في منافسة فائقة اليوم سوق MSSP، يبحث أصحاب الأعمال عن طرق لجعل عروضهم أكثر جاذبية للعملاء ولهم SOCs أكثر فعالية. إلى تلك النهاية MSSPs إضافة تقنية جديدة إلى مجموعة عروض الأمان الخاصة بهم على أمل أن يرى العملاء المحتملون هذه الإضافة كفرصة للاستعانة بمصادر خارجية لبعض أو كل مراقبة الأمان الخاصة بهم. هناك بعض الصلاحية لهذه الاستراتيجية ؛ لسوء الحظ ، غالبًا ما تفشل التكنولوجيا الجديدة في تقديم مزاياها المعلنة مما يؤدي إلى زيادة معدل تضارب العملاء. لذا ، بينما تُبقي فريق التكنولوجيا والأمن لديك على اطلاع بأحدث وأكبر تقنيات الأمان أمرًا ضروريًا ، في بعض الأحيان يجب عليك إلقاء نظرة على ما هو موجود بالفعل في حزمة الأمان الخاصة بك.
التكنولوجيا الوحيدة التي أشير إليها بالتحديد هي التكنولوجيا الخاصة بك SIEM. بناءً على من تتحدث إليه ، نحن حاليًا في الجيل الثالث أو الرابع من SIEM التكنلوجيا؛ ومع ذلك ، عندما أتحدث إلى الممارسين ، فإن مستوى إحباطهم مع SIEM في Defcon.
1. يستمر مزودو خدمات الأمن المُدارة في استخدام SIEM وهذا لا يلبي احتياجاتهم بسبب الوقت والموارد اللازمة لاستبداله بشيء من المحتمل أن يتركهم بخيبة أمل مماثلة.
اسمحوا لي أن أتحدث عن ثلاث طرق قديمة SIEM (أو حتى ليس قديمًا جدًا) SIEM) يسبب ضرراً أكبر مما تعتقد.
SIEMs كسالى
هناك ، قلت ذلك ، لكننا جميعًا نعرف ذلك SIEMs، حتى وقت قريب ، لم تكن تعمل بشكل أكثر ذكاءً ، بل جعلوك تعمل بجدية أكبر. على الرغم من أنها سمحت لك بجمع جميع أنواع السجلات وربط التنبيهات من عناصر التحكم الأمنية المختلفة ، إلا أن النتيجة التي ستحصل عليها كانت جيدة مثل محلل الأمان الأكثر إبداعًا لديك. إذا كانوا نينجا أمنيين يتمتعون بفهم واسع لطبيعة التهديدات ويعرفون كيفية كتابة قواعد الارتباط الذكية ، فمن المحتمل أنك كنت تحب SIEM.
إذا كان فريقك مثل معظم اللاعبين ، حيث تحاول الشركات جذب أفضل لاعبيك بعيدًا ، فسترى تحولًا جذريًا في فريقك SIEMs الفعالية إذا غادروا. نعم، NG-SIEM يحاول مقدمو الخدمة معالجة هذه المشكلة من خلال تقديم المزيد من المحتوى الجاهز (لا تزال هيئة المحلفين خارجة عن فعاليتها). ومع ذلك ، تمامًا مثل حزمة Oreo التي يفتحها أطفالك وينسون الإغلاق بشكل صحيح ، فإن هذا المحتوى سرعان ما يصبح قديمًا ، مما يترك لك مهمة إنشاء قواعد جديدة أو البحث في المجتمعات عن محتوى يمكنك استيراده. خلاصة القول ، SIEM، حتى NG-SIEMs، يتركون العبء الثقيل لفريقك ، مما يعيق قدرتك على إضافة عدد العملاء الذين يمكن لفريقك التعامل معهم دون هذا العبء.
SIEMإنهم يستهلكون كميات هائلة من البيانات
الأمن السيبراني اليوم هو مشكلة بيانات ، نقطة الصفر ، إنها مشكلة مشكلة بيانات كبيرة. مع وجود العديد من المنتجات المستخدمة يوميًا ، فإن حجم السجلات التي تنشئها شركة متوسطة الحجم نموذجي أمر سخيف. بينما تتطلب صناعات معينة جمع سجلات كاملة ومراجعتها للامتثال لهذا التنظيم أو ذاك ، فإن العديد من العملاء الذين قد ينظرون إلى MSSP لا يحاولون حل مشكلة الامتثال. بدلاً من ذلك ، يتطلع الكثيرون إلى القيام بعمل أفضل لتحديد التهديدات والتخفيف من حدتها قبل أن يضروا بأعمالهم. SIEMsبسبب ميلها المتأصل والمتأصل نحو جمع البيانات بشكل كامل، فإن فريق الأمن الذي يسعى لتحديد التهديدات سيخوض في بحر من بيانات السجلات غير ذات الصلة على أمل اكتشاف خطر ما. ليست هذه مهمة مستحيلة، فأنت على الأرجح تقوم بها اليوم، ولكن تخيل لو كنت منقبًا عن الذهب في أربعينيات القرن التاسع عشر. بدلًا من استخدام غربال لغربلة كميات صغيرة من الطمي بحثًا عن الذهب، قررت استخدام دلو ضخم على أمل العثور على هذا المعدن الثمين. أي الطريقتين، برأيك، ستستغرق وقتًا أطول؟ بالطبع، أعلم أن هذه ليست مقارنة عادلة، وأن قدراتنا الحاسوبية المتقدمة يمكنها تسريع العملية. مع ذلك، فإن توفير بضع دقائق يوميًا يُحدث فرقًا كبيرًا، خاصةً على نطاق واسع. SOC مع عشرة أو عشرين أو خمسين محللاً أمنياً. الخلاصة – SIEMs تعتبر رائعة في حل حالات استخدام الامتثال الخالص نظرًا لأنها تجمع جميع بيانات السجل ، ولكن بالنسبة لحالات الاستخدام الأمني ، وهو ما تبيعه عادةً ، فأنت بحاجة إلى تقنية تفهم الفرق بين سجلات الأمان ذات الصلة والسجلات غير ذات الصلة ، وتجمع فقط ما تحتاجه .
SIEMلا يحبون الجميع
عندما كنت أدير تسويق منتج لمورِّد آخر (سيبقى مجهول الاسم) ، كان أحد الأسئلة الأكثر شيوعًا هو "هل تدعم منتج XYZ؟" أو "هل يمكنني إحضار البيانات من منتج ABC؟" يفهم مشترو الأمان الأذكياء الذين تواجدوا حول سيرك البائع مرة أو مرتين كيف سيقلل بائعو الأمن من عدم وجود عمليات تكامل مسبقة الصنع لمنتجاتك. سيقولون أشياء مثل ، "يمكنني الحصول على ذلك من أجلك ، لا مشكلة" أو "أنا متأكد من أنه في الطريق ؛ اسمحوا لي أن أعود إليك "، بينما في الواقع ، سيتعين عليهم العودة إلى فريق الاندماج الخاص بهم والتوسل والمطالبة بتكامل جديد ، خاصة إذا كانوا بحاجة إلى إغلاق صفقتك للوصول إلى رقمهم في ربع السنة. الآن يقوم شخص ما في فريق التكامل بإعداد نص برمجي لمرة واحدة يعرض البيانات المتدفقة من منتجك إلى ملف SIEM الخلفية ، على أمل ألا يأخذ أحد مشط أسنان ناعم لما تم تسليمه. مرة أخرى ، إذا كنت في الجوار لمدة دقيقة ، فأنا متأكد من أن هذا يبدو مألوفًا.
الحقيقة المحزنة هي أن الأكثر SIEMs يصعب دمجها ، نظرًا للتعقيد الأساسي لنماذج البيانات الخاصة بهم. قد تكون قادرًا على كتابة عمليات التكامل الخاصة بك ، وإذا كان الأمر كذلك ، فهذا رائع ، ولكن ماذا يحدث عندما يكون ملف SIEM يطرح البائع إصدارًا جديدًا ويكسر تكاملك؟ لقد عاد إلى لوحة الرسم. خلاصة القول - عمليات تكامل خارج الصندوق لملف SIEM هذا العمل هو ما يجب أن تتوقعه من عملك SIEM أيها البائع، إذا لم تحصل على ذلك اليوم، فسيتأثر وقت إعداد عملائك الجدد، وفي أسوأ الأحوال، ستخسر أعمالًا تجارية بسبب انتظارك SIEM سيقوم البائع بتوفير عملية تكامل تأمل أن تنجح.
لقد ساعدنا العديد من MSSPs على رؤية فوائد الاستغناء عن القديم أو القديم SIEM واستبدالها بـ ستيلر سايبر Open XDR المنظومة. مع منصتنا ، تحصل على:
- الأتمتة الصحيحة ، حيث تحتاجها: يتمثل هدف Stellar Cyber في جعل اكتشاف التهديدات والتحقيق فيها ومعالجتها آليًا قدر الإمكان. عندما تنتقل إلى Stellar Cyber ، تنتهي أيامك التي تقلقك بشأن قواعد الارتباط التي لا معنى لها. تقوم Stellar Cyber بالرفع الثقيل مما يتيح اكتساب العملاء بشكل أسرع.
- جمع ذكي للبيانات: نقوم بجمع البيانات المتعلقة بالأمان لتمكيننا AI / ML محرك الكشف عن التهديدات لتحديد التهديدات في أسرع وقت ممكن. عندما تكون الثواني مهمة ، تتأكد Stellar Cyber من حصولك على كل الثواني التي يمكنك الحصول عليها.
- الجميع مرحب به: إذا كان لديك SIEM و Stellar Cyber كانا كلاهما يقيمان حفلات ، سيبدو حفلنا كأنه لم شمل صف مع كل شخص يقضي وقتًا في حياته ؛ ال SIEM قد تبدو الحفلة وكأنها تجمع لأشخاص لم يلتقوا قط. بعبارة أخرى ، فإن بنية Stellar Cyber مفتوحة ، مع تكامل لكل أداة أمان وتكنولوجيا المعلومات والإنتاجية الشائعة تقريبًا ، مما يجعل إعداد العملاء ونمو أعمالك أسرع من أي وقت مضى.
نحن مدينون بالكثير SIEMs. لقد فتحوا أعيننا على أهمية تحليل البيانات ، لكن اليوم يمكنك أن تفعل ما هو أفضل من SIEM انت تستخدم. لمعرفة المزيد حول Stellar Cyber ، تحقق من موقعنا خاص بـ MSSP جولة لمدة خمس دقائق.
