我提供的证据是,无论何时发生漏洞,SIEM供应商都声称已经看到,但漏洞还是发生了。许多遭受具有新闻价值的网络攻击的知名企业就是这种情况。Target、Sony和许多其他公司都表达了同样的看法。SIEM看到了,但安全团队错过了。如果SIEM如此强大,为什么这种情况会继续发生?
答案是SIEM无法再跟上进入其中的海量数据,需要以有助于安全操作确定事件优先级的方式进行关联、排序和查看。这有助于将实际违规与误报区分开来。许多安全专家告诉我,他们的SIEM现在显示了如此多的信息,以至于他们忽略了其中的大部分信息。从某种意义上说,信息太多和没有信息一样有用。
本周,PaloAltoNetworks推出了其CortexXSIAM(扩展安全智能和自动化管理),可以将其视为注入人工智能的现代化SIEM。XSIAM的概念是它使用AI将威胁与当今基础设施生成的大量遥测数据中的噪音分开。如果做得正确,这将加速威胁识别,进而加快威胁响应。
一段时间以来,急需将人工智能融入安全领域。仍然有一些人反对,实际上,将分析过程从人们手中拿走并信任机器的想法可能会令人恐惧。
事实上,坏人正在使用人工智能。用人来对抗拥有机器学习能力的威胁行为者,就像在枪战中带刀一样。是时候以牙还牙了,这意味着接受人工智能需要成为网络安全向前发展的关键部分。
传统SIEM和CortexXSIAM之间的主要区别之一是后者收集精细的遥测信息,而不仅仅是日志和警报。这就是AI可以增加价值的地方,因为它可以驱动本地自主响应操作,例如警报和数据的交叉关联、复杂的新兴威胁检测以及基于威胁情报和攻击面数据的自动修复。
安全平台是前进的方向
CortexXSIAM的发布是PaloAltoNetworks构建的安全平台的直接结果。从历史上看,安全专家使用同类最佳的点产品来保护环境中的特定点。这就是为什么根据ZKResearch的数据,平均每家企业有32家安全供应商,有些企业报告超过100家。美国政府机构的三个字母之一告诉我它有200多家。
CISO现在开始明白这种策略行不通。一位CISO表示,各地的同类最佳并不会带来一流的威胁防护。事实上,它创建了次优的保护,因为它变得不可能管理不同供应商的安全策略。
我不相信我们可以让一个供应商来处理所有事情,但企业确实需要选择一个在网络、云和端点方面拥有强大基础的单一开放平台供应商,然后通过与该平台互操作的技术来增强它.这就是帕洛阿尔托一直致力于实现的愿景。
验证平台价值的第一个证明点是PaloAlto的XDR解决方案的发布。2018年,我撰写了这篇文章,宣称XDR是EDR的演变。我当时的论点是孤立地查看端点数据是不够的;XDR汇总来自整个基础架构的数据,以查看EDR无法查看的内容。
CortexXSIAM的发布遵循相同的思考过程。SIEM使用有限的数据和手动分析,不再是发现威胁的可行方法。这种模式没有奏效,现在行不通,而且永远不会奏效。安全团队需要一种使用基于AI的分析的操作工具,该工具可以从整个平台中提取精细数据,以对抗当今高度先进的威胁参与者。
标签:
免责声明:本文由用户上传,如有侵权请联系删除!