हमारी खोज और एकीकरण से सीखे गए सबक XDR
विश्वसनीय इंटरनेट अब परिनियोजित हो रहा है स्टेलर साइबर XDR -के तौर पर SOC-मॉनिटर किए गए समाधान के रूप में या इंफ्रास्ट्रक्चर एज़ ए सर्विस के रूप में।
मार्केटिंग का प्रचार XDR जो लोग इस पर विचार कर रहे हैं, उनके लिए यह शोरगुल भरा है। XDRआकर्षक वेबसाइटों और मार्केटिंग के शोर-शराबे के बीच से सच्चाई का पता लगाना मुश्किल है। इसलिए, मैंने सोचा कि मैं अपने कुछ अनुभव साझा करूं – एक स्व-वित्तपोषित कंपनी के सीईओ के दृष्टिकोण से। MSSPs, मुझे आशा है कि यह आपके खरीदारी निर्णयों में मदद करेगा।
पिछले चार सालों से, हम ऊनी फोर्टिनेट एमएसएसपी की तरह मर चुके हैं। हम अपने Fortinet फायरवॉल से प्यार करते हैं, हमारे लोग NSE7 के माध्यम से प्रमाणित हैं, जो हमारी इच्छा के आगे झुकने के लिए फीचर-पैक हाई-स्पीड मशीनों को ट्यून करने के लिए कड़ी मेहनत कर रहे हैं। विभिन्न कारणों से, हमने लगभग दो साल पहले निर्णय लिया कि भावी ग्राहकों के अनुरोधों को समायोजित करने के तरीके की तलाश शुरू की जाए ताकि उनकी मौजूदा सुरक्षा प्रणालियों को खराब न किया जाए और उन्हें बदल न दिया जाए।
भी, SOC, एनओसी, EDR, एमडीआर, एनडीआर, MSSPsकोई इन सभी को एक ही बॉक्स में क्यों नहीं संयोजित कर सकता जो उनके सभी लॉग को समझता हो और बेहतर सहायता के लिए एआई को प्रशिक्षित करने के लिए मशीन लर्निंग का उपयोग करता हो? SOC विश्लेषक? मेरा एक पुराना दोस्त इसे 'भगवान का डिब्बा' कहा करता था। इसे सब कुछ पता है।
XDR यह गॉड बॉक्स की शुरुआत है।
हमारी आवश्यकताओं:
- यह उन सभी अन्य विक्रेताओं को एक ग्राहक के वातावरण में एकीकृत करना चाहिए, बिना उनके मौजूदा बुनियादी ढांचे को चीरने और बदलने की आवश्यकता के बिना।
हम हर कंप्यूटर पर एक एजेंट तैनात नहीं करना चाहते थे। उनके पास पहले से ही AV और एंटी-इवेशन है। हम दूसरे एंडपॉइंट सिस्टम पर लोड नहीं करना चाहते थे।
हम विसंगति का पता लगाने के लिए नेटवर्क प्रवाह विश्लेषण को एकीकृत करने की क्षमता चाहते हैं लेकिन 100% समय नहीं चाहते हैं। प्रवाह भारी मात्रा में डेटा उत्पन्न करता है जिसे हम अन्य संकेतकों के आधार पर आवश्यकतानुसार चालू और बंद करना चाहते थे।
- इसे सभी NIST 800-171 लॉग-संग्रह/विश्लेषण आवश्यकताओं को समायोजित करना चाहिए।
जबकि ISO, CIS, HIPAA, या PCI को इन सभी लॉग के एकत्रीकरण और विश्लेषण की आवश्यकता होती है, NIST 800-171 को हर घटना के लिए लगभग हर डिवाइस से निगरानी लॉग प्रविष्टियों की आवश्यकता होती है - अवसंरचना, समापन बिंदु और सुरक्षा।
हमें इन लॉग्स पर नजर रखने के लिए एक बेहतर तरीका खोजने की जरूरत है और इसे इस तरह से करना चाहिए कि हमारा एसएमबी-केंद्रित ग्राहक आधार वहन कर सके। ऐसा करने के लिए, हमें उन्हें एक सिस्टम में लाने में सक्षम होना चाहिए जो प्रत्येक आवश्यक लॉग को समझता हो।
-
यह बहु-किरायेदार होना चाहिए।
उस समय मुझे इस बात का बिल्कुल भी अंदाजा नहीं था कि एआई को लेकर मेरे मन में कितना संदेह पैदा होगा, जब तक कि मैंने विभिन्न वीडियो नहीं देखे। XDRदौड़ शुरू हो चुकी है। एक कुशल टीम के साथ तैयार रहें।
हमने अपने ल्यूसीन स्टैक में बेसलाइन के रूप में FortiAnalyzer और कच्चे लॉग डेटा का उपयोग करते हुए A|B परीक्षण करते हुए एक दूसरे से तुलना की
-
आदर्श रूप में, XDR इसमें किसी भी विक्रेता को शामिल किया जाना चाहिए, न कि केवल उनके द्वारा निर्मित विक्रेताओं को। XDR विक्रेता।
कुछ XDR जिन विक्रेताओं पर हमने विचार किया, उनमें से कुछ ने अपने स्वयं के एंटीवायरस, आईपीएस आदि बनाए। अन्य ने किसी और के उत्पादों का निर्माण करवाया, लेकिन इस बारे में चर्चा करने को तैयार नहीं थे।
बहरहाल, मैं यह जानना चाहता हूं कि इसमें निर्मित उपकरण XDR परिपक्व और परीक्षित हैं।
- यदि कोई क्लाउड घटक है, तो मुझे प्रमाण चाहिए कि उनका क्लाउड वातावरण सुरक्षित है।
हमारे सभी ग्राहकों का सुरक्षा संबंधी डेटा अंततः वहीं जमा हो जाएगा। मैं नहीं चाहता कि हमारे सिस्टम में डेटा लीक हो। XDR विक्रेता ग्राहकों की सुरक्षा संबंधी जानकारी लीक कर रहा है। जासूसी के नज़रिए से, यह एक बेहद महत्वपूर्ण लक्ष्य है। इसे सुरक्षित रखना बेहद ज़रूरी है।
हम अपने सभी विक्रेताओं की बैकएंड सुरक्षा का मूल्यांकन करते हैं। जब हमने अपनी खोज के दौरान ऐसा किया, तो एक XDR विक्रेता के पास एक शानदार उत्पाद था, लेकिन उसने क्लाउड वातावरण में जो सेवाएं प्रदान कीं, उनकी सुरक्षा का कभी परीक्षण नहीं किया गया था!
अनुपालन अच्छा है, लेकिन अधिक महत्वपूर्ण है? मुझे बताएं कि आप डेटा की सुरक्षा कैसे करते हैं. मुझे सहज महसूस कराएं कि आपने डेटा की सुरक्षा के उपाय किए हैं। मैं एक से अधिक लोगों से हैरान था जो ऐसा नहीं कर सके।
- मूल्य संरचना 100% अनुमानित होनी चाहिए।परिवर्तनीय लागतें बहुत नुकसानदायक होती हैं। मैं यह सुनिश्चित करना चाहता था कि हमें कोई अप्रत्याशित समस्या न हो। अगर कोई XDR विक्रेता आपसे पूछता है, "आपके पास कितने एंडपॉइंट हैं?" भाग जाओ। मूल्य निर्धारण संरचना में हमारी सदस्यता लागत में इसे उचित मार्जिन पर शामिल करने की हमारी क्षमता होनी चाहिए। एमएसएसपी की दुनिया में, SOC लागतें किसी भी अन्य चीज़ की तुलना में हमें तेज़ी से असफल बना सकती हैं। सूचना सुरक्षा श्रम लागतों में लगातार हो रही भारी वृद्धि के बिना एक MSSP कैसे अपना विस्तार कर सकता है?
सिंड्रेला की हमारी खोज XDR (जो हमारे लिए एकदम सही है!)
हमने दर्जनों विक्रेताओं पर गौर किया - आपने उनके नाम तो सुने ही होंगे। लगभग दो वर्षों के प्रतिस्पर्धी विश्लेषण, डेमो और लगभग एक दर्जन विक्रेताओं के परीक्षणों के बाद, हमने पाया कि हम दर्जनों विक्रेताओं का अध्ययन कर रहे हैं। XDR हमने अपना ध्यान दो कंपनियों पर केंद्रित किया, दोनों ही परीक्षण के दौर से गुजर रही थीं, और स्टेलर साइबर ने हमें प्रभावित किया।
यह हमारे लिए एक महत्वपूर्ण पूंजी निवेश था। हम यह सुनिश्चित करना चाहते थे कि हमने यह सही किया और अतिरिक्त मात्रा और दक्षताओं में अपने निवेश को पुनः प्राप्त करने में सक्षम थे। उनके क्लाउड संस्करण के साथ जाने के बजाय, हमने 88-कोर, 20Tb सर्वर खरीदा। सिस्टम को दर्जनों इंफ्रास्ट्रक्चर उपकरणों, एंडपॉइंट लॉग और सुरक्षा प्रणालियों से बड़ी मात्रा में डेटा को पार्स और विश्लेषण करने के लिए डिज़ाइन किया गया है। हम इसे संरक्षित करना चाहते थे, इसलिए हमने आयरन माउंटेन डाटासेंटर में अपनी सुरक्षित सुविधा में इसे रैक किया और पिछले साल की शुरुआती गर्मियों के दौरान अपना पहला 'अपना कुत्ता खाना खाओ' परीक्षण किया।
हमने कई सबक सीखे हैं। मैं उन सभी को एक छोटे से पेपर में साझा नहीं कर पाऊंगा, लेकिन मैंने सोचा कि कुछ बड़े पेपर साझा करना अच्छा होगा।
-
XDR यह लगभग हर तरह की जानकारी को एक ही स्क्रीन पर प्रदर्शित करने का एक शानदार समाधान प्रदान करता है। हमें यह बेहद प्रभावशाली लगा।
-
यह कोई शुरुआती स्तर का उपकरण नहीं है। XDR इससे ऐसी अस्पष्टता उत्पन्न हो सकती है जहाँ इसकी आवश्यकता नहीं है। प्रत्येक पहलू का मूल्यांकन करने के लिए आपको एक कुशल टीम की आवश्यकता होगी। XDR SOAR को सक्रिय करने से पहले हिट करें। जबकि AI इससे सीखता है। XDR विक्रेता के बड़े ग्राहक आधार के अलावा, यह उनके द्वारा किए गए कार्यों के माध्यम से भी सीखता है। तुंहारे विश्लेषकों। उन्हें स्मार्ट होने की जरूरत है।
-
बहुत से XDR समाधान एंडपॉइंट द्वारा मूल्य निर्धारण करना चाहते हैं। यह सौदा हत्यारा है। यदि कोई विक्रेता पूछता है, "आपके पास कितने समापन बिंदु हैं?"... भागो।
XDR यह लगभग हर तरह की जानकारी को एक ही स्क्रीन पर प्रदर्शित करने का एक शानदार समाधान प्रदान करता है। हमें यह बेहद प्रभावशाली लगा।
XDR यह एक शानदार विचार है, लेकिन गलत क्रियान्वयन से आपका पूरा दिन बर्बाद हो जाएगा। आईटी वाले लोग इस जादुई बॉक्स पर तुरंत सब कुछ (और यहां तक कि हर संभव प्रयास) झोंक देना चाहते हैं। और हालांकि मैं 'जितना अधिक डेटा उतना अच्छा' की तकनीकी इच्छा को पूरी तरह समझता हूं, इसने हमारे प्रशिक्षण की प्रक्रिया को कठिन बना दिया। SOC विश्लेषकों ने बेहद कठोर आलोचना की।
ये मशीनें आपके द्वारा इनमें डाली गई लगभग किसी भी मात्रा में डेटा को प्रोसेस कर सकती हैं। हम एक समय में एक से अधिक डेटा स्ट्रीम डालने की सलाह नहीं देते हैं; कम से कम तब तक जब तक आप मशीन द्वारा दिए जाने वाले आउटपुट से परिचित न हो जाएं। क्यों? मशीन पूर्वनिर्धारित नियमों के आधार पर अपने आप परिणाम उत्पन्न करेगी। आप पाएंगे कि कुछ परिणाम अच्छे होंगे, लेकिन सभी नहीं - और ऐसे बहुत सारे परिणाम होंगे। SOC विश्लेषकों को बेहतर जानकारी होनी चाहिए। उन्हें शुरू में प्रत्येक अलर्ट की जांच और सत्यापन के लिए कड़ी मेहनत करनी होगी - क्या XDR इसे क्या कहा जाए? क्या यह गलत था? क्या कार्रवाई की जानी चाहिए? एआई, स्वचालन? जादुई बॉक्स? ये सभी अच्छी बातें हैं, लेकिन मशीन किसे अच्छा और बुरा मानती है, इसकी ठोस बुनियादी जानकारी के बिना, आप भ्रमित हो सकते हैं। हम भी हुए थे। इस ब्लैक बॉक्स में बहुत कुछ छिपा है। धीरे-धीरे आगे बढ़ें। अपने विश्लेषकों को सीखने दें। एक बार में एक ही डेटा स्ट्रीम को शामिल करें।
स्टुट्ज़मैन की सिफारिश: रफ्तार जानलेवा है। धीरे जाइये। एक डेटा फ़ीड से प्रारंभ करें. इसे सामान्य करें, फिर अगला जोड़ें।
यह जानो। XDR यह शुरुआती स्तर का उपकरण नहीं है।
मैं कुछ लेता हूँ SOC हर तिमाही में बदलाव करने से मेरे कौशल में निखार बना रहता है। इससे मैं अपने साथियों के संपर्क में बना रहता हूँ। SOCऔर शायद मैं यह इसलिए करता हूँ क्योंकि यह मेरी पसंदीदा नौकरियों में से एक है! खैर, हमारी पहली नई चालू स्टेलर में अपनी पहली शिफ्ट के दौरान XDR ग्राहक, मुझे रात के लगभग 2 बजे फायरवॉल के पीछे, लेकिन स्पष्ट रूप से नेटवर्क पर हो रही आंतरिक गतिविधियों को देखते हुए पाया गया। एक अलर्ट ने मुझे बताया कि बड़ी मात्रा में सादे टेक्स्ट पासवर्ड पंद्रह अलग-अलग सिस्टमों को भेजे जा रहे हैं। यह बैंक रात के 2 बजे खुला नहीं था।
मैंने सोचा कि केवल दो संभावित स्पष्टीकरण थे: समझौता या भेद्यता स्कैनिंग। जैसा कि यह पता चला कि ग्राहक हमारी प्रतिक्रिया का परीक्षण करने के लिए OpenVAS चला रहा था (हम पास हो गए!), लेकिन ... हमने इसे कैसे देखा? मैं उन जगहों से आंतरिक डेटा देख रहा हूं जिन्हें हमने पहले नहीं देखा था! अब हम 60-व्यक्ति बैंक से विंडोज लॉग, इंफ्रास्ट्रक्चर लॉग, ऑथेंटिकेशन लॉग और नेटवर्क फ्लो कैप्चर कर रहे थे। हम प्रति दिन लगभग 40 जीबी लॉग खींच रहे थे। मुझे मिस्टर मागू की तरह महसूस हुआ, जिन्हें आखिरकार अच्छा चश्मा मिल गया और वे पहली बार रंग देख रहे थे!
जैसे-जैसे हम पूर्ण एकीकरण कर रहे हैं, हमने अपने FortiAnalyzer और Lucene Stack को बरकरार रखा है ताकि हमारे विश्लेषक इससे दूर रह सकें। XDR नए कर्मचारी अपने परिचित परिवेश में काम कर सकेंगे और डेटा को उस तरीके से देख सकेंगे जिससे वे परिचित हैं। पुराने लाइसेंस समाप्त होने पर हम समानांतर रूप से बदलाव करेंगे। हालांकि, इस बदलाव के दौरान, हमारे प्रथम श्रेणी के विश्लेषकों (ट्राइएज विश्लेषकों) को अधिक गहन कौशल सीखने के लिए मजबूर होना पड़ रहा है। ट्राइएज संभवतः भविष्य में बीते दिनों की बात हो जाएगी। XDR यह नए स्कैनर को ब्लॉक करने या कार्रवाई के लिए आगे बढ़ाने से पहले उपकरणों के निष्कर्षों को मान्य करने जैसे अधिक सामान्य कार्यों के लिए स्वचालित कार्रवाई करता है।
स्टुट्ज़मैन की सिफारिश: आपके विश्लेषकों को यह समझने के लिए पर्याप्त स्मार्ट होने की जरूरत है कि एआई और ऑटोमेशन के अधिग्रहण से पहले डेटा में क्या हो रहा है और नई मशीन गलतियों को लागू करती है। मैं साठ साल का हूं और लंबे समय से ऐसा कर रहा हूं, लेकिन मुझे फिर भी आंखों का दूसरा सेट चाहिए था। यह एक एंट्री-लेवल टूल नहीं है। यह एक विशेषज्ञ स्तर का उपकरण है।
बहुत से XDR समाधान प्रदाता अंतिम बिंदु के आधार पर मूल्य निर्धारण करना चाहते हैं। यह सौदे को पूरी तरह से रद्द कर देता है।
यदि एक XDR विक्रेता पूछता है, "आपके पास कितने एंडपॉइंट हैं?" भागो!! एंडपॉइंट की गिनती काम नहीं करती। XDR कीमत। आपको यह जानकर हैरानी होगी। मैं इस बात पर जितना जोर दूं उतना कम है।
हमने इसे कठिन तरीके से सीखा। एक MSSP के निर्वाण में कांच के एक फलक पर कई उपकरणों से डेटा हो रहा है। हमने अपने आंतरिक संचालन के लिए पिछली गर्मियों में स्टेलर साइबर को परिचालन रूप से स्थापित किया था। हम बिक्री के साथ लाइव होने से पहले "अपने कुत्ते का खाना खुद खाते हैं" में विश्वास करते हैं (हम जो कुछ भी बेचते हैं उसका उपयोग करते हैं)।
मैंने अपने आईटी निदेशक से एक-एक कदम करके आगे बढ़ने को कहा। सिस्टम में एक-एक करके सूचना प्रवाह डालें और देखें कि यह कैसे सामान्य होता है। दुर्भाग्य से, हमारे विक्रेता के निर्देशों का पालन करते हुए, उन्होंने हमारे कोर स्विच में एक स्पैन पोर्ट लगा दिया और हमारे पास मौजूद सभी डेटा को स्टेलर में डाल दिया। इसके बाद डेटा का प्रवाह तेज़ी से बढ़ गया। XDR 40,000 से अधिक उपकरणों के लिए छद्म प्रवाह उत्पन्न किया गया। हमारे फ़ायरवॉल के पीछे स्थित प्रत्येक IoT, मोबाइल, कंप्यूटर, सर्वर, IP पते वाला प्रत्येक उपकरण, हमारे क्लाइंट पोर्टफोलियो में कहीं भी स्थित, अब एक एंडपॉइंट के रूप में गिना जाने लगा। हमारी बिक्री टीम बहुत अच्छी थी। हमें सामान्यीकरण प्रक्रिया समझने में समय लगा, इसलिए हमने प्रवाह प्रक्रिया को रोक दिया और एक-एक करके अपने स्वयं के बुनियादी ढांचे से शुरुआत की। हम विश्वसनीयता खोना नहीं चाहते थे, इसलिए हमने अंत में एंडपॉइंट की संख्या के बजाय डेटा की मात्रा के आधार पर वॉल्यूम लाइसेंस लिया।
स्टुट्ज़मैन की सिफारिश: यह पहले ही मांग लो, फिर जितना चाहो उतना फेंक दो।
हमारे पास लगभग एक साल से हमारा सिस्टम है, पहले पिछले मार्च से शुरू होने वाले मूल्य के प्रमाण के रूप में, फिर गर्मियों के दौरान चालू हो रहा है, और अब पूरी तरह से चालू है, इसे कई NIST 800-171 संबंधित परियोजनाओं के समर्थन में तैनात किया गया है जो हम 'में शामिल किया गया है, और जहां हमें ऐसे ग्राहक मिले हैं जिनके पास विषम वातावरण हैं। इसने बहुत अच्छा काम किया है। क्या हम 100% हैं? नहीं। हमें अभी भी उन उपकरणों के लिए पार्सर लिखने की आवश्यकता है जो पहले से उपलब्ध नहीं हैं। हमने अभी तक SOAR को पूरी तरह से चालू नहीं किया है, और स्पष्ट रूप से, मैं अपने कुछ अधिक नाजुक ग्राहक स्थानों में ऐसा करने में संकोच कर रहा हूं, जहां हम नहीं जानते कि स्वचालित कार्रवाई किस प्रकार का प्रभाव ले सकती है।
क्या हम खुश हैं कि हमने इसमें निवेश किया? XDRबिल्कुल। इस सिस्टम की लागत लगभग दो अच्छे विश्लेषकों की लागत के बराबर है, लेकिन मुझे विश्वास है कि यह हमें उन ग्राहकों तक पहुँचने में सक्षम बनाएगा जिन तक हम पहले नहीं पहुँच पाते थे।
साझा करना ही देखभाल करना है। हमने कई कठिन सबक सीखे और बजट को लेकर कुछ डरावने पल भी आए, जब मुझे लगा कि इस काम के लिए हमें बड़ी रकम चुकानी पड़ेगी—इतनी कि हमारे पूरे साल के खाते में जमा राशि से भी ज़्यादा। हमारी स्टेलर टीम कमाल की रही है, भले ही हम उनके विशाल तालाब में एक छोटी मछली की तरह हैं। मुझे उम्मीद है कि यह जानकारी आपके लिए मददगार साबित होगी, जब आप अपने बजट पर विचार कर रहे होंगे। XDR आप खरीद सकते हैं। या, यदि आप चाहें, तो हमसे संपर्क करें। हमें आपके लिए एक विकल्प बनाने में बहुत खुशी होगी। तुंहारे XDR हमारे नए मल्टी-टेनेंट स्टेलर साइबर वातावरण में।
