Moderní kybernetická bezpečnost: Od SIEM k XSIAM

Kybernetické útoky se neustále vyvíjejí a stávají se stále sofistikovanějšími. Aby byli obránci schopni těmto útokům čelit, musí mít ve výbavě dvě důležité zbraně: procesy a technologie. Procesy jsou nedílnou součástí bezpečnosti už od nepaměti a jejich obsah se v průběhu času radikálně nemění. Co se radikálně mění, jsou technologie, které chrání naše data a systémy. 

Proti útoku vytvořenému na míru za pomoci AI se z principu není možné ubránit bez použití technologie, která bude minimálně stejně vyspělá. V oblasti bezpečnostních nástrojů se dnes setkáváme s řadou nástrojů a jejich zkratek. Pojďme se zaměřit na ty nejčastější a pochopit, co nám která z technologií může přinést.

SIEM a Log Management

Tyto dva systémy patří mezi tradiční a léty prověřené nástroje. SIEM (Security Information and Event Management) je na trhu již téměř dvě dekády a log management (LM) ještě déle. Ačkoliv sdílejí řadu shodných funkcí, nejsou totožné.

LM je určen pro sběr a dlouhodobé uchování logů i pro jejich jednoduché prohledávání, a nezáleží na tom, jestli se jedná o logy provozní či bezpečnostní, z infrastruktury nebo aplikací. 

SIEM také sbírá logy, ale jeho cílem jsou logy bezpečnostní, případně takové, které mohou mít dopad do oblasti bezpečnosti. Ke sběru však přidává důležitou vlastnost. Tou je detekce incidentů na základě korelace vstupů z různých zdrojů a následný incident management. 

Tento stále velmi populární nástroj však má jednu zásadní slabinu. Tou je fakt, že uživatel musí být schopen přesně popsat, co chce detekovat, a zároveň poskytnout do SIEM veškerá vstupní data, která danou událost charakterizují. To je v době moderních útoků velmi obtížné až nemožné. 

Pokud doplníme to, že SIEM neposkytuje prevenční funkce, je pochopitelné, že svět kybernetické bezpečnosti postupně přechází k technologii, která si ze SIEM bere to nejlepší a doplňuje jej o mnoho dalších funkcionalit. Konkrétně k technologii XDR.

EDR a XDR

I přesto, že jasným trendem je v dnešní době XDR (eXtended Detection and Response), je nezbytné zmínit i jeho předchůdce EDR (Endpoint Detection and Response). 

EDR vzniklo jako náhrada tradičních antivirů, které již nebyly schopny plnit svou funkci a zajistit dostatečnou úroveň zabezpečení. Hlavní součástí EDR je agent umístěný na koncovém zařízení (endpoint), který provádí prevenční činnost a k tomu sbírá obrovské množství informací z daného endpointu, na základě kterých je možné detekovat škodlivé chování a na něj následně reagovat. 

XDR pak v ideálním případě spojuje vlastnosti SIEM a EDR. Získává detailní data z koncových bodů, která doplňuje o data třetích stran a touto kombinací dokáže efektivněji detekovat škodlivé chování, provést prevenci a předložit analytikovi incident s doplněným kontextem. Zároveň poskytuje možnost naplnit systém jakýmikoliv daty a nad nimi provádět uživatelské korelace stejně jako v SIEM. 

Není však XDR jako XDR. Někteří výrobci EDR si ve snaze zajistit podíl v segmentu XDR za „X“ dosazují ledaco. Například napojení svého EDR systému na nástroje třetích stran, které pak používají pro reakční opatření. Tím se ale jejich EDR nástroj nepřibližuje ani tak k systému XDR, jako spíše k systému SOAR.

SOAR

Security Orchestration Automation and Response neboli SOAR, stojí vedle SIEM či XDR a nedokáže je nahradit. Nejedná se totiž o detekční nástroj. Detekční nástroje však nezbytně potřebuje ke svému fungování. Prvotním impulsem k jeho činnosti je totiž detekovaná událost a nezáleží na tom, jestli je to incident z XDR, SIEM, IPS, nebo jestli se jedná o email, který uživatel vyhodnotil jako phishing a označil ho jako podezřelý. 

Jakmile SOAR získá tento vstup, může ukázat to hlavní, v čem je jeho síla. Automatizaci, orchestraci a response. Vstupní událost tak dokáže obohatit o libovolné informace dostupné v systémech třetích stran, ke kterým je připojený např. pomocí API. Na základě scénářů, neboli playbooků, automatizuje řadu činností, které bylo dosud třeba vykonávat ručně. A v neposlední řadě dokáže pomocí integrací zajistit reakci na bezpečnostní událost, ať již je touto reakcí zablokování účtu v centrální adresářové službě, odhlášení uživatele z VPN, nebo zařazení pracovní stanice do karantény. 

Přináší tak ohromnou úlevu analytikům, kteří nemusí trávit čas nad opakujícími se alerty, zajišťuje doplnění kontextu k již detekovaným událostem a poskytuje možnost okamžité reakce v případě bezpečnostního incidentu.

XSIAM

Extended Security Intelligence and Management (XSIAM) je nástrojem společnosti Palo Alto Networks a mnohými je dnes vnímán pouze jako marketingový název. Málokdo ale ví, že stejně tak tomu bylo před šesti lety s termínem XDR. 

Z názvu, který Palo Alto Networks představilo v roce 2018 a dalo jej svému novému produktu (Cortex XDR) se velmi rychle stal segment trhu, stejně jako se tomu stalo již dříve s NGFW (Next Generation Firewall). Neměli bychom se tak divit, až v budoucích letech uvidíme XSIAM i u ostatních výrobců. 

XSIAM je systémem, který kombinuje to nejlepší z výše uvedených nástrojů. Zpracování dat z endpointů a jejich ochrana vychází z Cortex XDR, jehož kvalita je každoročně dokazována testy MITRE Evaluations, kde se umisťuje výhradně na těch nejvyšších příčkách. 

Touto funkcí plně zastoupí antivirus a EDR/XDR řešení. Umožňuje napojení libovolného zdroje logů a jejich standardizaci do jednotného datového modelu, nad kterým jsou detekce prováděny jednak uživatelsky definovanými korelačními pravidly, ale i za pomoci umělé inteligence. 

Tím plně nahrazuje tradiční nástroj SIEM. Nedílnou součástí jsou automatizační a orchestrační funkce vycházející z nástroje XSOAR, díky kterým je možné provést integraci s více než tisíci nástroji třetích stran. 

Vše doplněno o ASM (Attack Surface Management) a AI Co-Pilot, čímž výrobce přináší nástroj, který je zcela unikátní, a který dokáže uspět v obraně proti moderním kybernetickým útokům.

Akvizice v oblasti kybernetické bezpečnosti

V posledních měsících došlo k několika významným akvizicím, které zásadně ovlivní trh kybernetické bezpečnosti. Palo Alto Networks nedávno oznámila akvizici QRadar SaaS aktiv od IBM. Tato akvizice je součástí širšího strategického partnerství, které má za cíl poskytovat pokročilá bezpečnostní řešení poháněná umělou inteligencí. 

Cisco zase dokončilo akvizici společnosti Splunk za 28 miliard dolarů, což posiluje jeho pozici na trhu SIEM a XDR řešení. Exabeam se spojil s LogRhythm, aby rozšířil své detekční a reakční schopnosti.

Závěr

Tyto akvizice potvrzují důležitost integrace pokročilých bezpečnostních řešení, jako jsou XDR a XSIAM, a jejich roli v budoucnosti kybernetické ochrany. Moderní přístupy, které kombinují tradiční SIEM s pokročilými analytickými a automatizačními nástroji, poskytují lepší ochranu, vyšší efektivitu a rychlejší reakci na hrozby. Thein Security, jako partner Palo Alto Networks a lídr v implementaci těchto technologií, je připravena pomoci organizacím přejít na moderní a efektivní bezpečnostní řešení.

Komentuje Jan Linhart, Chief Solution Architect, Thein Security

O Thein Security

Společnost Thein Security vznikla akvizicemi strategických firem a je stabilní součástí investiční skupiny Thein Tomáše Budníka. Specializuje se na kybernetickou bezpečnost pro firmy a provozuje vlastní bezpečnostní dohledové centrum SOC. Pomáhá firmám minimalizovat kybernetické hrozby s pomocí výjimečného týmu dedikovaných profesionálů a jedinečných partnerství, zejména s Palo Alto Networks. Je lídrem v nových technologiích využívaných velkými korporacemi, mobilními operátory, poskytovateli internetu, finančními institucemi a státní správou.