Это перевод статьи Palo Alto Networks, оригинал доступен по ссылке.
Для многих организаций SOC является первой линией защиты от всех угроз, известных и неизвестных. Основная функция этой структуры заключается в выявлении, расследовании и устранении последствий угроз по всему цифровому пространству организации. Поскольку злоумышленники все больше автоматизируют и усложняют свою деятельность, эксперты ИБ полагаются на многоуровневый подход к предотвращению атак.
Этот подход включает в себя внедрение таких технологий, как детекция и реагирование на конечных точках (Endpoint Detection and Response, EDR), поведенческая аналитика (User and Entity Behavioral Analytics, UEBA) и анализ сетевого трафика (Network Traffic Analysis, NTA) для обеспечения мониторинга и понимания происходящего в среде организации. Кроме того, команды SOC обычно используют технологии оповещения и сбора журналов, такие как Security Information Event Management (SIEM) для определения политик, корреляции событий и приоритизации инцидентов. Наконец, необходимо как-то связать сгенерированные алерты с информацией, чтобы оперативнее расследовать и устранять угрозы, для чего применяются решения Security Orchestration, Automation and Response (SOAR).
Этот многоуровневый подход к предотвращению требует значительных затрат и наличия профессионального опыта, а также занимает много времени. Многие команды SOC не способны обрабатывать большое количество алертов. По статистике, в среднем SOC может получать 174.000 алертов в неделю. Поскольку численность сотрудников департаментов ИБ не бесконечна, математика не сходится. Команды ИБ могут полагаться на более чем 40 точечных продуктов для расследования и устранения атак, которые могут генерировать более 200 кейсов (инцидентов) в день. Это создает эффект «вращающегося кресла», который заставляет группы безопасности тратить время на ручное внесение данных и реагирование на алерты, а не на проактивный подход и предотвращение атак.
В среднем, требуется 197 дней, чтобы идентифицировать сетевой взлом, и 69 дней, чтобы отреагировать на него. Неудивительно, что новости о взломах имеют такой приоритет в прессе. Средняя стоимость взлома в США в 2018 году оценивалась в 7,91 миллиона долларов.
Эксперты ИБ заслуживают лучшего подхода, который избегает сложности и ограничения точеных инструментов, таких как EDR, UEBA или NTA. Подход, который может объединить разные инструменты и источники данных и помочь командам ИБ на всех этапах — обнаружение аномалий, проверку алертов (триаж), расследование инцидентов и поиск угроз. Этот идеальный подход будет:
- Отслеживать происходящее в сети,
- Интегрироваться с инструментами,
- Использовать масштабную аналитику,
- Упрощать проведение расследований.
Это совершенно новый подход, называемый XDR, резко отличающийся от традиционной категории обнаружения и реагирования. «X» обозначает любой источник данных, будь то сеть, конечная точка или облако, с акцентом на резкое увеличение производительности каждого члена команды ИБ благодаря автоматизации. Конечная цель состоит в том, чтобы решения этой категории сокращали среднее время на обнаружение угроз и реагирование на них, не повышая загруженность кого-либо в команде.
Чтобы узнать больше об инновационном подходе XDR, вы можете изучить этот обзорный документ, который рассказывает о том, как XDR может помочь вывести ваш SOC на новый уровень.
Вы можете узнать подробности и протестировать решения Palo Alto Networks, обратившись в компанию Тайгер Оптикс.