Na nedavni konferenci INFOSEK smo srečali inovativno rešitev za upravljanje kibernetske varnosti Stellar Cyber Open XDR. Ker gre za inovativen in razmeroma nepoznan pristop, smo se o posebnosti te odprte platforme pogovarjali z Miri Varbitzky, podpredsednico za prodajo v regiji Srednja in Južna Evropa, Bližnji vzhod in Afrika.
Omenili ste, da je Stellar Cyber na slovenskem trgu prisoten od lanske pomladi. Pri kibernetski varnosti so, podobno kot pri drugih IT-produktih, prodajni cikli precej dolgi. Ali ste uspeli pridobiti kakšno stranko ali potrditveni projekt?
Vsekakor, pridobili smo nekaj novih priložnosti, gre pa za globalna podjetja. V Sloveniji opažam, da trg začenja razumeti potrebo po rešitvah, kot je Open XDR. Zelo koristno je tudi, da nas je letos Gartner uvrstil med 10 najboljših ponudnikov rešitev XDR, pri čemer je Stellar Cyber edina odprta rešitev XDR, ki so jo Gartnerjevi analitiki uvrstili na seznam. Povpraševanje se je letos tudi zaradi dejavnosti našega distributerja močno povečalo pravzaprav v celotni regiji, torej poleg Slovenije še na Hrvaškem, v Srbiji, Bosni, na Madžarskem in v Bolgariji.
Kakšna je prednost sistema Open XDR glede na druge podobne rešitve za upravljanje varnostnih informacij in dogodkov ter odzivanje, kot sta SIEM in SOAR?
Temeljne prednosti so odprtost, dinamičnost in prilagodljivost. Prevzamete lahko katero koli tehnologijo ali orodje in vam ni treba biti vezan na določeno rešitev posameznega ponudnika. Sistem upravljanja kibernetske varnosti si dejansko zgradite tako kot hočete, pri čemer lahko uporabite pristop uporabe najboljših rešitev za posamezno področje, namesto da zaradi poenostavitve upravljanja vse rešitve konsolidirate pri enem ponudniku. Vsi vemo, da to ni optimalno. Poleg tega lahko Open XDR namestite, kjer vam najbolj ustreza, lokalno ali v zasebnem oziroma javnem oblaku.
Sistem upravljanja kibernetske varnosti si dejansko zgradite tako kot hočete, pri čemer lahko uporabite pristop uporabe najboljših rešitev za posamezno področje.
Ko govorimo o zagotavljanju vidnosti groženj, moramo pridobiti podatke iz številnih orodij in vzpostaviti korelacijo med njimi. Zato potrebujete orodje, kot je Open XDR. Samo orodje XDR za razširjeno odkrivanje in odzivanje ni več dovolj. Pregledati in obravnavati moramo vse, kar se nanaša na odkrivanje in odzivanje, torej ne le na končnih točkah temveč tudi v omrežju, v peskovniku … Vključena morajo biti orodja, ki ščitijo vso napadno površino. Pri lovljenju groženj morate namreč preučiti celotno sliko in upoštevati vse komponente, ki jih uporabljate v svojem perimetru, pod enim dežnikom. Doseči morate vidljivost, za kar pa morate ta orodja prilagoditi in povezati v eno nadzorno rešitev. To precej olajša življenje vsem, ki se ukvarjajo z odkrivanjem in odzivanjem na kibernetske grožnje in še posebej ponudnikom upravljanih storitev kibernetske varnosti, kjer različne stranke uporabljajo različne varnostne rešitve.
Kateremu segmentu organizacij v Sloveniji je namenjena vaša rešitev?
Pravzaprav je to najbolj privlačno pri Stellar Cyber – da ustreza vsem vrstam strank iz različnih dejavnosti. Imamo zelo majhne stranke, ki prihajajo iz malih in srednje velikih podjetij, na primer majhna družinska odvetniška podjetja, ki kupijo našo rešitev. Potem so tu ponudniki upravljanih storitev kibernetske varnosti, ki lahko nabavljajo licence za zelo malo sredstev. Na drugi strani imamo vsa velika podjetja, saj našo rešitev uporabljajo mednarodne korporacije s seznama Fortune 500. Danes ni treba, da ste veliko in bogato podjetje, ki ima proračun za nakup najdražjih rešitev na trgu. Open XDR zagotavlja varnost za organizacije vseh velikosti, v bistvu dobite celotno rešitev, tudi če ste majhno podjetje. Organizacije v Sloveniji so še posebej primerne za naš produkt, saj jim je cenovno dostopen. Poleg tega so tukajšnja velika in srednja podjetja precej manjša v primerjavi s podjetji v večjih državah, recimo v ZDA, in v resnici potrebujejo manj kompleksne, ampak zelo učinkovite rešitve.
Glede konkurence se v Stella Cyber spogledujete z vodilnimi ponudniki rešitev SIEM in SOAR. Vendar Open XDR deluje precej drugače.
Med našimi glavnimi konkurenti so res recimo IBM QRadar, Splunk, LogRhythm … čeprav neposrednega konkurenta nimamo, ker se povezujemo z vsemi in ne nastopamo kot edini ponudnik, na katerega bi se stranke zaklepale. Ponujamo odprto platformo, ki vsebuje veliko funkcij, katerih del sta tudi SIEM in SOAR. Vendar nismo klasični ponudnik SIEM, niti nismo cenovno primerljivi.
Seveda pa stranki ni treba opustiti rešitev, za katere ima kupljene licence. Open XDR je integriran s preko 500 rešitvami.
Če ima stranka recimo QRadar in neko drugo rešitev za odkrivanje in nadzor na končnih točkah, bo lahko prešla na naš SIEM naslednje generacije. Ali pa bo uvedla našo rešitev NDR, ki je ena od vodilnih. Ko vse to povežemo v Open XDR dobimo na primer SOAR, analizo vedenja uporabnika … V resnici stranka dobi toliko zmožnosti z isto platformo, z isto licenco in po isti ceni, da ni treba dodatno vlagati in kupovati ločene rešitve. Seveda pa stranki ni treba opustiti rešitev, za katere ima kupljene licence. Open XDR je integriran s preko 500 rešitvami. Ko se licenca za obstoječe rešitve izteče, lahko enostavno preide na naše zmožnosti. Spet je vse čisto odprto. Tako smo veliko bolj konkurenčni in dostopni strankam, ki bi rade načrtovale svojo pot do večje varnosti, saj ni vsaka stranka še vedno pripravljena ali zrela za izvajanje vseh funkcij, ki jih ponujamo.
Kdaj je pravi trenutek za uvedbo platforme Open XDR. Je to morda takrat, ko organizacija začuti potrebo po rešitvi XDR, NDR ali SIEM?
Jasno, to je točno to. Rešitev lahko ponudimo v številnih različicah. Lahko gre za čisto začetno naložbo, ko stranka recimo še nima rešitve za NDR ali potrebuje nadgradnjo na učinkovitejšo zaščito. Stvar je v tem, da morda vodilni SIEM ne bo deloval dobro z vodilnim NDR ali požarno pregrado. Vstopimo lahko samo z enim sklopom. Lahko rečemo, v redu, ponudimo vam našo naslednjo generacijo SIEM, torej dobite enako rešitev, ki ste jo že imeli, zraven pa dobite še dodatne zmogljivosti. Z enakim proračunom boste pokrili veliko več funkcij. Po drugi strani pa lahko absolutno nadomestimo obstoječe starejše rešitve, ker še enkrat, nudimo odlično rešitev, vendar je to tradicionalen prodajni pristop. Ne gre samo za zmogljivosti, ki vam bodo omogočile veliko stvari. Smo prilagodljivi, neodvisni od ponudnikov in se lahko povežemo z vsemi vrstami varnostnih orodij, ki so na voljo. Torej lahko nadomestimo obstoječe starejše rešitve. Tretji scenarij pa je, da se povežemo z obstoječimi rešitvami in dodamo določeno funkcionalnost. To pomeni, da če bi stranka na primer želela uporabljati Stellar Cyber za projekt uvedbe NDR, bo na koncu dneva v odprto platformo povezala različne varnostne aplikacije. Dobila bo torej več kot samo zmožnosti za odkrivanje in odzivanje v omrežjih. Na podoben način ohranjamo obstoječe naložbe. Če ima stranka plačano licenčnino za QRadar še za 8 mesecev, lahko to rešitev uporabimo kot vir dnevniških zapisov, stranka pa se kasneje odloči, kaj ji bolj ustreza z vidika cene in funkcionalnosti. Veste, na našem trgu je včasih tudi veliko politike, ki jo moraš upoštevati, še posebej v globalnih podjetjih, kjer se odločitve sprejemajo centralno.
Stellar Cyber sicer ne ponuja rešitve za odkrivanje in odzivanje na končnih točkah, na primer zlonamerne programske kode, kot jih večina najbolj znanih ponudnikov kibernetske varnosti. Kako rešujete te izzive?
Stellar Cyber res ni ponudnik EDR, torej morate imeti takšno rešitev že vzpostavljeno. Smo pa univerzalni ponudnik zmožnosti XDR, kar pomeni, da z zmožnostmi za razširjeno odkrivanje in avtomatizacijo odzivanja nadgrajujemo vse standardne rešitve EDR.
Ne pridobite samo razširjenosti, ampak dosežete popolno vidljivost celotnega perimetra in vsega, kar uporabljate danes za njegovo zaščito.
Pravzaprav katero koli standardno rešitev EDR ali XDR prenesemo na naslednjo raven in s povezovanjem različnih orodij omogočamo, da stranka doseže takšno raven razširitve, ki jo imenujemo odziv na odkrivanje vsega. Ne pridobite samo razširjenosti, ampak dosežete popolno vidljivost celotnega perimetra in vsega, kar uporabljate danes za njegovo zaščito. Tako se v bistvu izognete slepim pegam in vrzelim, ki jih ustvarjajo posamezna orodja. Ker še enkrat, najboljša požarna pregrada Palo Alto ne bo nujno komunicirala z vašo osrednjo nadzorno rešitvijo ali pa imate na oddaljeni lokaciji požarno pregrado nekega drugega proizvajalca, ki ga morate ločeno spremljati. Ali pa, če morda uporabljate CrowdStrike, pa ste prevzeli drugo podjetje, ki uporabljajo Cynet - kaj boste storili potem? Kako bodo ti ljudje komunicirali? Kako boste poskrbeli, da se v primeru kakršne koli kršitve varnosti ali napada ta ne bo razširil po vašem celotnem okolju?
Če povzameva, v Stellar Cyber pravite, da je Open XDR pred pripravljena rešitev za varnostno operativne centre SOC. Vemo, da se tako imenovane ekipe SOC srečujejo z vrsto izzivov, ker nimajo vseh podatkov na enem mestu in ker morajo pri odzivanju ter odpravljanju posledic incidentov delati z več orodji naenkrat. Njihovi procesi so neučinkoviti, osebje je preobremenjeno, za povrh pa podjetja kibernetskih varnostnikov na trgu sploh ne morejo dobiti.
Open XDR deluje v središču vseh kibernetskih varnostnih rešitev in jih spravlja na skupni imenovalec, v eno nadzorno in operativno rešitev. Povezujemo se z vsemi različnimi viri dnevniških zapisov, ki jih ponujajo različni prodajalci. Vzamemo vse dnevnike, izvedemo korelacijo in ustvarimo pogled na incident. Temu sledi samodejno odzivanje na incident, pri čemer na osnovi pravil sprožamo ustrezne ukrepe v posameznih varnostnih rešitvah.
Posamezen analitik tako v eni uri razreši veliko več incidentov, kot jih je prej v celotni izmeni.
Seveda uporabljamo veliko umetne inteligence in strojnega učenja. Analitikom v varnostno operativnem centru damo na pladnju vse pomembne podatke, ki jih potrebujejo za hitro odzivanje in jih razbremenjujemo obravnave lažno pozitivnih obvestil. Posamezen analitik tako v eni uri razreši veliko več incidentov, kot jih je prej v celotni izmeni. Rešitev drastično poveča produktivnost, kar je še posebej pomembno v časih, ko primanjkuje kibernetskih varnostnikov, bodisi v internih varnostnih ekipah bodisi pri ponudnikih zunanjih storitev SOC ter drugih ponudnikih upravljanih storitev kibernetske varnosti. Analitiki dejansko delajo z eno rešitvijo in morda niti ne vedo točno, iz katerih rešitev pri posamezni stranki so prišle informacije o incidentu in v katerih rešitvah bodo stekli ukrepi odzivanja in remediacije. Ker je Open XDR že povezana z večino svetovnih rešitev, pri čemer omogočamo tudi res hitro izdelavo novih integracij, lahko rečemo, da je to SOC v škatli.
