A végpontvédelemtől a XSIAM-ig

Az elmúlt években egyre gyakrabban találkozunk a nagyon trendi „digitalizáció” és „automatizáció” kifejezésekkel az üzleti életben. Az automatizáció területe nagyon hangsúlyossá vált az informatikában, és ez a különféle IT biztonsági rendszerek esetében sincs másképp. Évről évre látjuk az újabb és újabb bejelentéseket, amelyek azt ígérik, hogy meg fogják váltani a világot, és használatukkal könnyebb lesz az incidensek kezelése és a rendszerek üzemeltetése. Ezek az ígéretek általában egy-egy körülhatárolható problémahalmazra fókuszálnak és nem az IT biztonsági csapatok munkájának egészét szeretnék megreformálni.

Az egyik ilyen aktuális megoldáshalmaz az XDR-ek családja, ahova kezdetben inkább végpontvédelmi problémák irányból közelítettek a gyártók, ám ma már egyre nehezebb meghatározni mi is egy XDR, illetve milyen feltételeknek kell megfelelnie egy ebbe a kategóriába tartozó megoldásnak. A legtöbb megoldás tartalmaz valamilyen végpontvédelmet, és hálózati, illetve egyéb kapcsolódó naplókat is képes a saját maga által generált bejegyzésekkel korrelálni, valamint segít megkeresni egy incidens kiindulópontját. Viszont ez nem mindig elég, és a reagálási képességek sem terjednek ki minden esetben a cégek által használt biztonsági termékek teljes arzenáljára.

Ha tovább haladunk az automatizáció irányába, akkor ígéretesebb megoldásnak tűnhet a SOAR-ok családja. Ezek már konkrét incidenseket kapnak a meglévő rendszerekből, és például a Palo Alto Networks XSOAR csomagja esetén közel 1000 különböző más megoldást integrálhatunk. Képesek a legkülönfélébb módokon beavatkozni, és sok helyről gyűjtött információkkal kibővíteni a kapott riasztásokat. Egy ilyen rendszer nagyobb mennyiségű riasztás esetén képes akár több kezdő analyst munkáját is kiváltani és nagyban megkönnyíti a SOC csapat munkáját, akik így jobban fókuszálhatnak a bonyolultabb feladatokra. Sokszor ezekre a megoldásokra már úgy tekintünk, mint az automatizáció „csúcsára” és azt gondolhatnánk innen már nincs tovább. Pedig van. 

A Palo Alto Networks még egy lépéssel tovább ment: nemrég bejelentették az automatizált SOC víziójukat, ami a bejelentés óta már konkrét megoldásként, XSIAM néven érhető el a portfoliójukban. Ezt arra találták ki, hogy egy közös integrált platformként egyesítse az XDR és XSOAR, illetve a támadási felület figyelő -attack surface management, ASM-  Xpanse nevű megoldását a gyártónak. Az XSIAM segítségével a SOC csapatnak csak egy eszközön belül kell tevékenykednie, ahol az incidensek teljes életciklusát végig tudják követni. Nincs szükség a platformból „kinyúlni” egy külön ticketing rendszerbe vagy SIEM-be, és csak azok a riasztások kerülnek a szakemberek elé, amelyekkel mindenféleképpen foglalkozniuk kell. Egy hagyományos SIEM-mel szemben (ami általában sok helyen jelenleg még a SOC központi eleme) az XSIAM az incidensek feldolgozását hatékonyan segíti azzal, hogy automatikusan a kezünk alá dolgozik és már előre minden releváns információt korrelál és kibővít. Az XSIAM segít a SOC csapatoknak, hogy nagy mennyiségű riasztással is gyorsan tudjanak foglalkozni, illetve magába foglalja az adatok automatizált feldolgozását is. Az XSIAM további előnye, hogy a felhős felépítésének köszönhetően jóval egyszerűbb skálázni, mint egy saját SIEM-et, SOAR-t, illetve a hozzájuk kapcsolódó rendszereket. 

Ezeket a képességeket és előnyöket átgondolva egyértelmű, hogy az XSIAM által beteljesített vízió jelentősen megkönnyíti a nagy szervezetek számára a biztonsági incidensek kezelését. Ezen felül minden automatizáció, ami segít csökkenteni a céges rendszerek üzemeltetéséhez szükséges alkalmazottak számát, nagyban hozzájárul az általános IT biztonsági szakemberhiány kezeléséhez.