Hur kontextualiserade data effektiviserar säkerhet och TDR-verksamhet

David Schiffer är VD för RevBits och tidigare för Safe Banking Systems (SBS). RevBits utvecklar cybersäkerhetsprogram för organisationer.

Att utöka nätverksperimetrar ökar attackytans tillväxt, vilket skapar mer komplexa hotupptäckts-, övervaknings- och begränsningsutmaningar. Alltför många leverantörer med olika produkter spridda över en organisations säkerhetsstack genererar problematiskt många falska positiva resultat, vilket förvärrar svårigheten att försvara sig mot cyberattacker och förhindra intrång.

Jobbet för IT- och säkerhetsteam blir mer komplicerat när de måste korrelera diskreta varningar från olika produkter. Den tid och ansträngning som krävs för att förstå tusentals lågprioriterade varningar och falska positiva meddelanden utan sammanhang kan vara överväldigande och ett slöseri med tid.

Cybersäkerhetsstackar måste övervinna synlighetsbegränsningar och sårbarheter förknippade med flera, orelaterade säkerhetslager. Istället för att skapa en stark försvarskedja skapar de en kedja av brutna länkar. Detta diskreta tillvägagångssätt separerar telemetri och skapar olika vyer med luckor som komplicerar hotelimineringsprocessen. Den osammanhängande och okoordinerade naturen hos enfunktionsprodukter skapar silos av data, analyser, varningar och rapportering.

Data: det goda, det dåliga och det fula

Vi har upprepade gånger hört frasen “data är guld” och naturligtvis erkänner vi dess värde som valuta på personlig och affärsmässig nivå. Men ett cyberhot, i sin kärna, handlar i grunden om skadlig data, eller “fool’s gold”, i form av dolda och smittsamma koder, filer, program, kodade instruktioner, skript och körbara algoritmer. På grund av den enorma expansionen och mångfalden av attackytor och vektorer finns det nu ett behov av en robust, datacentrerad säkerhetsarkitektur med prediktiva egenskaper och kontext.

Cybersäkerhet som tar telemetri från alla källor och konsumerar och analyserar data centralt blir en enda källa till sanning. När det finns inbyggd konvergens av säkerhetsfunktioner reduceras falska positiva varningar, begränsningen blir snabbare, säkerhetsoperationer strömlinjeformas och en mycket effektiv säkerhetsställning aktiveras. En säkerhetsplattform som kombinerar flera strömmar av kontextuell data med olika former av upptäckt gör det möjligt för organisationer att minska tiden som behövs för att identifiera, analysera och åtgärda attacker.

Cybersäkerhet som eliminerar riskbenägen tunnelseende

Säkerhetsteam kan tappa perspektivet när de investerar för mycket i säkerhetsprodukter med en funktion. Dessa produkter kan skapa synlighetsluckor på grund av deras oförmåga att dela sina data, varningar, analyser och begränsningsrekommendationer på ett konsekvent sätt. Denna tunnelseende placerar organisationer i en försvagad och begränsad position, oförmögen att snabbt, effektivt och fullständigt analysera, innehålla och eliminera ett brett spektrum av cyberrisker. I stor utsträckning är detta sant även med fristående säkerhetsinformation och händelsehantering (SIEM) och säkerhetsorkestrering, automatisering och svar (SOAR).

Istället för att använda fristående säkerhetslösningar kan företag dra nytta av en enda plattform med flera säkerhetsfunktioner integrerade. Logiskt integrerad analys och hotintelligens som kopplar samman flera inbyggda säkerhetsfunktioner ger säkerhetsteamet omfattande data med ett rikt sammanhang och full insyn i hela händelseförloppet. Tvärfunktionell detektering, analys och svarsspårning, med tidslinjer och attackvektorer över e-postmeddelanden, slutpunkter, servrar, nätverk och moln, effektiviserar begränsningen av hot.

Kontextuella ledtrådar om avsikten med skadlig data

För att möjliggöra handlingsbara insikter och eliminera hot måste cybersäkerhetslösningar till fullo förstå sammanhanget för de olika data som samlas in från olika källor. Cybersäkerhetsprodukter måste ge klarhet i vilken data de samlar in, analyserar, larmar och rapporterar.

Lika viktigt är att de måste kunna förstå hur data är uppbyggd och paketerad. För att effektivt identifiera misstänkt och skadlig aktivitet kan integrerade säkerhetsstackar ge djup förståelse, korrelation och användning av data som samlats in från ett brett spektrum av attackytor.

Organisationer kan uppnå en stark cybersäkerhetsställning med en attackvektordetekterings- och svarsmodell som centralt hanterar data från flera källor. Som en enda källa till sanning automatiserar inbyggda säkerhetslösningar sökningen efter cyberhot över alla attackytor och utnyttjar dataanalys genom logiska korskopplingar. Utöver möjligheten att mer effektivt ta bort hot, minskar detta, om inte eliminerar, mängden triage som krävs av säkerhetsanalytiker.


Forbes Technology Council är en inbjudningsgemenskap för CIO:er, CTO:er och teknikchefer i världsklass. Kvalificerar jag mig?


Leave a Reply

Your email address will not be published. Required fields are marked *