En 2012, j'ai travaillé pour l'un des premiers fournisseurs de solutions de sécurité en tant que service (SaaS). À l'époque, sécuriser son environnement depuis le cloud était une technologie de pointe, et de nombreuses équipes de sécurité hésitaient à introduire ce qu'elles considéraient comme un nouveau point de défaillance dans leur cadre de sécurité. Aujourd'hui, déployer une solution de sécurité en tant que service (SaaS) est devenu beaucoup plus courant. SIEM, XDRUne plateforme SecOps installée sur un serveur physique semble démodée pour bon nombre des responsables de la sécurité actuels.
En effet, il existe de bonnes raisons pour lesquelles les équipes de sécurité considèrent le cloud comme leur option de déploiement privilégiée pour les produits de sécurité, depuis l'accélération du déploiement jusqu'à la réduction des coûts et la flexibilité d'accéder au produit à partir de n'importe quel navigateur Web sécurisé. Cela dit, une équipe de sécurité a des raisons tout aussi valables d’opter pour une approche de plateforme d’opérations de sécurité sur site. Voici quatre raisons pour lesquelles un déploiement sur site pourrait être le bon choix pour votre organisation.
Quatre raisons de déployer sur site
1. Données hautement sensibles
Chaque équipe de sécurité donne la priorité à la confidentialité des données de son entreprise. Toutefois, si votre organisation traite des informations classifiées, vous devrez peut-être vous assurer que les données ne quittent jamais votre environnement. Dans de tels cas, l’utilisation de produits de sécurité basés sur le cloud n’est pas une solution. En déployant votre plateforme SecOps sur site, vous pouvez être assuré que vos journaux sensibles et autres informations de sécurité restent en toute sécurité dans les murs de votre environnement, offrant ainsi une couche de protection supplémentaire.
2. Règlements
Le degré avec lequel les agences de réglementation examinent un secteur peut varier considérablement en fonction du type de données que l'organisation gère et de la possibilité que ces données, si elles sont compromises, causent un préjudice important aux clients. Par exemple, les organisations de santé, financières et gouvernementales doivent respecter des exigences réglementaires strictes, telles que le RGPD, la HIPAA et d'autres lois régionales sur la protection des données. Supposons que votre organisation fasse partie de l'un de ces secteurs hautement réglementés. Dans ce cas, vous n’aurez peut-être pas d’autre choix que de déployer votre plateforme SecOps sur site pour éliminer les violations potentielles de la réglementation.
3. Personnalisation et contrôle de version
En fonction des capacités de votre équipe de sécurité et des cas d'utilisation ciblés, vous devrez peut-être déployer des configurations et/ou du code personnalisés sur une plateforme SecOps prête à l'emploi. Lorsque vous travaillez avec une plateforme SecOps basée sur le cloud, le fournisseur peut restreindre votre capacité à apporter ce type de personnalisation à la plateforme. De plus, le fournisseur peut appliquer des mises à jour à la plate-forme SecOps avec peu ou pas de préavis, ce qui pourrait causer des brûlures d'estomac à votre équipe de sécurité. Avec un déploiement sur site, votre équipe de sécurité peut mettre en œuvre des politiques de sécurité sur mesure et/ou une automatisation qui pourraient être difficiles à mettre en œuvre sur une plate-forme basée sur le cloud. Ce niveau de flexibilité et de contrôle peut responsabiliser votre équipe, lui permettant d'adapter la plateforme à ses besoins spécifiques et de maintenir le contrôle des versions sans aucune restriction externe.
4. Considérations relatives aux performances
Alors que la plupart des organisations travaillent avec des réseaux à haut débit capables de minimiser la latence, même lors du chargement ou du téléchargement de grands ensembles de données, certaines peuvent avoir des difficultés avec la fiabilité/stabilité du réseau en raison de l'emplacement de leurs bureaux. De plus, il existe des situations dans lesquelles une organisation ou une partie de l’organisation ne dispose pas de connexion Internet pour se conformer aux politiques internes ou externes. Si vous êtes dans une situation similaire, le modèle de déploiement sur site est votre seule véritable option.
Choisir votre prochaine plateforme SecOps sur site
J'ai exposé quatre raisons pour lesquelles un déploiement sur site d'un SIEM Une plateforme d'opérations de sécurité peut être nécessaire, parmi bien d'autres. Quelle que soit la raison de votre déploiement sur site, la question suivante est : « Comment choisir une plateforme sur site ? » SIEM/Une plateforme SecOps qui réponde à mes besoins de déploiement ?
Voici trois recommandations lors de la sélection de votre plateforme sur site.
1. Capacités
Même si cela va sans dire, les plates-formes d’opérations de sécurité prenant en charge les capacités de déploiement sur site varient considérablement. Au bas de l'échelle des fonctionnalités, vous pourriez avoir des fournisseurs vantant une plate-forme déployable sur site qui vous permet d'ingérer des données de journaux provenant de nombreuses sources différentes mais vous oblige à créer, gérer et maintenir toutes les règles de détection et de corrélation. Ce produit est un outil de gestion des journaux glorifié qui rendra sans aucun doute votre équipe moins efficace à long terme.
À l'autre extrémité du spectre se trouvent des produits dotés d'intégrations facilement configurables, capables de capturer les alertes de sécurité tierces, les données de journalisation, le trafic réseau et les flux d'activité des utilisateurs et des ressources. Ensuite, des modèles d'apprentissage automatique et d'intelligence artificielle, combinés à des règles de détection définies par le fournisseur, permettent de déceler automatiquement les menaces avancées, sans intervention humaine. Stellar Cyber Open XDR La plateforme fonctionne de cette manière.
Lors de l'évaluation de vos options, posez des questions approfondies concernant les capacités et insistez sur une preuve de concept (PoC) dans votre environnement pour valider les affirmations du fournisseur.
2. Intégrations
Comme mentionné dans ma première recommandation, les intégrations sont essentielles pour tirer profit de toute plateforme d’opérations de sécurité. Quiconque a travaillé avec un produit nécessitant d’importantes intégrations manuelles et personnalisées sait à quel point cela peut rapidement se transformer en cauchemar. D'une part, toutes les équipes de sécurité ne disposent pas des compétences techniques nécessaires pour concevoir leurs intégrations. Elles doivent donc soit passer un contrat avec une ressource externe pour créer et maintenir les intégrations, payer des frais supplémentaires au fournisseur pour créer les intégrations, soit embaucher une ressource dédiée pour posséder les intégrations. . Dans tous ces cas, le résultat est une plate-forme qui coûte beaucoup plus cher que prévu avec le temps.
La meilleure option consiste à sélectionner une plate-forme sur laquelle le fournisseur investit ses efforts et ses ressources dans la création d'intégrations que votre équipe de sécurité peut facilement configurer. Par exemple, notre plateforme comprend des centaines d'intégrations prédéfinies disponibles pour tous les utilisateurs sans frais supplémentaires. De plus, si un client a besoin d'intégrations supplémentaires, nous les développons sans frais supplémentaires.
Lorsque vous discutez avec des fournisseurs, assurez-vous qu'ils comprennent les produits que vous avez l'intention d'intégrer et si leur plate-forme les prend en charge. Validez tout ce qu'ils disent pendant le processus PoC.
3. Feuille de route
Découvrir qu'un produit dans lequel vous avez investi et intégré comme plaque tournante de vos flux de travail de sécurité n'a aucun avenir, de manière inattendue, peut frustrer même le responsable de la sécurité le plus chevronné.
Par exemple, le récent rachat d'IBM QRadar par Palo Alto Networks SIEM Cloud a laissé n'importe quoi IBM QRadar sur site clients dans le froid. Si ces clients doivent rester sur site, ils ont besoin d'un autre fournisseur pour répondre à leurs besoins de déploiement et les aider à migrer rapidement leurs données, configurations et règles QRadar existantes vers la nouvelle plateforme.
Bien que les produits dotés de feuilles de route puissent être entraînés dans des actions liées aux actionnaires, telles que des fusions ou des acquisitions, le fait de voir que le fournisseur a des projets au-delà de la version actuelle de la plate-forme vous permet au moins de savoir que la plate-forme continuera d'évoluer en fonction des changements dans le domaine. le paysage des menaces et les besoins des utilisateurs.
Par exemple, chez Stellar Cyber, nous examinons régulièrement notre feuille de route avec les clients et prospects pour notre plateforme, qui peut être déployée sur site, dans le cloud ou co-gérée par le MSSP de votre choix. Nous sommes transparents avec nos clients pour leur faire savoir que nous nous engageons à prendre en charge les déploiements cloud et sur site avec les mêmes capacités à l'avenir. Cet engagement permet également à nos clients d’adapter leur approche de sécurité à mesure que les choses évoluent pour eux. Par exemple, si l'organisation peut passer d'un déploiement sur site au cloud à l'avenir, elle pourra effectuer cette migration de manière transparente avec Stellar Cyber sans avoir à utiliser un produit complètement différent.
Réflexions de clôture
La sécurité n’est pas une solution universelle.
Bien que le cloud permette une croissance rapide des entreprises et aide les équipes de sécurité à gérer leurs coûts et leurs ressources, il existe des raisons valables de déployer une infrastructure cloud. SIEM/XDRPlateforme SecOps sur site. Suivre les recommandations simples que j'ai évoquées constitue un bon point de départ pour trouver votre prochaine plateforme. Pour découvrir comment Stellar Cyber Open XDR La plateforme Security Operations peut répondre à vos besoins de déploiement sur site. contactez-nous aujourd'hui pour organiser une consultation personnelle. De plus, si vous êtes un client actif d'IBM QRadar On-premises et que vous souhaitez évoluer rapidement, nous avons une promotion spéciale rien que pour vous.
