Vi presenterar IBM Security QRadar XDR

När de ombads att nämna de affärsprioriteringar som skulle driva IT-utgifterna under de kommande 12 månaderna, nämnde över hälften (47 %) av de tillfrågade i ESG:s 2021 Technology Spending Intentions Survey cybersäkerhet. 1 Detta är en betydande insikt. Organisationer behöver solida cybersäkerhetsprocedurer och kontroller som en grund för företagens hälsa och lönsamhet i en tidevarv av molnbaserad datoranvändning, digital transformation och support för distansarbetare.

Med tanke på den oupplösliga kopplingen mellan affärer, informationsteknik och säkerhet är det rimligt att anta att företag har uppdaterat sina säkerhetsoperationscenter (SOC) för att identifiera och reagera på cyberhot i realtid. Detta antagande skulle dock vara felaktigt – många SOC-team lyckas inte hänga med i nya hot. Vad är det aktuella läget för upptäckt och reaktion av hot, och finns det några hoppfulla framsteg inom den närmaste framtiden? Denna vitbok avslutar med att säga:

• Organisationer har en mängd olika mål för upptäckt av hot och svar. Hotdetektering och svarsmål för SOC-team inkluderar förbättrad upptäckt av avancerade hot, ökad processautomatisering kring saneringsaktiviteter och förbättrad tid för incidentrespons (IR). Dessa mål tyder på att nuvarande taktik är ineffektiv.
• Det finns flera hot att identifiera och reagera på. Proffs inom hotupptäckt och -reaktion erkänner en mängd hinder, inklusive ökad säkerhetsoperation, komplexitet, resursbegränsningar, en växande/föränderlig attackyta, beroende av oanslutna punktlösningsprodukter och svårigheter med dataanalys och beslutsfattande. Dessa utmaningar har ett inflytande på effektiviteten, effektiviteten och produktiviteten hos säkerhetsoperationsanalytiker.
• DR kan hjälpa till att identifiera och bemöta hot. Precis som ESG:s säkerhetsoperations- och analysplattformsarkitektur (SOAPA) har XDR (eXtended detection and response) utvecklats som en kommersiell säkerhetsoperationsarkitektur. XDR har potential att öka hotdetektion och respons samtidigt som det uppdaterar SOC, även om det fortfarande är i ett tidigt skede.
• De bästa XDR-systemen bör ge kapacitet på företagsnivå. ESG tycker att XDR-system bör erbjuda incidentresponstäckning över heterogena IT-infrastrukturer, kraftfulla analyser och automatiserade spelböcker. XDR bör vara molnbaserat och utformat med industristandarder, öppna API:er och vanliga dataformat för att uppfylla krav på skalbarhet och integration. Integration kommer också att främjas av ledande XDR-leverantörer via partnerskap och stödtjänster för utvecklare.

Hotdetektion och reaktion i USA

De flesta företag prioriterar upptäckt och reaktion av hot eftersom cyberattacker som ransomware och intrång i leveranskedjan kan störa eller till och med upphöra med kommersiell verksamhet. Som en följd av detta förväntar 83 % av företagen ökade utgifter för hotupptäckt och responsteknik, tjänster och personal under de kommande 12 till 18 månaderna. Organisationer har en mängd olika mål för att upptäcka och bemöta hot för att bekämpa cyberhot, inklusive:

• Förbättrad upptäckt av sofistikerade hot. Organisationer strävar efter att förbättra upptäcktsregler och analyser för att påskynda upptäckten av kända och oupptäckta hot. Förbättrande metoder för upptäckt inkluderar ökad avvikelsedetektering, större säkerhetsvarningar, mer detaljerade "tidslinjer" för attacker genom hela dödningskedjan och stöd för komplicerade frågor för mer avancerad hotjakt.
• Ökad automatisering av saneringsuppgifter. Säkerhetsoperationsuppgifter för att minska hot och incidentrespons är ofta beroende av manuella procedurer och SOC-teamets "stamkunskap". Denna praxis kan ha varit lämplig 2010, men manuella metoder kan inte växa för att möta mängden säkerhetsvarningar eller analyskrav över heterogen IT-infrastruktur. SOC-team inser behovet av att automatisera repetitiva operationer och orkestrera reaktionsåtgärder för larmtriage, säkerhetsutredningar och hotförebyggande. Automatisering kan hjälpa till att förenkla verksamheten, öka analytikers produktivitet och hålla SOC-teamet fokuserat på ständiga förbättringar.
• Förkorta den genomsnittliga tiden för att reagera på hot. När hot har identifierats måste incidentresponsen påbörjas snabbt för att minska motståndsperioderna och begränsa skadorna. Detta innefattar att stoppa aktiva cyberattacker, fastställa explosionsradien för attacker och slutligen reparera eventuella återstående sårbarheter eller rester av attackerna. CISO:er förstår behovet av att påskynda denna process.

Till räddningen, XDR?

ESG insåg behovet av nära integrerade säkerhetsoperationsteknologier och introducerade idén "säkerhetsoperationer och analysplattformsarkitektur" för första gången 2016. Denna form av integration tar gradvis fart. I ett nyligen genomfört ESG-studieprojekt ifrågasattes säkerhetsproffs om deras företag prioriterade integrationen av säkerhetsanalys och operativ teknik. Integrering av säkerhetsanalys och driftsteknik var den största prioriteringen för 37 % av de svarande, medan 56 % angav att det var ett av deras fem främsta mål.

Ladda ner ESG:s whitepaper för att lära dig mer om att introducera IBM Security QRadar XDR endast på Whitepapers Online.