En 2012, trabajé para uno de los primeros proveedores en ofrecer seguridad como servicio. En aquel entonces, proteger el entorno desde la nube era una tecnología de vanguardia, y muchos equipos de seguridad se mostraban recelosos de introducir lo que percibían como otro punto de fallo en su marco de seguridad. Hoy en día, implementar una SIEM, XDR, o la plataforma SecOps en hardware real parece anticuada para muchos de los líderes de seguridad actuales.
De hecho, existen razones válidas por las que los equipos de seguridad consideran la nube como su opción preferida de implementación para productos de seguridad, desde acelerar la implementación hasta reducir los costos y la flexibilidad para acceder al producto desde cualquier navegador web seguro. Dicho esto, un equipo de seguridad tiene razones igualmente válidas para optar por un enfoque de plataforma de operaciones de seguridad local. A continuación se presentan cuatro razones por las que una implementación local podría ser la opción correcta para su organización.
Cuatro razones para implementar la implementación local
1. Datos altamente confidenciales
Todo equipo de seguridad prioriza la confidencialidad de los datos de su empresa. Sin embargo, si su organización maneja información clasificada, es posible que deba asegurarse de que los datos nunca abandonen su entorno. En tales casos, utilizar cualquier producto de seguridad basado en la nube no es un buen comienzo. Al implementar su plataforma SecOps localmente, puede estar seguro de que sus registros confidenciales y otra información de seguridad permanecerán seguros dentro de los muros de su entorno, lo que proporciona una capa adicional de protección.
2. Regulaciones
El grado en que las agencias reguladoras examinan una industria puede variar ampliamente según el tipo de datos que maneja la organización y la posibilidad de que esos datos, si se ven comprometidos, causen un daño significativo a los clientes. Por ejemplo, las organizaciones gubernamentales, financieras y de atención médica deben cumplir con estrictos requisitos regulatorios, como GDPR, HIPAA y otras leyes regionales de protección de datos. Supongamos que su organización es parte de una de estas industrias altamente reguladas. En ese caso, es posible que no tenga más remedio que implementar su plataforma SecOps localmente para eliminar posibles violaciones regulatorias.
3. Personalización y control de versiones
Dependiendo de las capacidades de su equipo de seguridad y los casos de uso específicos, es posible que deba implementar algunas configuraciones personalizadas y/o código sobre una plataforma SecOps disponible en el mercado. Cuando se trabaja con una plataforma SecOps basada en la nube, el proveedor puede restringir su capacidad para realizar este tipo de personalizaciones en la plataforma. Además, el proveedor puede aplicar actualizaciones a la plataforma SecOps sin previo aviso, lo que podría provocar cierta acidez en el equipo de seguridad. Con una implementación local, su equipo de seguridad puede implementar políticas de seguridad personalizadas y/o automatización que podrían ser difíciles de implementar en una plataforma basada en la nube. Este nivel de flexibilidad y control puede empoderar a su equipo, permitiéndoles adaptar la plataforma a sus necesidades específicas y mantener el control de versiones sin restricciones externas.
4. Consideraciones de desempeño
Si bien la mayoría de las organizaciones trabajan con redes de alta velocidad capaces de minimizar la latencia, incluso cuando cargan o descargan grandes conjuntos de datos, algunas pueden tener problemas con la confiabilidad/estabilidad de la red debido a la ubicación de sus oficinas. Además, existen situaciones en las que una organización o parte de la organización no tiene conexión a Internet para cumplir con políticas internas o externas. Si se encuentra en una situación similar, el modelo de implementación local es su única opción real.
Elegir su próxima plataforma SecOps local
Si bien he descrito cuatro razones por las que una implementación local de un SIEM Si bien podría requerirse una plataforma de operaciones de seguridad, existen muchas otras. Independientemente del motivo por el que deba implementar localmente, la siguiente pregunta lógica podría ser: "¿Cómo selecciono una SIEM/Plataforma SecOps que satisface mis necesidades de implementación?”
Aquí hay tres recomendaciones al seleccionar su plataforma local.
1. Capacidades
Si bien esto debería ser evidente, las plataformas de operaciones de seguridad que admiten capacidades de implementación local varían ampliamente. En el extremo inferior del espectro de capacidades, es posible que haya proveedores que promocionan una plataforma implementable local que le permite ingerir datos de registro de muchas fuentes diferentes, pero requiere que usted cree, administre y mantenga todas las reglas de detección y correlación. Este producto es una gloriosa herramienta de gestión de registros que, sin duda, hará que su equipo sea menos eficaz a largo plazo.
En el otro extremo del espectro se encuentran productos con integraciones fácilmente configurables capaces de capturar alertas de seguridad de terceros, datos de registro, tráfico de red y flujos de actividad de usuarios y activos. Posteriormente, los modelos de aprendizaje automático e inteligencia artificial, combinados con reglas de detección personalizadas por el proveedor, detectarán amenazas avanzadas automáticamente sin intervención humana. Stellar Cyber Abrir XDR La plataforma funciona de esta manera.
Al evaluar sus opciones, haga preguntas de sondeo sobre las capacidades e insista en una prueba de concepto (PoC) en su entorno para validar las afirmaciones del proveedor.
2. Integraciones
Como mencioné en mi primera recomendación, las integraciones son fundamentales para obtener valor de cualquier plataforma de operaciones de seguridad. Cualquiera que haya trabajado con un producto que requiere importantes integraciones manuales y personalizadas conoce la pesadilla en la que esto puede convertirse rápidamente. Por un lado, no todos los equipos de seguridad tienen las habilidades técnicas para diseñar sus integraciones, por lo que deben contratar un recurso externo para crear y mantener las integraciones, pagar tarifas adicionales al proveedor para crear las integraciones o contratar un recurso dedicado para las propias integraciones. . En cualquiera de estos casos, el resultado es una plataforma que cuesta mucho más de lo esperado con el paso del tiempo.
La mejor opción es seleccionar una plataforma donde el proveedor invierta su esfuerzo y recursos en crear integraciones que su equipo de seguridad pueda configurar fácilmente. Por ejemplo, nuestra plataforma incluye cientos de integraciones prediseñadas disponibles para todos los usuarios sin costo adicional. Además, si un cliente necesita integraciones adicionales, las desarrollamos sin coste adicional.
Cuando hable con proveedores, asegúrese de que comprendan los productos que desea integrar y si su plataforma los admite. Valide todo lo que digan durante el proceso de PoC.
3. Hoja de ruta
Descubrir inesperadamente que un producto en el que invirtió e incorporó como centro de sus flujos de trabajo de seguridad no tiene futuro puede frustrar incluso al líder de seguridad más experimentado.
Por ejemplo, la reciente compra de IBM QRadar por parte de Palo Alto Networks SIEM La nube ha dejado a cualquiera IBM QRadar local clientes en el frío. Si estos clientes deben permanecer en las instalaciones, necesitan otro proveedor que satisfaga sus necesidades de implementación y les ayude a migrar rápidamente sus datos, configuración y reglas de QRadar existentes a la nueva plataforma.
Si bien los productos con hojas de ruta pueden verse arrastrados por acciones relacionadas con los accionistas, como fusiones o adquisiciones, ver que el proveedor tiene planes más allá de la versión actual de la plataforma al menos le permite saber que la plataforma continuará evolucionando en función de los cambios en el mercado. panorama de amenazas y necesidades de los usuarios.
Por ejemplo, aquí en Stellar Cyber, revisamos periódicamente nuestra hoja de ruta con clientes y prospectos para nuestra plataforma, que puede implementarse en las instalaciones, en la nube o cogestionarse con el MSSP de su elección. Somos transparentes con nuestros clientes para hacerles saber que estamos comprometidos a respaldar implementaciones locales y en la nube con las mismas capacidades en el futuro. Este compromiso también permite a nuestros clientes adaptar su enfoque de seguridad a medida que las cosas cambian para ellos. Por ejemplo, si la organización puede pasar de una implementación local a la nube en el futuro, puede realizar esa migración sin problemas con Stellar Cyber sin necesidad de aprender un producto completamente diferente.
Pensamientos Finales
La seguridad no es una propuesta única para todos.
Si bien la nube ofrece la capacidad de escalar un negocio rápidamente y ayuda a un equipo de seguridad a administrar sus costos y recursos, existen razones válidas para implementar una SIEM/XDRPlataforma de SecOps local. Seguir las sencillas recomendaciones que he mencionado es un buen punto de partida en la búsqueda de su próxima plataforma. Para ver cómo Stellar Cyber Abrir XDR La plataforma de operaciones de seguridad puede satisfacer sus necesidades de implementación local, Contáctenos hoy para programar una consulta personal.. Además, si es un cliente activo de IBM QRadar local que busca avanzar rápidamente, tenemos una promoción especial solo para usted.
