considerando un XDR ¿Comprar? Aquí están nuestras lecciones aprendidas.

By /

EDR: detección y respuesta de endpoints, Alertas EDR, MSSP, NDR, Centro de Operaciones de Seguridad (SOC), SOC, XDR

Lecciones aprendidas de nuestra búsqueda e integración de nuestros XDR

Trusted Internet ahora se está implementando Stellar Cyber XDR –como un SOC-solución monitorizada o como Infraestructura como Servicio.

El bombo publicitario en torno a XDR Es ensordecedor para aquellos que estén considerando una XDREs difícil distinguir entre los sitios web sofisticados y el ruido del marketing para distinguir qué es realmente real. Por eso, pensé en compartir algunas lecciones aprendidas, desde la perspectiva del director ejecutivo de una empresa autofinanciada. MSSP, espero que esto ayude en sus decisiones de compra.

Durante los últimos cuatro años, hemos sido un MSSP de Fortinet muerto en la lana. Nos encantan nuestros firewalls de Fortinet, con nuestra gente certificada a través de NSE7, trabajando arduamente para ajustar las máquinas de alta velocidad repletas de funciones para que se dobleguen a nuestra voluntad. Por varias razones, decidimos hace aproximadamente dos años comenzar la búsqueda de una forma de acomodar las solicitudes de los posibles clientes para no tener que desmantelar y reemplazar sus sistemas de seguridad existentes.

También, SOC, CON, EDR, MDR, NDR, MSSP¿Por qué alguien no los combinaría todos en una sola caja que comprenda TODOS sus registros y use un poco de aprendizaje automático para entrenar a la IA para que ayude mejor? SOC ¿Analistas? Tengo un viejo amigo que solía referirse a esto como la Caja de Dios. Lo sabe todo.

XDR Es el comienzo de la Caja de Dios.
Nuestras necesidades:

  • Debe integrar a todos esos otros proveedores en el entorno de un cliente sin requerir que destruyan y reemplacen su infraestructura existente.

    No queríamos tener un agente implementado en cada computadora. Ya cuentan con AV y Antievasión. No queríamos cargar en otro sistema de punto final.

    Queremos la capacidad de integrar el análisis de flujo de red para la detección de anomalías, pero es posible que no la deseemos el 100 % del tiempo. Flow produce grandes volúmenes de datos que queríamos poder activar y desactivar según fuera necesario en función de otros indicadores.

  • Debe adaptarse a todos los requisitos de recopilación/análisis de registros NIST 800-171.

    Mientras que ISO, CIS, HIPAA o PCI requieren la agregación y el análisis de todos estos registros, NIST 800-171 requiere entradas de registro monitoreadas de casi todos los dispositivos para cada evento: infraestructura, terminales y seguridad.

    Necesitamos encontrar una mejor manera de ver estos registros y hacerlo de una manera que nuestra base de clientes centrada en las PYMES pueda pagar. Para hacer eso, debemos poder incorporarlos en un sistema que comprenda cada uno de los registros requeridos.

  • Debe ser multiusuario.

    En ese momento, no tenía idea de cuántas dudas tendría sobre la IA hasta después de ver las diversas XDRs corre. Prepárate con un equipo inteligente.

    Comparamos uno con otro, realizando pruebas A|B mientras usamos FortiAnalyzer y datos de registro sin procesar en nuestra pila de Lucene como referencia.

  • Idealmente, el XDR Debe dar cabida a cualquier proveedor, no sólo a aquellos creados por el XDR vendedor.

    Cosas XDR Los proveedores que analizamos construyeron su propio AV, IPS, etc. Otros fabricaron el de otros pero no quisieron comentarlo.

    De todas formas, quiero saber que las herramientas integradas en el XDR son maduros y probados.

  • Si hay un componente de nube, quiero pruebas de que su entorno de nube es seguro.

    Todos los datos de vulnerabilidad de nuestros clientes terminarán allí. No quiero una filtración de datos en nuestra XDR Proveedor filtra información sobre vulnerabilidades de clientes. Desde una perspectiva de espionaje, este es un objetivo increíblemente valioso. Debe ser seguro.

    Evaluamos la seguridad de backend de todos nuestros proveedores. Al realizar esta evaluación durante nuestra búsqueda, uno... XDR El proveedor tenía un producto increíble, pero los servicios que ofrecía en un entorno de nube nunca habían sido sometidos a pruebas de seguridad.

    El cumplimiento es bueno, pero ¿lo más importante? Muéstrame cómo proteges los datos. Hazme sentir cómodo de que hayas tomado las medidas para proteger los datos. Me sorprendió más de uno que no pudo hacer esto.

  • La estructura de precios debe ser 100% predecible.Los costos variables matan. Quería asegurarme de que no tuviéramos sorpresas. Si un... XDR El proveedor le pregunta: "¿Cuántos puntos finales tiene?". CORRA. La estructura de precios debe adaptarse a nuestra capacidad de incorporarlo en nuestros costos de suscripción, con un margen razonable. En el mundo MSSP, SOC Los costos pueden hacernos fracasar más rápido que cualquier otra cosa. ¿Cómo puede un MSSP escalar sin gastar una fortuna en costos laborales de seguridad de la información cada vez más elevados?

 

Nuestra búsqueda de la Cenicienta XDR (¡el que nos queda perfecto!):

Observamos docenas de proveedores (ya has oído sus nombres) después de casi dos años de análisis competitivo, demostraciones y pruebas de casi una docena XDR empresas, redujimos nuestro enfoque a dos, ambas en fase de prueba, y Stellar Cyber ​​nos convenció.

Esta fue una importante inversión de capital para nosotros. Queríamos asegurarnos de hacer esto bien y poder recuperar nuestra inversión en mayor volumen y eficiencia. En lugar de optar por su versión en la nube, compramos el servidor de 88 núcleos y 20 Tb. El sistema está diseñado para analizar y analizar grandes cantidades de datos de docenas de dispositivos de infraestructura, registros de puntos finales y sistemas de seguridad. Queríamos que estuviera protegido, así que lo almacenamos en nuestras instalaciones seguras en Iron Mountain Datacenter y realizamos nuestra primera prueba de 'come tu propia comida para perros' a principios del verano del año pasado.

Tenemos MUCHAS lecciones aprendidas. No podré compartirlos todos en un artículo breve, pero pensé que sería bueno compartir algunos de los más grandes.

  • XDR Ofrece una solución maravillosa para reunir prácticamente cualquier información imaginable en un solo panel. Nos pareció abrumador.

  • Esta no es una herramienta de nivel básico. XDR puede introducir ambigüedad donde no debería existir. Necesitará un equipo inteligente para evaluar cada XDR golpe antes de activar SOAR. Mientras la IA aprende de la XDR La base de clientes más grande del proveedor también aprende a través de las acciones realizadas por Tu analistas Necesitan ser inteligentes.

  • La mayoría de las XDR E-commerce quiere fijar el precio por el punto final. Este es un asesino de tratos. Si un vendedor pregunta: "¿Cuántos terminales tiene?"... CORRA.

XDR Ofrece una solución maravillosa para reunir prácticamente cualquier información imaginable en un solo panel. Nos pareció abrumador.

XDR Es una idea fantástica, pero una mala ejecución te arruinará el día. Los informáticos quieren lanzarlo todo (y el fregadero de la cocina) a esta caja mágica. Y aunque entiendo perfectamente el deseo de los geeks de que "más datos es bueno", hizo que la curva de entrenamiento para nuestro... SOC Los analistas son brutalmente duros.

Estos dispositivos consumirán prácticamente cualquier cantidad de datos que puedas introducir. Recomendamos no introducir más de una secuencia a la vez; al menos hasta que te acostumbres a lo que la máquina va a devolver. ¿Por qué? La máquina producirá resultados por sí sola, basándose en reglas predefinidas. Descubrirás que algunos son buenos, pero no todos, y habrá muchos. Tu SOC Los analistas deben saber más. Inicialmente, tendrán que revisar cada alerta para verificar y validar. XDR ¿Cómo lo llaman? ¿Estuvo mal? ¿Qué medidas deben tomarse? ¿IA, automatización? ¿La caja mágica? Todo bien, pero sin un conocimiento sólido de lo que la máquina considera bueno y malo, podrían verse abrumados. Nosotros lo hicimos. Hay mucho oculto en la caja negra. Vayan despacio. Dejen que sus analistas aprendan. Incorporen un flujo de datos a la vez.

recomendación de stutzman: La velocidad mata. Ve lento. Comience con una fuente de datos. Consígalo normalizado, luego agregue el siguiente.

 

Saber esto XDR No es una herramienta de nivel básico.

Me tomo unos cuantos SOC turnos cada trimestre para mantener mis habilidades al día. Me mantiene en contacto con mi SOC¡Y quizás lo hago porque es uno de mis trabajos favoritos! En fin, durante mi primer turno con un nuevo Stellar operativo en nuestro primer... XDR Cliente, me encontré (alrededor de las 2 a. m.) observando la actividad interna tras los firewalls, pero claramente en la red. Una alerta me indicaba que se estaban transmitiendo contraseñas de texto sin cifrar a un gran volumen a quince sistemas diferentes. Este banco no estaba abierto a las 2 a. m.

Pensé que solo había dos posibles explicaciones: compromiso o exploración de vulnerabilidades. Resultó que el cliente estaba ejecutando OpenVAS para probar nuestra respuesta (¡aprobamos!), pero… ¿cómo lo vimos? ¡Estoy mirando datos internos de lugares que no habíamos visto antes! Ahora estábamos capturando registros de Windows, registros de infraestructura, registros de autenticación y flujo de red del banco de 60 personas. Recibíamos casi 40 GB de registros por día. ¡Me sentí como el Sr. Magoo, que finalmente consiguió buenos anteojos y vio color por primera vez!

A medida que nos integramos completamente, conservamos nuestro FortiAnalyzer y Lucene Stack para permitir que nuestros analistas se alejen de la XDR entorno y ver los datos presentados de una manera que les resulte familiar. Realizaremos una transición paralela cuando expiren las licencias antiguas. Sin embargo, a medida que realizamos la transición, nuestros analistas de nivel 1 (analistas de triaje) se ven obligados a adquirir habilidades más profundas. El triaje probablemente será cosa del pasado, ya que XDR Realiza acciones automatizadas para tareas más mundanas, como bloquear un nuevo escáner o validar los hallazgos de las herramientas antes de escalarlas para su acción.

recomendación de stutzman: sus analistas deben ser lo suficientemente inteligentes para comprender lo que sucede en los datos antes de que la IA y la automatización tomen el control y la nueva máquina implante errores. Tengo sesenta años y he estado haciendo esto durante mucho tiempo, pero todavía quería un segundo par de ojos. Esta no es una herramienta de nivel de entrada. Es una herramienta de nivel experto.

 

La mayoría de las XDR Las soluciones buscan fijar precios por punto final. Esto es un factor decisivo.

Si un XDR El proveedor pregunta: "¿Cuántos puntos finales tienes?". ¡CORRE! El conteo de puntos finales no funciona en XDR Precio. No te gustará la sorpresa. No puedo enfatizarlo lo suficiente.

Aprendimos esto de la manera difícil. Nirvana para un MSSP es tener datos de múltiples dispositivos en un panel de vidrio. Instalamos Stellar Cyber ​​operativamente el verano pasado para nuestras propias operaciones internas. Creemos en "come tu propia comida para perros" antes de comenzar con las ventas (utilizamos todo lo que vendemos).

Le pedí a mi director de TI que fuera paso a paso. Introducir un flujo de información en el sistema y ver cómo se normalizaba. Desafortunadamente, siguiendo el ejemplo de nuestro proveedor, instaló un puerto span en nuestro conmutador central y transfirió todo lo que teníamos a Stellar. La manguera contra incendios cobró vida. XDR Se generó un pseudoflujo para más de 40 000 dispositivos. Cada dispositivo de IoT, móvil, ordenador, servidor, cada dispositivo con dirección IP protegido por uno de nuestros firewalls, en cualquier parte de nuestra cartera de clientes, se contabilizó como un endpoint. Nuestro equipo de ventas fue excelente. No nos cobraron mientras buscábamos la normalización, así que dejamos de lado la gestión de incidentes y empezamos con un cliente a la vez, empezando por nuestra propia infraestructura. Para no perder fidelidad, optamos por una licencia por volumen basada en la cantidad de datos, no en la cantidad de endpoints.

recomendación de stutzman: Pida esto por adelantado, luego arroje todo lo que quiera.

Hemos tenido nuestro sistema durante casi un año, primero como prueba de valor a partir de marzo pasado, luego en funcionamiento durante el verano y ahora en pleno funcionamiento, desplegándolo en apoyo de los muchos proyectos relacionados con NIST 800-171 que tenemos. en los que hemos estado involucrados y en los que tenemos clientes que tienen entornos heterogéneos. Ha hecho un gran trabajo. ¿Estamos al 100%? No. Aún requerimos que se escriban analizadores para herramientas que aún no están disponibles. Todavía no hemos activado completamente SOAR y, francamente, dudo en hacerlo en algunas de las ubicaciones de nuestros clientes más frágiles donde no sabemos qué tipo de efecto dominó podrían tener las acciones automatizadas.

¿Estamos contentos de haberlo comprado? XDR¿Por supuesto? El sistema cuesta más o menos lo mismo que un par de buenos analistas, pero confío en que nos permitirá ampliar nuestra cartera de clientes a los que antes no habríamos podido acceder.

Compartir es cuidar. Aprendimos lecciones difíciles y tuvimos momentos difíciles con el presupuesto, cuando pensé que tendríamos que firmar cheques muy grandes para pagar esto, más dinero del que tendría en nuestra cuenta durante un año. Nuestro equipo Stellar ha sido increíble, aunque somos un pez pequeño en su estanque más grande. Espero que esto te haya sido útil al considerar el tuyo. XDR Compra. O, si lo prefieres, contáctanos. Estaremos encantados de crear Tu XDR en nuestro nuevo entorno multiinquilino Stellar Cyber.

 

Artículos Relacionados

Ir al Inicio
Suscríbete a los boletines