En el ultra-competitivo de hoy mercado MSSP, los dueños de negocios están buscando formas de hacer que sus ofertas sean más atractivas para los clientes y sus SOCs más efectivo. Con ese fin MSSP agregar nueva tecnología a su pila de ofertas de seguridad con la esperanza de que los posibles clientes vean esta adición como una oportunidad para subcontratar parte o la totalidad de su monitoreo de seguridad. Hay algo de validez en esa estrategia; Desafortunadamente, la nueva tecnología a menudo no brinda los beneficios declarados, lo que lleva a una mayor rotación de clientes. Por lo tanto, si bien mantener a su equipo de tecnología y seguridad al tanto de la última y mejor tecnología de seguridad es esencial, a veces debe mirar lo que ya está en su pila de seguridad.
La única tecnología a la que me refiero específicamente es su SIEM. Dependiendo de con quién hables, actualmente estamos en la tercera o cuarta generación de SIEM la tecnología; sin embargo, cuando hablo con los practicantes, su nivel de frustración con su SIEM está en Defcon.
1. Los MSSP continúan utilizando un SIEM que no está entregando lo que necesitan debido al tiempo y los recursos requeridos para desmantelarlo y reemplazarlo con algo que probablemente los dejará con una decepción similar.
Permítanme hablar sobre tres formas en que este viejo SIEM (o incluso no tan viejo SIEM) está causando más daño del que crees.
SIEMLos s son perezosos
Ahí lo dije, pero todos sabemos que SIEMs, hasta hace poco, no funcionaban mejor, te hacían trabajar más duro. Si bien le permitieron recopilar todo tipo de registros y correlacionar alertas de diferentes controles de seguridad, el resultado que obtendría sería tan bueno como su analista de seguridad más ingenioso. Si fuera un ninja de la seguridad con un amplio conocimiento del panorama de las amenazas y supiera cómo escribir reglas de correlación inteligentes, probablemente le encantaría su SIEM.
Si su equipo es como la mayoría, donde las empresas intentan atraer a sus mejores jugadores, vería un cambio dramático en su SIEMs efectividad si se fueran. Sí, NG-SIEM los proveedores están tratando de abordar este problema entregando más contenido listo para usar (el jurado aún está deliberando sobre su efectividad). Sin embargo, al igual que ese paquete de Oreo que tus hijos abren y se olvidan de cerrar correctamente, ese contenido rápidamente se vuelve obsoleto, dejándote con la tarea de crear nuevas reglas o buscar en las comunidades contenido que puedas importar. En pocas palabras, el SIEM, Incluso NG-SIEMs, están dejando el trabajo pesado a su equipo, lo que dificulta su capacidad para agregar la cantidad de clientes que su equipo podría manejar sin esta carga.
SIEMLos s son acaparadores de datos
La ciberseguridad hoy en día es un problema de datos, borra eso, es un GRAN GRAN problema de datos. Con tantos productos en uso a diario, el volumen de registros que genera una empresa mediana típica es ridículo. Si bien las industrias específicas requieren una recopilación y revisión completas de registros para cumplir con esta o aquella regulación, muchos clientes que podrían considerar un MSSP no están tratando de resolver un problema de cumplimiento. En cambio, muchos buscan hacer un mejor trabajo para identificar y mitigar las amenazas antes de que puedan dañar su negocio. SIEMs, en su sesgo inherente a la recopilación completa de datos, significa que un equipo de seguridad que busca identificar amenazas explorará océanos de datos de registro irrelevantes con la esperanza de descubrir un peligro. No es una tarea imposible, ya que probablemente lo esté haciendo hoy, pero imagine que fuera un cribador de oro en la década de 1840. En lugar de usar una batea para cribar pequeñas cantidades de limo en busca de oro, decide usar un cubo gigante con la esperanza de encontrar ese valioso mineral. ¿Cuál cree que tomaría más tiempo? Por supuesto, sé que no es una comparación equitativa, y nuestras capacidades informáticas avanzadas pueden acelerar el proceso. Sin embargo, ahorrar unos minutos al día suma, especialmente en... SOC con diez, veinte o cincuenta analistas de seguridad. En resumen: SIEMs son excelentes para resolver casos de uso de cumplimiento puro, ya que recopilan todos los datos de registro, pero para los casos de uso de seguridad, que es lo que normalmente vende, necesita tecnología que comprenda la diferencia entre los registros de seguridad relevantes y los irrelevantes, y solo recopile lo que necesita .
SIEMNo me gusta todo el mundo
Cuando dirigía el marketing de productos para otro proveedor (que permanecerá sin nombre), una de las preguntas más comunes fue: "¿Admite el producto XYZ?" o "¿Puedo traer datos del producto ABC?" Los compradores de seguridad expertos que han estado en el circo de proveedores una o dos veces entienden cómo los proveedores de seguridad minimizan la falta de integraciones preconstruidas para sus productos. Dirán cosas como: “Puedo conseguirlo para ti, no hay problema” o “Estoy seguro de que está en camino; déjame contactarte”, mientras que en realidad, tendrán que volver a su equipo de integración y rogar y rogar por una nueva integración, especialmente si necesitan cerrar su trato para alcanzar su número para el trimestre. Ahora, alguien del equipo de integración crea un script único que muestra los datos que fluyen desde su producto hasta el SIEM backend, con la esperanza de que nadie tome un peine de dientes finos a lo que se entregó. Nuevamente, si ha estado presente por un minuto, estoy seguro de que esto le suena familiar.
La triste realidad es que la mayoría SIEMs son difíciles de integrar, dada la complejidad subyacente de sus modelos de datos. Es posible que pueda escribir sus integraciones, y si ese es el caso, genial, pero ¿qué sucede cuando el SIEM proveedor lanza una nueva versión y rompe su integración? Ha vuelto a la mesa de dibujo. En pocas palabras: integraciones listas para usar en un SIEM ese trabajo es lo que debe esperar de su SIEM proveedor. Si eso no es lo que está obteniendo hoy, el tiempo de incorporación de sus clientes se verá afectado y, en el peor de los casos, perderá negocios que esperan su SIEM proveedor para entregar una integración que usted espera que funcione.
Hemos ayudado a muchos MSSP a ver los beneficios de eliminar sus antiguos o no tan antiguos SIEM y reemplazándolo con nuestro Stellar Cyber Abrir XDR Plataforma. Con nuestra plataforma obtienes:
– La automatización adecuada, donde la necesite: El objetivo de Stellar Cyber es hacer que la detección, investigación y reparación de amenazas sea lo más automatizada posible. Cuando se cambia a Stellar Cyber, sus días de preocupación por las reglas de correlación obsoletas han terminado. Stellar Cyber hace el trabajo pesado y permite una adquisición de clientes más rápida.
– Recopilación inteligente de datos: recopilamos datos relevantes para la seguridad que permiten a nuestros AI / ML motor de detección de amenazas para identificar las amenazas lo más rápido posible. Cuando los segundos importan, Stellar Cyber se asegura de que tengas todos los segundos que puedas obtener.
- Todos son bienvenidos: Si SIEM y Stellar Cyber estaban organizando fiestas, nuestra fiesta parecería una reunión de clase con todos pasando el mejor momento de su vida; la SIEM La fiesta puede parecer una reunión de personas que nunca se han conocido. En otras palabras, la arquitectura de Stellar Cyber es abierta, con integraciones a casi todas las herramientas populares de seguridad, TI y productividad, lo que hace que la incorporación de clientes y el crecimiento de su negocio sean más rápidos que nunca.
le debemos mucho SIEMs. Nos abrieron los ojos a la importancia del análisis de datos, pero hoy se puede hacer mejor que el SIEM Tu estas usando. Para obtener más información sobre Stellar Cyber, consulte nuestro MSSP específico recorrido de cinco minutos.
