Zeus Kerravala er grundlægger og hovedanalytiker hos ZK Research. Han tilbragte 10 år hos Yankee Group og havde før det en række IT-stillinger i virksomheden.
Full Bio den 23. februar 2022 | Emne: Netværk
SIEM, eller sikkerhedsinformations- og hændelsesstyringskonsollen, har været en fast bestanddel for sikkerhedsteams i mere end et årti. Det er den enkelte rude, der viser hændelser, advarsler, logfiler og anden information, der kan bruges til at finde et brud. På trods af dets næsten allestedsnærværende har jeg længe været en SIEM-kritiker og mener, at værktøjet for længst er forbi sit bedste. Dette er bestemt ikke konsensus; Jeg er tidligere blevet kritiseret for at tage denne holdning.
Ældre SIEM'er er forældede
En af de største forskelle mellem en traditionel SIEM og Cortex XSIAM er, at sidstnævnte indsamler detaljerede telemetrioplysninger, ikke kun logfiler og advarsler. Det er her AI kan tilføje værdi, da det kan drive native autonome reaktionshandlinger, såsom krydskorrelation af advarsler og data, detektering af sofistikerede nye trusler og automatiseret afhjælpning baseret på trusselsintelligens og angrebsoverfladedata.
Sikkerhedsplatforme er vejen frem
Udgivelsen af Cortex XSIAM er et direkte resultat af den sikkerhedsplatform, som Palo Alto Networks har bygget. Historisk set har sikkerhedsprofessionelle brugt best-of-breed-punktprodukter til at sikre specifikke punkter i miljøet. Dette er grunden til, ifølge ZK Research, at den gennemsnitlige virksomhed har 32 sikkerhedsleverandører, hvoraf nogle rapporterer mere end 100. En af de amerikanske regeringsorganer på tre bogstaver fortalte mig, at den har mere end 200.
CISO'er er begynder nu at forstå, at denne strategi ikke virker. En CISO udtalte, at best of race overalt ikke fører til den bedste trusselbeskyttelse i klassen. Faktisk skaber det suboptimal beskyttelse, fordi det bliver umuligt at administrere sikkerhedspolitikker på tværs af de forskellige leverandører.
Jeg tror ikke, vi nogensinde kan have én leverandør til at håndtere alt, men virksomheder er nødt til at vælge en enkelt åben platformsleverandør, der har et stærkt fundament inden for netværk, cloud og slutpunkt, og derefter udvide det med teknologier, der interopererer med den platform . Det har været den vision, som Palo Alto har arbejdet på.
Det første bevispunkt for at validere værdien af platformen var udgivelsen af Palo Altos XDR-løsning. I 2018 forfattede jeg dette indlæg, der proklamerede XDR for at være udviklingen af EDR. Min tese på det tidspunkt var, at det ikke var nok at se på slutpunktsdata isoleret; XDR opruller data fra hele infrastrukturen for at se ting, som EDR ikke kan.
Udgivelsen af Cortex XSIAM følger samme tankeproces. SIEM'er bruger begrænsede data og manuelle analyser og er ikke længere en levedygtig måde at finde trusler på. Denne model har ikke virket, virker ikke og vil aldrig fungere. Sikkerhedsteams har brug for et driftsværktøj, der bruger AI-baseret analyse, som trækker detaljerede data fra hele platformen for at bekæmpe nutidens meget avancerede trusselsaktører.
Sikkerhed
Ukrainsk regering websteder forstyrret af DDoS, wiper malware opdaget. Denne Android-malware gemte sig inde i en app, der blev downloadet 50.000 gange fra Google Play Butik Sådan sikrer du dit hjemme-/kontornetværk: De bedste DNS-blokkere og firewalls Microsoft advarer om 'ice phishing'-trussel på blockchain, DeFi-netværk Sådan finder og fjerner du spyware fra din telefon Sikkerhed | Sky | Internet of Things | Datacentre