आज के अति-प्रतिस्पर्धी में एमएसएसपी बाजार, व्यवसाय के स्वामी ग्राहकों के लिए अपनी पेशकशों को और अधिक आकर्षक बनाने के तरीकों की तलाश कर रहे हैं और उनके SOCs अधिक प्रभावी। उस अंत तक एमएसएसपी इस उम्मीद के साथ अपनी सुरक्षा पेशकश स्टैक में नई तकनीक जोड़ें कि संभावित ग्राहक इस अतिरिक्त को अपनी सुरक्षा निगरानी के कुछ, या सभी को आउटसोर्स करने के अवसर के रूप में देखेंगे। उस रणनीति की कुछ वैधता है; दुर्भाग्य से नई तकनीक अक्सर अपने घोषित लाभों को वितरित करने में विफल रहती है जिससे उच्च ग्राहक मंथन होता है। इसलिए अपनी तकनीक और सुरक्षा टीम को नवीनतम और सबसे बड़ी सुरक्षा तकनीक से अवगत कराते हुए, कभी-कभी आपको यह देखना चाहिए कि आपके सुरक्षा स्टैक में पहले से क्या है।
मैं जिस एक तकनीक का विशेष रूप से उल्लेख कर रहा हूं वह है आपकी SIEM. आप किससे बात करते हैं, इस पर निर्भर करते हुए, हम वर्तमान में . की तीसरी या चौथी पीढ़ी में हैं SIEM प्रौद्योगिकी; हालांकि, जब मैं अभ्यासियों से बात करता हूं, तो उनकी निराशा का स्तर उनके साथ होता है SIEM Defcon में है.
1. एमएसएसपी का उपयोग जारी है SIEM वह चीज़ उनकी ज़रूरतों को पूरा नहीं कर रही है क्योंकि उसे पूरी तरह से हटाकर उसकी जगह कुछ ऐसा लगाने में समय और संसाधन लगेंगे जिससे शायद उन्हें वैसी ही निराशा होगी।
मुझे इस पुराने तीन तरीकों के बारे में बात करने दो SIEM (या फिर बहुत बूढ़ा भी नहीं) SIEMयह जितना आप सोचते हैं उससे कहीं अधिक नुकसान पहुंचा रहा है।
SIEMआलसी हैं
वहाँ, मैंने यह कहा था, लेकिन हम सभी जानते हैं कि SIEMs, कुछ समय पहले तक, होशियारी से काम नहीं किया, उन्होंने आपको अधिक मेहनत करने के लिए प्रेरित किया। जबकि उन्होंने आपको सभी प्रकार के लॉग एकत्र करने और विभिन्न सुरक्षा नियंत्रणों से अलर्ट को सहसंबंधित करने की अनुमति दी थी, आपको जो परिणाम मिलेगा वह आपके सबसे सरल सुरक्षा विश्लेषक जितना ही अच्छा होगा। यदि वे खतरे के परिदृश्य की एक विशाल समझ के साथ एक सुरक्षा निंजा थे और बुद्धिमान सहसंबंध नियमों को लिखना जानते थे, तो आप शायद अपने प्यार कर रहे थे SIEM.
यदि आपकी टीम सबसे अधिक पसंद है, जहां कंपनियां आपके सर्वश्रेष्ठ खिलाड़ियों को लुभाने की कोशिश करती हैं, तो आप अपने में एक नाटकीय बदलाव देखेंगे SIEMs प्रभावशीलता अगर वे छोड़ दिया। हाँ, एनजी-SIEM प्रदाता अधिक आउट-ऑफ़-द-बॉक्स सामग्री वितरित करके इस समस्या का समाधान करने का प्रयास कर रहे हैं (जूरी अभी भी इसकी प्रभावशीलता पर बाहर है)। फिर भी, जैसे ओरेओ के आपके बच्चे के पैकेज खुलते हैं और सही ढंग से बंद करना भूल जाते हैं, वह सामग्री जल्दी से पुरानी हो जाती है, जिससे आपको नए नियम बनाने या आपके द्वारा आयात की जा सकने वाली सामग्री के लिए समुदायों को खंगालने का काम मिल जाता है। निचला रेखा, SIEM, भी एनजी-SIEMs, भारी भारोत्तोलन को आपकी टीम पर छोड़ रहे हैं, जिससे आपकी टीम उन ग्राहकों की संख्या को जोड़ने की आपकी क्षमता में बाधा उत्पन्न कर रही है जिन्हें आपकी टीम इस बोझ के बिना संभाल सकती है।
SIEMवे डेटा के अत्यधिक उपभोग करने वाले होते हैं।
साइबर सुरक्षा आज एक डेटा समस्या है, इसे खरोंचें, यह एक है बड़ी बड़ी डेटा समस्या. दैनिक उपयोग में इतने सारे उत्पादों के साथ, एक सामान्य मध्यम आकार की कंपनी द्वारा उत्पन्न लॉग की मात्रा हास्यास्पद है। जबकि विशिष्ट उद्योगों को इस या उस विनियमन का अनुपालन करने के लिए पूर्ण लॉग संग्रह और समीक्षा की आवश्यकता होती है, कई ग्राहक जो MSSP को देख सकते हैं, वे अनुपालन समस्या को हल करने का प्रयास नहीं कर रहे हैं। इसके बजाय, कई अपने व्यवसाय को नुकसान पहुंचाने से पहले खतरों की पहचान करने और उन्हें कम करने का बेहतर काम करना चाहते हैं। SIEMsडेटा संग्रह को पूर्ण रूप से करने के उनके अंतर्निहित पूर्वाग्रह के कारण, खतरों की पहचान करने वाली सुरक्षा टीम किसी खतरे को उजागर करने की उम्मीद में अप्रासंगिक लॉग डेटा के विशाल भंडार को खंगालती है। यह असंभव कार्य नहीं है क्योंकि आप शायद आज भी ऐसा कर रहे हैं, लेकिन कल्पना कीजिए कि आप 1840 के दशक में सोने की खोज कर रहे एक पर्वतारोही हैं। सोने के लिए गाद की छोटी मात्रा को छानने के लिए पैन का उपयोग करने के बजाय, आप उस मूल्यवान खनिज को देखने की उम्मीद में एक विशाल बाल्टी का उपयोग करने का निर्णय लेते हैं। आपको क्या लगता है कि किसमें अधिक समय लगेगा? बेशक, मुझे पता है कि यह एक समान तुलना नहीं है, और हमारी उन्नत कंप्यूटिंग क्षमताएं इस प्रक्रिया को गति दे सकती हैं। हालांकि, प्रतिदिन कुछ मिनट बचाना भी बहुत मायने रखता है, खासकर एक व्यापक नेटवर्क में। SOC दस, बीस या पचास सुरक्षा विश्लेषकों के साथ। निचोड़ यह है कि – SIEMs शुद्ध अनुपालन उपयोग के मामलों को हल करने में महान हैं क्योंकि वे सभी लॉग डेटा एकत्र करते हैं, लेकिन सुरक्षा उपयोग के मामलों के लिए, जो कि आप आमतौर पर बेच रहे हैं, आपको ऐसी तकनीक की आवश्यकता है जो प्रासंगिक सुरक्षा लॉग और अप्रासंगिक लोगों के बीच अंतर को समझे, और केवल वही एकत्र करे जो इसकी आवश्यकता है .
SIEMहर कोई पसंद नहीं करता
जब मैं किसी अन्य विक्रेता के लिए उत्पाद विपणन चला रहा था (जो गुमनाम रहेगा), सबसे आम प्रश्नों में से एक था, "क्या आप XYZ उत्पाद का समर्थन करते हैं?" या "क्या मैं एबीसी उत्पाद से डेटा ला सकता हूं?" समझदार सुरक्षा खरीदार जो एक या दो बार वेंडर सर्कस के आसपास रहे हैं, समझते हैं कि सुरक्षा विक्रेता आपके उत्पादों के लिए पूर्व-निर्मित एकीकरण की कमी को कैसे कम करेंगे। वे ऐसी बातें कहेंगे, "मैं तुम्हारे लिए वह ले सकता हूँ, कोई बात नहीं," या "मुझे यकीन है कि यह रास्ते में है; मुझे आपके पास वापस आने दो," जबकि वास्तव में, उन्हें अपनी एकीकरण टीम में वापस जाना होगा और एक नए एकीकरण के लिए भीख माँगना होगा, खासकर यदि उन्हें तिमाही के लिए अपनी संख्या को हिट करने के लिए आपके सौदे को बंद करने की आवश्यकता हो। अब एकीकरण टीम में कोई व्यक्ति एक बार की स्क्रिप्ट को व्हिप करता है जो आपके उत्पाद से डेटा प्रवाहित करता है SIEM बैकएंड, उम्मीद है कि कोई भी वितरित किए गए दांतों के लिए एक अच्छा दांत कंघी नहीं लेता है। दोबारा, यदि आप एक मिनट के लिए आसपास रहे हैं, तो मुझे यकीन है कि यह परिचित लगता है।
दुखद वास्तविकता यह है कि अधिकांश SIEMs अपने डेटा मॉडल की अंतर्निहित जटिलता को देखते हुए, एकीकृत करना चुनौतीपूर्ण है। आप अपनी एकीकरण लिखने में सक्षम हो सकते हैं, और यदि ऐसा है, तो बढ़िया है, लेकिन क्या होता है जब SIEM विक्रेता एक नया संस्करण तैयार करता है और आपके एकीकरण को तोड़ता है? यह ड्राइंग बोर्ड पर वापस आ गया है। निचला रेखा - आउट-ऑफ-द-बॉक्स एकीकरण a . के लिए SIEM वह काम है जो आपको अपने से उम्मीद करनी चाहिए SIEM विक्रेता। यदि आज आपको वह नहीं मिल रहा है, तो आपके ग्राहक ऑनबोर्डिंग का समय प्रभावित होगा, और सबसे खराब स्थिति में, आप अपने विक्रेता के इंतजार में अपना व्यवसाय खो देंगे। SIEM विक्रेता को ऐसा एकीकरण प्रदान करना होगा जो आपके अनुसार काम करे।
हमने बहुत से MSSP को अपने पुराने या पुराने नहीं होने के लाभों को देखने में मदद की है SIEM और इसे हमारे के साथ बदल रहा है स्टेलर साइबर Open XDR मंच. हमारे मंच के साथ, आपको मिलता है:
- सही स्वचालन, जहां आपको इसकी आवश्यकता है: स्टेलर साइबर का लक्ष्य खतरे का पता लगाने, जांच और उपचार को यथासंभव स्वचालित बनाना है। जब आप तारकीय साइबर में जाते हैं, तो सहसंबंध नियमों के बारे में चिंता करने वाले आपके दिन खत्म हो जाते हैं। स्टेलर साइबर तेजी से ग्राहक अधिग्रहण को सक्षम करने के लिए भारी भारोत्तोलन करता है।
- बुद्धिमान डेटा संग्रह: हम सुरक्षा-प्रासंगिक डेटा एकत्र करते हैं जिससे हमारा ऐ / एमएल जितनी जल्दी हो सके खतरों की पहचान करने के लिए खतरे का पता लगाने वाला इंजन। जब सेकंड मायने रखते हैं, तो स्टेलर साइबर सुनिश्चित करता है कि आपके पास सभी सेकंड हैं जो आप प्राप्त कर सकते हैं।
- सभी का स्वागत है: यदि आपके SIEM और स्टेलर साइबर दोनों ही पार्टियां कर रहे थे, हमारी पार्टी एक क्लास रीयूनियन की तरह दिखेगी जिसमें हर किसी के पास अपने जीवन का समय होगा; SIEM पार्टी ऐसे लोगों के जमावड़े की तरह लग सकती है जो कभी मिले नहीं हैं। दूसरे शब्दों में, स्टेलर साइबर का आर्किटेक्चर खुला है, लगभग हर लोकप्रिय सुरक्षा, आईटी और उत्पादकता टूल के साथ एकीकरण के साथ, ग्राहक को ऑनबोर्डिंग और आपके व्यवसाय के विकास को पहले से कहीं अधिक तेज बनाता है।
हम पर बहुत कर्ज है SIEMs. उन्होंने डेटा विश्लेषण के महत्व के लिए हमारी आंखें खोल दीं, लेकिन आज आप इससे बेहतर कर सकते हैं SIEM आप उपयोग कर रहे हैं। तारकीय साइबर के बारे में अधिक जानने के लिए, हमारे देखें एमएसएसपी-विशिष्ट पांच मिनट का दौरा।
