Sofortiger Erfolg bei der Bedrohungsjagd mit Detection as Code On-Demand
Inhaltsverzeichnis:
SOC Prime führt neue Abonnementpläne ein, um die Bedrohungserkennung mit kundenspezifischem und bedarfsorientiertem Inhalt zu beschleunigen
Im Allgemeinen leidet das Detection Engineering unter der Notwendigkeit, kontinuierlich nach aggressiven, schädlichen, aktuellen und langfristigen Cyberbedrohungen zu suchen. Der Bedarf an automatisierten, systematischen, wiederholbaren, vorhersehbaren und gemeinsam nutzbaren Ansätzen ist offensichtlich. Besonders für die meisten Detection Engineers, die als Threat Hunter, SOC Analyst, Detection Content Creator, Administrator und Milderer fungieren müssen. Und als Teil Dirigent, Künstler, Stratege und Taktiker agieren.
Darüber hinaus erfordert die Erkennung von Bedrohungen nicht nur Fähigkeiten, sondern auch Werkzeuge und Inhalte. Organisationen können aufbauen, kaufen, auslagern oder die Konsequenzen erleiden, da Unwissenheit oder Vermeidung in der Regel in Geldstrafen, Umsatzeinbußen, Kundenverlusten und Markenschäden resultiert. Viele Organisationen überleben diese Auswirkungen nicht. SOC Prime bietet brauchbare und kosteneffiziente Lösungen , die es Organisationen ermöglichen, ihre Bedrohungserkennungsfähigkeiten mit einem innovativen Cybersecurity-Ansatz zu stärken.
Detect-as-Code-Paradigma
Anton Chuvakin hat das Konzept von „Detection as Code“ pioniert, um zu versuchen, die Sicherheitsoperationen mit anderen DevOps-Direktoraten in Einklang zu bringen, die durch den Erfolg der Softwareentwicklung mit ähnlichen Fähigkeiten verbessert wurden (daher der „as code“ Tag). Das Konzept soll das Detection Engineering zu einer Reihe von Praktiken und Systemen drängen, die besser ausgestattet sind, um moderne und effektive Bedrohungserkennung zu liefern und das Detection Engineering zu einer „realen“ Praxis zu machen, die auf modernen Prinzipien basiert, die anderswo in der IT erfolgreich eingesetzt werden (z.B. Agile oder DevOps). Letztendlich ist „Detection as Code“ als ein systematischer, flexibler und umfassender Ansatz gedacht, um den Betrieb der Bedrohungserkennung zu verbessern, indem bessere Zusammenarbeit, Tests, Implementierung und Lebenszyklusmanagement der Bedrohungserkennung ermöglicht werden.
SOC Prime ist der ursprüngliche Innovator, der das Konzept von Detection as Code umarmt. Heute bietet die SOC Prime-Plattform über 180.000 Sigma-basierte Regeln, Abfragen, Parser, SOC-fähige Dashboards, YARA- und Snort-Regeln, Machine-Learning-Modelle und Incident Response Playbooks, die auf CVE- und MITRE ATT&CK®-Frameworks abgebildet sind.
Die Erträge aus der Nutzung von SOC Primes Detection-as-Code-Plattform sind beeindruckend. Über 3 Millionen US-Dollar an Kosten können eingespart werden, indem man den Bedarf eliminiert, einen Manntag für die Entwicklung einer einzelnen Erkennungsregel zu einem geschätzten Kostenaufwand von 800 US-Dollar aufzuwenden. Unternehmensorganisationen sparen bis zu 5.000 Stunden pro Jahr bei der Erstellung von Detection Content.
SOC Prime hat auch Sigma übernommen, um sicherzustellen, dass Erkennungsinhalte Open Source, standardbasiert und herstellerneutral sind. Regeln werden im strukturierten YAML-Format geschrieben, was sowohl den menschlichen als auch den systemischen Verbrauch erleichtert und sicherstellt:
- Skalierbarkeit: Sigma-Regeln können über mehr als 25 SIEM-, EDR-, XDR-Integrationen bereitgestellt werden.
- Teilen: Sigma-Regeln sind so geschrieben, dass sie geteilt und für die Integration mit jedem Sicherheitsfahrzeug übersetzt werden können.
- Einfachheit: Threat Detection Engineers müssen einen einzigen Standard für die Erstellung von Erkennungsinhalten über alle Sicherheitsfähigkeiten hinweg beherrschen.
Bedarfsabhängige Abonnementpläne
Im Bestreben, den Zugang und die Anwendung des Konzepts der Detection as Code weiter zu vereinfachen, hat SOC Prime Detection as Code auf Abruf verfügbar gemacht. Bedarfsabhängige Abonnements bieten kostengünstigen, sofortigen Zugang zu Detection-as-Code-Inhalten basierend auf maßgeschneiderten Suchkriterien, die auf die Angriffsvektoren abgestimmt sind, die für die Untersuchung einer einzelnen Organisation am wichtigsten sind. Eine Sigma-Übersetzungs-Engine sorgt für Flexibilität und dass Inhalte für jede SIEM-, EDR- oder XDR-Umgebung verfügbar sind.
Dies stellt sicher, dass Threat Hunter jede Phrase in Erkennungscode durchsuchen können, um verfügbare Erkennungsinhalte zu entdecken und relevanten Erkennungscode schnell in ihrer Sicherheitsinfrastruktur einzusetzen. Die Absicht ist, das Wachstum der Betriebskapazität der Bedrohungsingenieure schnell und kostengünstig zu skalieren und Threat Hunter zu ermöglichen, sich sofort auf als problematisch identifizierte oder in ihren einzigartigen Umgebungen priorisierte Schwachstellen zu konzentrieren.
„Angesichts einer sich ständig ändernden Bedrohungslandschaft ist es eine entmutigende Aufgabe für Sicherheitsexperten, die Erkennungsinhalte einer Organisation aktuell, effektiv und relevant zu halten,“ sagte Andrii Bezverkhyi, Gründer und CEO von SOC Prime. „Mit SOC Primes Detection as Code On-Demand können Sicherheitsexperten relevante Inhalte zum genau benötigten Zeitpunkt erhalten und kontinuierlich sicherstellen, dass keine kritischen Erkennungsinhalte übersehen werden.“
