Leçons tirées de notre recherche et de l'intégration de notre XDR
L'Internet de confiance est en cours de déploiement Cyber stellaire XDR –comme un SOC-solution surveillée ou en tant qu'infrastructure en tant que service.
Le battage médiatique autour XDR est assourdissant pour ceux d'entre vous qui envisagent un XDRIl est difficile de faire le tri parmi les sites web sophistiqués et le brouhaha marketing pour distinguer le vrai du faux. C'est pourquoi j'ai pensé partager quelques leçons apprises, du point de vue du PDG d'une entreprise autofinancée. MSSP, j'espère que cela vous aidera dans vos décisions d'achat.
Au cours des quatre dernières années, nous avons été un Fortinet MSSP à mort. Nous aimons nos pare-feu Fortinet, avec nos employés certifiés par NSE7, travaillant dur pour régler les machines à haute vitesse riches en fonctionnalités pour se plier à notre volonté. Pour diverses raisons, nous avons décidé il y a environ deux ans de commencer la recherche d'un moyen de répondre aux demandes des clients potentiels pour ne pas avoir à supprimer et à remplacer leurs systèmes de sécurité existants.
Ainsi que, SOC, CNP, EDR, MDR, NDR, MSSPPourquoi ne pas les regrouper dans un seul système capable de comprendre l'intégralité de leurs journaux et d'utiliser un peu d'apprentissage automatique pour entraîner une IA à mieux assister le système ? SOC Des analystes ? J’ai un vieil ami qui appelait ça la Boîte de Dieu. Elle sait tout.
XDR c'est le début de la Boîte Divine.
Nos exigences:
- Il doit intégrer tous ces autres fournisseurs dans l'environnement d'un client sans les obliger à supprimer et à remplacer leur infrastructure existante.
Nous ne voulions pas qu'un agent soit déployé sur chaque ordinateur. Ils ont déjà AV et Anti-Evasion. Nous ne voulions pas charger sur un autre système de point de terminaison.
Nous voulons pouvoir intégrer l'analyse des flux réseau pour la détection des anomalies, mais nous ne le souhaitons peut-être pas 100 % du temps. Flow produit de gros volumes de données que nous voulions pouvoir activer et désactiver selon les besoins en fonction d'autres indicateurs.
- Il doit répondre à toutes les exigences de collecte/analyse de journaux NIST 800-171.
Alors que ISO, CIS, HIPAA ou PCI nécessitent l'agrégation et l'analyse de tous ces journaux, NIST 800-171 nécessite des entrées de journal surveillées à partir de presque tous les appareils pour chaque événement - infrastructure, terminaux et sécurité.
Nous devons trouver un meilleur moyen d'avoir un œil sur ces journaux et de le faire d'une manière que notre clientèle axée sur les PME peut se permettre. Pour ce faire, nous devons être en mesure de les intégrer dans un système qui comprend chacun des journaux requis.
-
Il doit être multi-locataire.
À l'époque, j'ignorais à quel point je douterais de l'IA avant d'avoir visionné les différents documentaires. XDRs'il vous plaît, préparez-vous avec une équipe compétente.
Nous avons comparé les uns aux autres, en effectuant des tests A|B tout en utilisant FortiAnalyzer et les données de journal brutes de notre pile Lucene comme références
-
Idéalement, le XDR doit accepter tout fournisseur, et pas seulement ceux construits par le XDR vendeur.
Certain XDR Les fournisseurs que nous avons examinés concevaient leurs propres systèmes AV, IPS, etc. D'autres fabriquaient des produits tiers sous leur propre marque, mais refusaient d'en parler.
Quoi qu'il en soit, je veux savoir si les outils intégrés dans le XDR sont matures et éprouvées.
- S'il y a un composant cloud, je veux la preuve que son environnement cloud est sécurisé.
Toutes les données de vulnérabilité de nos clients finiront par y être stockées. Je ne veux pas de fuite de données chez nous. XDR Un fournisseur divulgue des informations confidentielles sur les vulnérabilités de ses clients. Du point de vue de l'espionnage, c'est une cible incroyablement lucrative. Le système doit être parfaitement sécurisé.
Nous évaluons la sécurité du système dorsal de tous nos fournisseurs. Lors de notre recherche, nous avons constaté que l'un d'entre eux… XDR Le fournisseur proposait un produit exceptionnel, mais ses services dans un environnement cloud n'avaient jamais fait l'objet de tests de sécurité !
La conformité c'est bien, mais le plus important ? Expliquez-moi comment vous protégez les données. Faites-moi sentir à l'aise que vous avez pris les mesures nécessaires pour protéger les données. J'ai été surpris par plus d'un qui ne pouvait pas faire cela.
- La structure de prix doit être prévisible à 100 %.Les coûts variables sont un véritable fléau. Je voulais m'assurer qu'il n'y aurait pas de mauvaises surprises. Si un XDR Le fournisseur vous demande : « Combien de terminaux avez-vous ? » Fuyez ! La structure tarifaire doit nous permettre d’intégrer ce coût à nos abonnements, avec une marge raisonnable. Dans le monde des MSSP, SOC Les coûts sont la principale cause de notre échec. Comment un fournisseur de services de sécurité gérés (MSSP) peut-il se développer sans se ruiner face à des coûts de main-d'œuvre en sécurité de l'information toujours plus élevés ?
Notre recherche de Cendrillon XDR (celle qui nous convient parfaitement !) :
Nous avons examiné des dizaines de fournisseurs – vous connaissez sans doute leurs noms. Après près de deux ans d'analyse concurrentielle, de démonstrations et d'essais menés auprès d'une douzaine d'entre eux, nous avons fait notre choix. XDR Parmi ces entreprises, nous avons restreint notre attention à deux, toutes deux en phase d'essais, et c'est Stellar Cyber qui a retenu notre attention.
Il s'agissait pour nous d'un important investissement en capital. Nous voulions nous assurer de bien faire les choses et de pouvoir récupérer notre investissement en termes de volume et d'efficacité. Plutôt que d'opter pour leur version cloud, nous avons acheté le serveur 88 cœurs de 20 To. Le système est conçu pour analyser et analyser de grandes quantités de données provenant de dizaines de périphériques d'infrastructure, de journaux de terminaux et de systèmes de sécurité. Nous voulions qu'il soit protégé, nous l'avons donc stocké dans notre installation sécurisée du centre de données d'Iron Mountain et avons effectué notre premier essai «mangez votre propre nourriture pour chien» au début de l'été de l'année dernière.
Nous avons BEAUCOUP de leçons apprises. Je ne pourrai pas tous les partager dans un court article, mais j'ai pensé qu'il serait peut-être bon de partager quelques-uns des plus importants.
-
XDR Il offre une solution formidable pour rassembler quasiment toutes les informations imaginables sur un seul écran. Nous l'avons trouvé impressionnant.
-
Ce n'est pas un outil d'entrée de gamme. XDR peut introduire de l'ambiguïté là où il ne devrait pas y en avoir. Vous aurez besoin d'une équipe compétente pour évaluer chaque XDR frapper avant d'activer SOAR. Tandis que l'IA apprend de XDR Plus le fournisseur a une clientèle importante, plus il apprend grâce aux actions effectuées par votre analystes. Ils doivent être intelligents.
-
pont XDR haute qualité voulez tarifer par le point final. C'est un tueur d'affaire. Si un vendeur vous demande : "Combien de terminaux avez-vous ?"… RUN.
XDR Il offre une solution formidable pour rassembler quasiment toutes les informations imaginables sur un seul écran. Nous l'avons trouvé impressionnant.
XDR C'est une idée fantastique, mais une mauvaise exécution peut tout gâcher. Les informaticiens ont envie de se jeter immédiatement sur cette machine magique, sans retenue. Et même si je comprends parfaitement leur désir d'avoir « plus de données, c'est toujours mieux », cela a rendu la formation de notre équipe très difficile. SOC Les analystes sont impitoyables.
Ces appareils peuvent traiter quasiment n'importe quelle quantité de données. Nous déconseillons d'y connecter plus d'un flux à la fois, du moins jusqu'à ce que vous soyez familiarisé avec le résultat qu'ils produisent. Pourquoi ? Parce que l'appareil génère des résultats automatiquement, selon des règles prédéfinies. Vous constaterez que certains sont satisfaisants, mais pas tous – et il y en aura beaucoup. SOC Les analystes doivent être plus vigilants. Dans un premier temps, ils devront examiner minutieusement chaque alerte pour vérifier et valider – ont-ils bien été… XDR Comment l'appeler ? Était-ce une erreur ? Quelles mesures faut-il prendre ? IA, automatisation ? La solution miracle ? Autant de bonnes idées, mais sans une solide compréhension de ce que la machine interprète, vous risquez d'être vite dépassés. Nous l'avons été. La boîte noire recèle bien des mystères. Allez-y progressivement. Laissez vos analystes se former. Intégrez un flux de données à la fois.
La recommandation de Stutzman: La vitesse tue. Va lentement. Commencez avec un flux de données. Obtenez-le normalisé, puis ajoutez le suivant.
Sachez ça. XDR n'est pas un outil d'entrée de gamme.
J'en prends quelques-uns SOC Je change de poste tous les trimestres pour maintenir mes compétences à jour. Cela me permet de rester en contact avec mon SOCEt peut-être que je le fais parce que c'est l'un de mes boulots préférés ! Bref, lors de mon premier jour de travail avec un nouveau Stellar opérationnel dans notre premier XDR En tant que client, je me suis retrouvé (vers 2 h du matin) à observer une activité interne, derrière les pare-feu mais clairement sur le réseau, avec une alerte m'indiquant que des mots de passe en clair étaient transmis en grande quantité vers quinze systèmes différents. Cette banque était fermée à 2 h du matin.
Je pensais qu'il n'y avait que deux explications possibles : la compromission ou l'analyse des vulnérabilités. Il s'est avéré que le client exécutait OpenVAS pour tester notre réponse (nous avons réussi !), mais… comment l'avons-nous vu ? Je regarde des données internes provenant d'endroits que nous n'avions pas vus auparavant ! Nous capturions maintenant les journaux Windows, les journaux d'infrastructure, les journaux d'authentification et le flux réseau de la banque de 60 personnes. Nous tirions près de 40 Go de journaux par jour. Je me sentais comme M. Magoo, qui avait enfin de bonnes lunettes et voyait la couleur pour la première fois !
Dans le cadre de notre intégration complète, nous avons conservé notre infrastructure FortiAnalyzer et Lucene afin de permettre à nos analystes de s'éloigner des tâches administratives. XDR L'environnement et les données seront présentés d'une manière qui leur est familière. Nous effectuerons une migration parallèle à l'expiration des anciennes licences. Cependant, durant cette transition, nos analystes de niveau 1 (analystes de triage) sont contraints d'acquérir des compétences plus pointues. Le triage deviendra probablement obsolète. XDR Il prend en charge les actions automatisées pour les tâches plus routinières comme le blocage d'un nouveau scanner ou la validation des résultats des outils avant de les transmettre pour action.
La recommandation de Stutzman : Vos analystes doivent être suffisamment intelligents pour comprendre ce qui se passe dans les données avant que l'IA et l'automatisation ne prennent le relais et que la nouvelle machine n'implante des erreurs. J'ai soixante ans et je fais ça depuis longtemps, mais je voulais quand même une deuxième paire d'yeux. Ce n'est pas un outil d'entrée de gamme. C'est un outil de niveau expert.
pont XDR Les solutions proposées proposent une tarification basée sur le point d'accès final. C'est un obstacle rédhibitoire.
Si une XDR Le fournisseur demande : « Combien de points de terminaison avez-vous ? » Fuyez ! Le comptage des points de terminaison ne fonctionne pas dans XDR Prix. La surprise ne sera pas au rendez-vous. Je ne saurais trop insister.
Nous avons appris cela à la dure. Le Nirvana pour un MSSP consiste à avoir des données provenant de plusieurs appareils sur une seule vitre. Nous avons installé Stellar Cyber de manière opérationnelle l'été dernier pour nos propres opérations internes. Nous croyons qu'il faut "manger sa propre nourriture pour chien" avant de lancer les ventes (nous utilisons tout ce que nous vendons).
J'ai demandé à mon directeur informatique de procéder étape par étape. Intégrer un flux d'informations dans le système et observer son évolution. Malheureusement, suivant les instructions de notre fournisseur, il a installé un port de raccordement sur notre commutateur principal et a transféré toutes nos données vers Stellar. Le flux s'est alors emballé. XDR Nous avons généré un flux fictif pour plus de 40 000 appareils. Chaque objet connecté, mobile, ordinateur, serveur, bref, chaque appareil doté d'une adresse IP et situé derrière l'un de nos pare-feu, chez tous nos clients, était désormais comptabilisé comme un terminal. Notre équipe commerciale a été formidable. Nous n'avons pas été facturés pendant la phase de normalisation, ce qui nous a permis de réduire drastiquement le flux et de procéder client par client, en commençant par notre propre infrastructure. Soucieux de préserver la qualité du système, nous avons opté pour une licence en volume basée sur la quantité de données, et non sur le nombre de terminaux.
La recommandation de Stutzman: Demandez-le dès le départ, puis lancez-y autant que vous le souhaitez.
Nous avons notre système depuis près d'un an maintenant, d'abord comme preuve de valeur à partir de mars dernier, puis opérationnel pendant l'été, et maintenant pleinement opérationnel, en le déployant à l'appui des nombreux projets liés au NIST 800-171 que nous dans lesquels nous avons été impliqués et où nous avons des clients qui ont des environnements hétérogènes. Il a fait un excellent travail. Sommes-nous à 100% ? Non. Nous exigeons toujours que des parseurs soient écrits pour des outils qui ne sont pas déjà disponibles. Nous n'avons pas encore entièrement activé SOAR, et franchement, j'hésite à le faire dans certains de nos sites clients les plus fragiles où nous ne savons pas quel type d'effet d'entraînement les actions automatisées pourraient avoir.
Sommes-nous heureux d'avoir adhéré à XDRAbsolument. Le système coûte à peu près le même prix que deux bons analystes, mais je suis convaincu qu'il nous permettra d'atteindre des clients que nous n'aurions pas pu démarcher auparavant.
Le partage, c'est important. Nous avons traversé des moments difficiles et avons connu des périodes budgétaires angoissantes où j'ai cru qu'il nous faudrait débourser des sommes considérables pour financer ce projet – plus que ce que nous aurions pu économiser sur notre compte en un an. Notre équipe Stellar a été formidable, même si nous ne sommes qu'une petite structure dans leur vaste écosystème. J'espère que mon expérience vous sera utile dans votre propre réflexion. XDR achat. Ou, si vous préférez, contactez-nous. Nous serions ravis de créer votre XDR dans notre nouvel environnement multi-locataire Stellar Cyber.
