Dans l'ultra-concurrentiel d'aujourd'hui Marché MSSP, les propriétaires d'entreprise cherchent des moyens de rendre leurs offres plus attrayantes pour les clients et leurs SOCs plus efficace. À cette fin MSSP ajouter une nouvelle technologie à leur pile d'offres de sécurité dans l'espoir que les clients potentiels verront cet ajout comme une opportunité d'externaliser une partie ou la totalité de leur surveillance de la sécurité. Il y a une certaine validité à cette stratégie; Malheureusement, la nouvelle technologie ne parvient souvent pas à offrir les avantages déclarés, ce qui entraîne une augmentation du taux de désabonnement des clients. Ainsi, bien qu'il soit essentiel de tenir votre équipe technologique et de sécurité au courant des technologies de sécurité les plus récentes et les plus performantes, vous devez parfois examiner ce qui se trouve déjà dans votre pile de sécurité.
La technologie à laquelle je fais spécifiquement référence est votre SIEM. Selon à qui vous parlez, nous sommes actuellement dans la troisième ou la quatrième génération de SIEM sans souci; cependant, quand je parle aux pratiquants, leur niveau de frustration avec leur SIEM est à Defcon.
1. Les MSSP continuent d'utiliser un SIEM Cela ne répond pas à leurs besoins en raison du temps et des ressources nécessaires pour le remplacer par quelque chose qui les décevra probablement tout autant.
Permettez-moi de parler de trois façons ce vieux SIEM (ou même pas si vieux) SIEM) cause plus de tort que vous ne le pensez.
SIEMLes s sont paresseux
Voilà, je l'ai dit, mais nous savons tous que SIEMs, jusqu'à récemment, ne fonctionnaient pas plus intelligemment, ils vous faisaient travailler plus dur. Bien qu'ils vous permettent de collecter toutes sortes de journaux et de corréler les alertes de différents contrôles de sécurité, le résultat que vous obtiendriez n'était aussi bon que votre analyste de sécurité le plus ingénieux. S'il s'agissait d'un ninja de la sécurité doté d'une vaste compréhension du paysage des menaces et sachant écrire des règles de corrélation intelligentes, vous aimiez probablement votre SIEM.
Si votre équipe est comme la plupart, où les entreprises essaient d'attirer vos meilleurs joueurs, vous verriez un changement radical dans votre SIEMs efficacité s'ils partaient. Oui, NG-SIEM les fournisseurs tentent de résoudre ce problème en proposant davantage de contenu prêt à l'emploi (le jury n'est toujours pas sûr de son efficacité). Néanmoins, tout comme ce paquet d'Oreo que vos enfants ouvrent et oublient de fermer correctement, ce contenu devient rapidement obsolète, vous laissant la tâche de créer de nouvelles règles ou de parcourir les communautés pour trouver du contenu que vous pouvez importer. En bout de ligne, le SIEM, Même NG-SIEMs, laissent le gros du travail à votre équipe, ce qui entrave votre capacité à ajouter le nombre de clients que votre équipe pourrait gérer sans ce fardeau.
SIEMs sont des gouffres à données
La cybersécurité aujourd'hui est un problème de données, rayez cela, c'est un GROS GROS problème de données. Avec autant de produits utilisés quotidiennement, le volume de journaux généré par une entreprise de taille moyenne typique est ridicule. Alors que des industries spécifiques nécessitent une collecte et un examen complets des journaux pour se conformer à telle ou telle réglementation, de nombreux clients susceptibles de consulter un MSSP n'essaient pas de résoudre un problème de conformité. Au lieu de cela, beaucoup cherchent à mieux identifier et atténuer les menaces avant qu'elles ne puissent nuire à leur entreprise. SIEMsDe par leur tendance intrinsèque à collecter un maximum de données, les systèmes informatiques obligent les équipes de sécurité à analyser des masses de données de journalisation inutiles dans l'espoir de déceler un danger. Ce n'est pas impossible, puisque vous le faites probablement déjà, mais imaginez que vous soyez un chercheur d'or dans les années 1840. Au lieu d'utiliser une batée pour tamiser de petites quantités de limon, vous optez pour un grand seau, espérant apercevoir le précieux minerai. À votre avis, quelle méthode prendrait le plus de temps ? Bien sûr, la comparaison n'est pas tout à fait pertinente, et nos capacités informatiques actuelles peuvent accélérer le processus. Cependant, gagner quelques minutes par jour représente un gain considérable, surtout à grande échelle. SOC avec dix, vingt ou cinquante analystes de sécurité. Conclusion – SIEMs sont excellents pour résoudre les cas d'utilisation de conformité pure car ils collectent toutes les données de journal, mais pour les cas d'utilisation de sécurité, ce que vous vendez généralement, vous avez besoin d'une technologie qui comprend la différence entre les journaux de sécurité pertinents et ceux qui ne sont pas pertinents, et ne collecte que ce dont elle a besoin .
SIEMNous n'aimons pas tout le monde
Lorsque je dirigeais le marketing produit pour un autre fournisseur (qui restera anonyme), l'une des questions les plus courantes était : « Prendez-vous en charge le produit XYZ ? » ou "Puis-je importer des données du produit ABC ?" Les acheteurs de sécurité avertis qui ont fait le tour du cirque des fournisseurs une ou deux fois comprennent comment les fournisseurs de sécurité minimiseront le manque d'intégrations prédéfinies à vos produits. Ils diront des choses comme : « Je peux te l'obtenir, pas de problème » ou « Je suis sûr que c'est en route ; laissez-moi vous répondre », alors qu'en réalité, ils devront retourner dans leur équipe d'intégration et supplier et plaider pour une nouvelle intégration, surtout s'ils doivent conclure votre accord pour atteindre leur numéro pour le trimestre. Maintenant, quelqu'un de l'équipe d'intégration prépare un script unique qui montre les données circulant de votre produit vers le SIEM backend, en espérant que personne ne passe au peigne fin ce qui a été livré. Encore une fois, si vous êtes là depuis une minute, je suis sûr que cela vous semble familier.
La triste réalité est que la plupart SIEMs sont difficiles à intégrer, compte tenu de la complexité sous-jacente de leurs modèles de données. Vous pourrez peut-être écrire vos intégrations, et si c'est le cas, tant mieux, mais que se passe-t-il lorsque le SIEM fournisseur déploie une nouvelle version et rompt votre intégration ? C'est de retour à la planche à dessin. En bout de ligne - intégrations prêtes à l'emploi à un SIEM ce travail sont ce que vous devriez attendre de votre SIEM fournisseur. Si ce n'est pas ce que vous obtenez aujourd'hui, le temps d'intégration de vos clients s'en trouvera allongé et, dans le pire des cas, vous perdrez des opportunités commerciales en attendant votre fournisseur. SIEM Un fournisseur pour vous livrer une intégration qui, vous l'espérez, fonctionnera.
Nous avons aidé de nombreux MSSP à voir les avantages de retirer leur ancien ou pas si ancien SIEM et le remplacer par notre Cyber stellaire Open XDR Plateforme complète. Avec notre plateforme, vous obtenez :
– La bonne automatisation, là où vous en avez besoin : L'objectif de Stellar Cyber est de rendre la détection, l'investigation et la correction des menaces aussi automatisées que possible. Lorsque vous passez à Stellar Cyber, vous n'avez plus à vous soucier de l'obsolescence des règles de corrélation. Stellar Cyber fait le gros du travail pour accélérer l'acquisition de clients.
– Collecte de données intelligente : nous collectons des données relatives à la sécurité permettant à notre AI / ML moteur de détection des menaces pour identifier les menaces aussi rapidement que possible. Lorsque les secondes comptent, Stellar Cyber s'assure que vous disposez de toutes les secondes que vous pouvez obtenir.
- Tout le monde est le bienvenu: Si votre SIEM et Stellar Cyber organisaient tous les deux des fêtes, notre fête ressemblerait à une réunion de classe avec tout le monde s'amusant; la SIEM la fête peut ressembler à un rassemblement de personnes qui ne se sont jamais rencontrées. En d'autres termes, l'architecture de Stellar Cyber est ouverte, avec des intégrations à presque tous les outils de sécurité, d'informatique et de productivité populaires, ce qui rend l'intégration des clients et la croissance de votre entreprise plus rapides que jamais.
Nous devons beaucoup à SIEMs. Ils nous ont ouvert les yeux sur l'importance de l'analyse des données, mais aujourd'hui, vous pouvez faire mieux que le SIEM vous utilisez. Pour en savoir plus sur Stellar Cyber, consultez notre Spécifique au MSSP visite de cinq minutes.
