XDR üreticileri için gerçekten bir zorluktur. Birleşik bir güvenlik teknolojisi mimarisi sezgisel anlam ifade eder, ancak günümüzde birçok kurumsal kuruluşun tehdit algılama ve müdahale için kullandığı türünün en iyisi nokta araçlarına kıyasla farklı bir renkte bir attır. Kullanıcılar nereden başlamalı? Araçları zaman içinde nasıl entegre etmeliler? XDR ile baştan başlamadan özel kural kümelerini ve bugün sahip oldukları deneyimi nasıl koruyorlar? XDR üreticileri, potansiyel müşteriler için uygun referans mimarileri, vaka çalışmaları ve eğitim yönergeleri olmadan RSA konferansına katılma zahmetine girmemelidir.
Güvenlik operasyon modelleri. XDR’ın neler yapabileceği hakkında çok şey duyduk, ancak bir güvenlik operasyonları ekibinin ürünlerle nasıl etkileşime girmesi gerektiği konusunda çok az şey biliyoruz. Uyarıları nasıl önceliklendirirler? Yüksek öncelikli uyarıları nasıl araştırırlar? Müdahale eylemlerini nasıl otomatikleştiriyorlar? XDR araçları ITSM sistemleriyle nasıl çalışır? RSA Konferansı’nda, XDR üreticileri, ürünlerinin tüm güvenlik işlemleri süreçlerini destekleyebileceğini ve statükoya üstün bir alternatif sunabileceğini göstermeye hazırlıklı olmalıdır.
Veri ikilemi. XDR vizyonu, nihayetinde güvenlik operasyonlarının çapasını değiştiren anahtar teslimi bir SOAPA’dır: güvenlik bilgileri ve olay yönetimi (SIEM). Anlıyoruz, ancak SIEM sistemleri veri yönetimi süper yıldızlarıdır, karmaşık bir toplayıcılar, ileticiler, indeksleyiciler, mesajlaşma otobüsleri vb. ağ üzerine inşa edilmiştir ve her gün terabaytlarca veriyi düzenli olarak toplar, işler ve analiz eder. ESG araştırması, devam eden çok sayıda güvenlik veri yönetimi faaliyeti olduğunu, büyük kuruluşların halihazırda akış işleme/analitik gibi alanlara yatırım yaptığını ve veri hattına yeni veri kaynakları (daha fazla tehdit istihbarat kaynağı dahil) eklediğini gösteriyor. Büyük kuruluşlardaki güvenlik operasyonu ekipleriyle yaptığım tartışmalarda, XDR teknolojisinin multiterabaytlık bir veri hattını idare etme becerisi konusunda en alaycı kişiler. XDR satıcıları, veri yönetimi konusunda çok fazla el salladı. Şimdi RSA’da daha spesifik olmaları gerekiyor.
Üçüncü taraf entegrasyonu. Hepimiz, büyük güvenlik teknolojisi üreticilerinin müşterilerine tüm XDR enchilada’yı satmak istediğini anlıyoruz, ancak bu çok uzun bir sipariş. Açık bir yazılım kaplama XDR çözümünü kullanan bir CISO bana, “XDR üreticileri, EDR, NDR ve SIEM’imi ürünleriyle değiştirerek çözümlerini standart hale getireceğimi varsayıyorlar. Benim sorunum, her şeyden birine sahip olmam, yani çeşitli EDR, NDR ve hatta SIEM aromalarına sahip olmam. Tüm bu parçaların değiştirilmesi gerçekçi değil. ” Bu durum sıradan bir durumdur, yani her XDR üreticisinin diğerleriyle iyi oynaması gerekir. Makul XDR üreticileri, API’ler, özel bağlayıcılar, ortaklıklar vb. dahil olmak üzere eksiksiz bir entegrasyon seçenekleri listesi ile RSA konferansına gelecekler. Tüm XDR topluluğunun daha ileri gitmesini ve birlikte çalışmak için standart yollar oluşturmasını istiyorum. Bu, 2016’daki orijinal SOAPA vizyonumuzun bir parçasıydı, hiç olmadığı kadar geç olması daha iyi.
Bulut görünürlüğü. Bir XDR projesini nerede başlatmak istedikleri sorulduğunda, yanıt verenlerin en büyük yüzdesi (% 43), “bulut tabanlı iş yükleri ve SaaS için tehdit algılama ve yanıt yeteneklerine sahip bir XDR çözümü uygulayarak” dedi. XDR projelerinin muhtemelen EDR veya NDR’yi değiştirerek başlayacağını düşündüğümüz için bu bizi şaşırttı. Ne anlama geliyor? Bulut görünürlüğü, birçok kuruluş için korkutucu bir kör noktadır. Bu sorunu çözmek için, XDR üreticileri topladıkları, işledikleri, analiz ettikleri ve görselleştirdikleri tüm farklı bulut verilerini tartışmaya istekli olmalıdır. Ayrıca uç noktalar, ağlar, sunucular, hizmetler ve tüm hibrit BT altyapısına yayılan bir siber öldürme zincirinin parçası olarak tüm bulut verilerini bağlamsallaştırabilmeleri de önemlidir.
Kimlik yakınlığı. Birçok erken XDR benimseyenlerle konuşurken, ortak bir nakarat duyduk: XDR, kimlik doğrulama, ağ dizinleri ve IAM ile yeterli entegrasyondan yoksun olan siber saldırıların insan unsurunu sık sık gözden kaçırıyor. SaaS uygulamalarının çeşitliliği ve çok sayıda geliştiricinin yeni bulut uygulaması geliştirme araçları türlerini kullanması. Hmm, sektörün yeni güvenlik operasyonları teknolojisi konusunda son kez gaga olmasından bu yana oldukça ironik, kullanıcı ve varlık davranışı analitiği (UEBA) ile ilgiliydi. XDR teknolojilere odaklanırken UEBA kullanıcıları merkez aldı. RSA Konferansı’nda, üreticiler, kullanıcıların her ikisine de ihtiyaç duyduklarını açıkça söyledikleri gerçeğini ele almaya hazır olmalıdır.
Kuruluşların açıkça tehdit algılama ve müdahale yardımına ihtiyacı var ve XDR konusunda açık fikirli olmaya istekliler. Bununla birlikte, CISO’lar bu sorunun ne kadar karmaşık olduğunu anlıyor. Üreticiler, XDR’nin bugün nerede olduğu, güvenlik operasyon teknolojileri ve süreçlerine nasıl uyduğu ve zaman içinde nasıl geliştiği hakkında dürüst bir konuşma yapmak için hazırlanan RSA konferansına gelmelidir.