Lehren, die wir aus unserer Suche nach und Integration von unseren XDR
Trusted Internet wird jetzt bereitgestellt Sternen-Cyber XDR –als ein SOC-überwachte Lösung oder als Infrastruktur als Dienstleistung.
Der Marketing-Hype um XDR ist ohrenbetäubend für diejenigen unter Ihnen, die eine Anschaffung in Erwägung ziehen XDREs ist schwer, zwischen den professionell gestalteten Websites und dem Marketing-Lärm die Spreu vom Weizen zu trennen. Deshalb möchte ich ein paar meiner Erfahrungen teilen – aus der Sicht des CEO eines selbstfinanzierten Unternehmens. MSSPsIch hoffe, das hilft Ihnen bei Ihrer Kaufentscheidung.
Seit vier Jahren sind wir ein eingefleischter Fortinet MSSP. Wir lieben unsere Fortinet-Firewalls. Unsere NSE7-zertifizierten Mitarbeiter arbeiten hart daran, die funktionsreichen Hochgeschwindigkeitsmaschinen so abzustimmen, dass sie sich unserem Willen fügen. Aus verschiedenen Gründen haben wir uns vor etwa zwei Jahren entschieden, mit der Suche nach einer Möglichkeit zu beginnen, den Wünschen potenzieller Kunden gerecht zu werden, ihre vorhandenen Sicherheitssysteme nicht zerlegen und ersetzen zu müssen.
Auch, SOC, NOC, EDR, MDR, NDR, MSSPsWarum sollte man nicht alle diese Systeme in einem einzigen System vereinen, das sämtliche Protokolle auswertet und mithilfe von maschinellem Lernen eine KI trainiert, um besser zu helfen? SOC Analysten? Ich habe einen alten Freund, der das Ding immer die „Gottesbox“ nannte. Die weiß alles.
XDR ist der Anfang der Gottbox.
Unsere Anforderungen:
- Es muss alle anderen Anbieter in die Umgebung eines Kunden integrieren, ohne dass dieser seine bestehende Infrastruktur zerstören und ersetzen muss.
Wir wollten nicht, dass auf jedem Computer ein Agent bereitgestellt wird. Sie verfügen bereits über AV und Anti-Evasion. Wir wollten nicht auf ein anderes Endpunktsystem laden.
Wir möchten die Möglichkeit haben, eine Netzwerkflussanalyse zur Anomalieerkennung zu integrieren, möchten dies jedoch möglicherweise nicht in 100 % der Fälle. Flow erzeugt große Datenmengen, die wir je nach Bedarf auf der Grundlage anderer Indikatoren ein- und ausschalten können wollten.
- Es muss alle NIST 800-171-Anforderungen an die Protokollsammlung/-analyse erfüllen.
Während ISO, CIS, HIPAA oder PCI die Aggregation und Analyse all dieser Protokolle erfordern, erfordert NIST 800-171 überwachte Protokolleinträge von nahezu jedem Gerät für jedes Ereignis – Infrastruktur, Endpunkte und Sicherheit.
Wir müssen einen besseren Weg finden, diese Protokolle einzusehen, und zwar auf eine Art und Weise, die sich unser auf KMU ausgerichteter Kundenstamm leisten kann. Dazu müssen wir in der Lage sein, sie in ein System zu integrieren, das jedes der erforderlichen Protokolle versteht.
-
Es muss mandantenfähig sein.
Damals ahnte ich noch nicht, wie sehr ich an KI zweifeln würde, bis ich mir die verschiedenen Videos angesehen hatte. XDRLauf. Sei mit einem klugen Team bereit.
Wir haben sie miteinander verglichen und A|B-Tests durchgeführt, wobei wir FortiAnalyzer und Rohprotokolldaten in unserem Lucene-Stack als Basisdaten verwendet haben
-
Idealerweise die XDR muss jeden Anbieter berücksichtigen, nicht nur die vom Hersteller gebauten. XDR Verkäufer.
Manche XDR Die von uns kontaktierten Anbieter stellten ihre eigenen AV-, IPS-Systeme usw. her. Andere fertigten OEM-Produkte von anderen Herstellern, wollten dies aber nicht kommentieren.
Ungeachtet dessen möchte ich wissen, ob die in das System integrierten Werkzeuge XDR sind ausgereift und erprobt.
- Wenn es eine Cloud-Komponente gibt, möchte ich einen Beweis dafür, dass ihre Cloud-Umgebung sicher ist.
Alle Sicherheitslückendaten unserer Kunden werden dort gespeichert. Ich möchte keinen Datenverlust in unserem System. XDR Ein Anbieter gibt Informationen über Sicherheitslücken bei Kunden preis. Aus Spionagesicht ist das ein unglaublich lukratives Ziel. Es muss sicher sein.
Wir bewerten die Backend-Sicherheit all unserer Anbieter. Als wir dies im Rahmen unserer Suche taten, stellte sich heraus, dass… XDR Der Anbieter hatte ein fantastisches Produkt, aber die angebotenen Dienstleistungen in einer Cloud-Umgebung waren nie auf Sicherheit getestet worden!
Compliance ist gut, aber noch wichtiger? Erklären Sie mir, wie Sie Daten schützen. Geben Sie mir das Gefühl, dass Sie die Maßnahmen zum Schutz der Daten ergriffen haben. Ich war von mehr als einem überrascht, der das nicht konnte.
- Die Preisstruktur muss zu 100 % vorhersehbar sein.Variable Kosten sind fatal. Ich wollte sichergehen, dass es keine bösen Überraschungen gibt. Wenn ein XDR Der Anbieter fragt Sie: „Wie viele Endpunkte haben Sie?“ Die Preisstruktur muss es uns ermöglichen, dies mit einer angemessenen Marge in unsere Abonnementkosten einzukalkulieren. In der MSSP-Welt SOC Kosten können uns schneller zum Scheitern bringen als alles andere. Wie kann ein MSSP wachsen, ohne durch die stetig steigenden Personalkosten für Informationssicherheit in finanzielle Schwierigkeiten zu geraten?
Unsere Suche nach Cinderella XDR (das, das perfekt zu uns passt!):
Wir haben uns Dutzende Anbieter angesehen – Sie kennen ihre Namen. Nach fast zwei Jahren Wettbewerbsanalyse, Demos und Tests von fast einem Dutzend Anbietern… XDR Von den Unternehmen haben wir unseren Fokus auf zwei verengt, die sich beide in der Testphase befinden, wobei Stellar Cyber uns schließlich überzeugen konnte.
Für uns war dies eine bedeutende Kapitalinvestition. Wir wollten sicherstellen, dass wir dies richtig gemacht haben und unsere Investition in mehr Volumen und Effizienz amortisieren konnten. Anstatt sich für die Cloud-Version zu entscheiden, haben wir den 88-Core-20-TB-Server gekauft. Das System ist darauf ausgelegt, große Datenmengen von Dutzenden Infrastrukturgeräten, Endpunktprotokollen und Sicherheitssystemen zu analysieren und zu analysieren. Wir wollten es schützen, also stellten wir es in unserer gesicherten Einrichtung im Iron Mountain Datacenter auf und führten im Frühsommer letzten Jahres unseren ersten Versuch durch, „Ihr eigenes Hundefutter zu essen“.
Wir haben VIELE Lektionen gelernt. Ich kann sie nicht alle in einem kurzen Aufsatz vorstellen, aber ich dachte, es wäre vielleicht sinnvoll, einige der größeren zu teilen.
-
XDR bietet eine wunderbare Lösung, um nahezu jede erdenkliche Information auf einer einzigen Glasscheibe darzustellen. Wir fanden es überwältigend.
-
Dies ist kein Einsteigerwerkzeug. XDR kann Unklarheiten erzeugen, wo keine sein sollten. Sie benötigen ein kompetentes Team, um jeden einzelnen Punkt zu bewerten. XDR Treffer vor Aktivierung von SOAR. Während die KI aus dem Treffer lernt XDR Der Anbieter lernt außerdem aus den Aktionen seiner Kunden, die von diesem durchgeführt werden. Wir koordinieren den Versand Analysten. Sie müssen klug sein.
-
Most XDR Lösungen Ich möchte den Preis am Endpunkt festlegen. Das ist ein Deal-Killer. Wenn ein Verkäufer fragt: „Wie viele Endpunkte haben Sie?“ … RUN.
XDR bietet eine wunderbare Lösung, um nahezu jede erdenkliche Information auf einer einzigen Glasscheibe darzustellen. Wir fanden es überwältigend.
XDR ist eine fantastische Idee, aber eine schlechte Umsetzung kann einem den Tag verderben. IT-Leute wollen am liebsten sofort alles (und noch viel mehr) in diese Wunderkiste investieren. Und obwohl ich den Wunsch der Technikbegeisterten nach „mehr Daten ist gut“ durchaus verstehe, hat das die Lernkurve für unsere SOC Analysten gehen brutal hart vor.
Diese Geräte verarbeiten praktisch jede Datenmenge, die Sie ihnen zuführen. Wir raten davon ab, mehrere Datenströme gleichzeitig zu verarbeiten, zumindest bis Sie sich mit den Ergebnissen vertraut gemacht haben. Warum? Das Gerät generiert selbstständig Ergebnisse anhand voreingestellter Regeln. Einige davon sind brauchbar, andere nicht – und es gibt viele. SOC Analysten müssen es besser wissen. Sie werden zunächst jede einzelne Warnmeldung mühsam durchgehen müssen, um zu überprüfen und zu bestätigen, ob die Meldung korrekt war. XDR War es richtig? War es falsch? Welche Maßnahmen müssen ergriffen werden? KI, Automatisierung? Die Wunderkiste? Alles gut und schön, aber ohne fundiertes Wissen darüber, was die Maschine als gut und schlecht einstuft, kann man schnell überfordert sein. Uns ging es genauso. In der Blackbox verbirgt sich viel. Gehen Sie langsam vor. Lassen Sie Ihre Analysten lernen. Integrieren Sie jeweils nur einen Datenstrom.
Stutzmans Empfehlung: Geschwindigkeit tötet. Mach langsam. Beginnen Sie mit einem Datenfeed. Lassen Sie es normalisieren und fügen Sie dann das nächste hinzu.
Weißt du das XDR ist kein Einsteigerwerkzeug.
Ich nehme ein paar SOC Ich wechsle jedes Quartal, um meine Fähigkeiten auf dem neuesten Stand zu halten. Das hält mich in Kontakt mit meinen SOCUnd vielleicht mache ich es auch, weil es einer meiner Lieblingsjobs ist! Jedenfalls, während meiner ersten Schicht mit einem neuen operativen Stellar in unserem ersten XDR Sehr geehrter Kunde, ich beobachtete gegen 2 Uhr nachts interne Netzwerkaktivitäten hinter den Firewalls, die aber eindeutig im Netzwerk stattfanden. Eine Warnmeldung wies darauf hin, dass Passwörter im Klartext in großer Menge an fünfzehn verschiedene Systeme übertragen wurden. Die Bank war um 2 Uhr nachts geschlossen.
Ich dachte, es gäbe nur zwei mögliche Erklärungen: Kompromittierung oder Schwachstellenscan. Es stellte sich heraus, dass der Client OpenVAS ausführte, um unsere Antwort zu testen (wir haben bestanden!), aber ... wie haben wir das gesehen? Ich schaue mir interne Daten von Orten an, die wir vorher noch nicht gesehen haben! Wir erfassten nun Windows-Protokolle, Infrastrukturprotokolle, Authentifizierungsprotokolle und den Netzwerkfluss der 60-Personen-Bank. Wir haben fast 40 GB Protokolle pro Tag abgerufen. Ich fühlte mich wie Mr. Magoo, der endlich eine gute Brille bekam und zum ersten Mal Farbe sah!
Im Zuge der vollständigen Integration haben wir unseren FortiAnalyzer und den Lucene Stack beibehalten, damit unsere Analysten sich von der Arbeit lösen können. XDR Die Mitarbeiter sollen sich an die neue Umgebung gewöhnen und die Daten in einer ihnen vertrauten Form präsentiert bekommen. Wir werden die Umstellung parallel durchführen, sobald die alten Lizenzen auslaufen. Im Zuge dieser Umstellung müssen unsere Tier-1-Analysten (Triage-Analysten) jedoch ihre Kenntnisse vertiefen. Die Triage wird voraussichtlich der Vergangenheit angehören, da… XDR Übernimmt automatisierte Aktionen für alltäglichere Aufgaben wie das Blockieren eines neuen Scanners oder das Validieren der Ergebnisse von Tools, bevor diese zur weiteren Bearbeitung eskaliert werden.
Stutzmans Empfehlung: Ihre Analysten müssen klug genug sein, um zu verstehen, was in den Daten passiert, bevor die KI und die Automatisierung übernehmen und die neue Maschine Fehler einpflanzt. Ich bin sechzig Jahre alt und mache das schon lange, aber ich wollte trotzdem ein zweites Paar Augen. Dies ist kein Einstiegstool. Es handelt sich um ein Tool auf Expertenebene.
Most XDR Die Lösungen wollen nach Endpunkt bepreisen. Das ist ein absolutes Ausschlusskriterium.
Wenn ein XDR Der Anbieter fragt: „Wie viele Endpunkte haben Sie?“ Wegrennen! Die Endpunktzählung funktioniert nicht in XDR Preisgestaltung. Sie werden von der Überraschung nicht begeistert sein. Ich kann das gar nicht genug betonen.
Das haben wir auf die harte Tour gelernt. Das Nirvana für einen MSSP besteht darin, Daten von mehreren Geräten auf einer Glasscheibe zu haben. Wir haben Stellar Cyber letzten Sommer für unseren eigenen internen Betrieb betriebsbereit installiert. Wir glauben daran, dass Sie Ihr eigenes Hundefutter essen sollten, bevor Sie mit dem Verkauf beginnen (wir verwenden alles, was wir verkaufen).
Ich bat meinen IT-Leiter, schrittweise vorzugehen. Er wollte jeweils nur einen Datenfluss ins System einspeisen und beobachten, wie sich das normalisiert. Leider folgte er den Anweisungen unseres Anbieters, installierte einen Span-Port in unserem Core-Switch und übertrug alles, was wir hatten, auf Stellar. Die Datenflut brach los. XDR Wir generierten einen simulierten Datenfluss für über 40,000 Geräte. Jedes IoT-Gerät, Mobilgerät, jeder Computer, Server – kurzum, jedes Gerät mit einer IP-Adresse hinter einer unserer Firewalls, egal wo in unserem Kundenportfolio, wurde nun als Endpunkt gezählt. Unser Vertriebsteam war großartig. Da uns keine Kosten entstanden, während wir die Normalisierung durchführten, drosselten wir den Datenfluss und begannen mit einem Kunden nach dem anderen, zunächst mit unserer eigenen Infrastruktur. Um die Genauigkeit nicht zu beeinträchtigen, entschieden wir uns schließlich für eine Volumenlizenz, die auf dem Datenvolumen und nicht auf der Anzahl der Endpunkte basiert.
Stutzmans Empfehlung: Fragen Sie im Voraus danach und werfen Sie dann so viel darauf, wie Sie möchten.
Wir haben unser System jetzt seit fast einem Jahr im Einsatz, zunächst als Wertnachweis ab März letzten Jahres, dann im Sommer in Betrieb genommen und jetzt voll betriebsbereit, um es zur Unterstützung der vielen NIST 800-171-bezogenen Projekte einzusetzen, die wir durchführen an denen wir beteiligt waren und bei denen wir Kunden mit heterogenen Umgebungen haben. Es hat großartige Arbeit geleistet. Sind wir 100 %? Nein. Wir verlangen weiterhin, dass Parser für Tools geschrieben werden, die noch nicht verfügbar sind. Wir haben SOAR noch nicht vollständig aktiviert, und ehrlich gesagt zögere ich, dies an einigen unserer fragileren Kundenstandorte zu tun, wo wir nicht wissen, welche Auswirkungen die automatisierten Maßnahmen haben könnten.
Sind wir froh, dass wir uns dafür entschieden haben? XDRAbsolut. Das System kostet ungefähr so viel wie ein paar gute Analysten, aber ich bin zuversichtlich, dass es uns ermöglichen wird, Kunden zu gewinnen, die wir zuvor nicht hätten erreichen können.
Teilen ist wichtig. Wir haben einige schmerzhafte Erfahrungen gesammelt und hatten einige beängstigende Momente, was unser Budget anging. Ich dachte schon, wir müssten Unsummen ausgeben, um das Projekt zu finanzieren – mehr Geld, als wir im ganzen Jahr auf dem Konto haben. Unser Stellar-Team war fantastisch, obwohl wir im Vergleich zu ihnen nur ein kleines Team sind. Ich hoffe, das hilft dir bei deinen Überlegungen. XDR Kaufen. Oder, falls Sie es vorziehen, kontaktieren Sie uns. Wir erstellen Ihnen gerne ein individuelles Produkt. Wir koordinieren den Versand XDR in unserer neuen mandantenfähigen Stellar Cyber-Umgebung.
