Dalam dunia yang sangat kompetitif saat ini, Pasar MSSP, pemilik bisnis mencari cara untuk membuat penawaran mereka lebih menarik bagi pelanggan dan SOCs lebih efektif. Untuk tujuan itu MSSP menambahkan teknologi baru ke tumpukan penawaran keamanan mereka dengan harapan bahwa calon pelanggan akan melihat penambahan ini sebagai peluang untuk mengalihdayakan sebagian, atau semua, pemantauan keamanan mereka. Ada beberapa validitas pada strategi itu; Sayangnya teknologi baru sering gagal memberikan manfaat yang dinyatakan yang menyebabkan churn pelanggan yang lebih tinggi. Jadi meskipun menjaga tim teknologi dan keamanan Anda mengikuti perkembangan teknologi keamanan terbaru dan terhebat adalah penting, terkadang Anda harus melihat apa yang sudah ada di tumpukan keamanan Anda.
Satu teknologi yang saya maksud secara khusus adalah SIEMTergantung dengan siapa Anda berbicara, saat ini kita berada di generasi ketiga atau keempat SIEM teknologi; namun, ketika saya berbicara dengan para praktisi, tingkat frustrasi mereka dengan SIEM ada di Defcon.
1. MSSP terus menggunakan SIEM Hal itu tidak memberikan apa yang mereka butuhkan karena waktu dan sumber daya yang diperlukan untuk membongkar dan menggantinya dengan sesuatu yang kemungkinan besar akan membuat mereka kecewa serupa.
Izinkan saya berbicara tentang tiga cara lama ini SIEM (atau bahkan tidak terlalu tua) SIEM) menyebabkan lebih banyak kerusakan daripada yang Anda kira.
SIEMorang-orang itu malas
Nah, saya sudah mengatakannya, tapi kita semua tahu itu SIEMs, hingga baru-baru ini, tidak bekerja lebih cerdas, mereka membuat Anda bekerja lebih keras. Meskipun mereka memungkinkan Anda untuk mengumpulkan semua jenis log dan menghubungkan peringatan dari berbagai kontrol keamanan, hasil yang akan Anda dapatkan hanya sebaik analis keamanan Anda yang paling cerdik. Jika mereka adalah seorang ninja keamanan dengan pemahaman yang luas tentang lanskap ancaman dan tahu cara menulis aturan korelasi yang cerdas, Anda mungkin menyukai SIEM.
Jika tim Anda seperti kebanyakan tim lain, di mana perusahaan mencoba dan menarik pemain terbaik Anda, Anda akan melihat perubahan dramatis dalam SIEMs efektivitas jika mereka benar-benar pergi. Ya, NG-SIEM penyedia layanan mencoba mengatasi masalah ini dengan memberikan konten yang lebih out-of-the-box (masih belum jelas efektivitasnya). Namun, seperti halnya bungkus Oreo yang dibuka dan dilupakan anak-anak Anda, konten tersebut dengan cepat menjadi basi, sehingga Anda harus membuat aturan baru atau menjelajahi komunitas untuk mencari konten yang dapat Anda impor. Intinya, SIEM, Bahkan NG-SIEMs, menyerahkan pekerjaan berat kepada tim Anda, sehingga menghambat kemampuan Anda untuk menambah jumlah pelanggan yang dapat ditangani tim Anda tanpa beban ini.
SIEMadalah Pemboros Data
Keamanan siber saat ini adalah masalah data, lupakan saja, ini adalah masalah Masalah data BESAR BESARDengan begitu banyak produk yang digunakan setiap hari, volume log yang dihasilkan oleh perusahaan menengah biasa sangat besar. Sementara industri tertentu memerlukan pengumpulan dan peninjauan log lengkap untuk mematuhi peraturan ini atau itu, banyak pelanggan yang mungkin melihat MSSP tidak mencoba memecahkan masalah kepatuhan. Sebaliknya, banyak yang ingin melakukan pekerjaan yang lebih baik dalam mengidentifikasi dan mengurangi ancaman sebelum dapat membahayakan bisnis mereka. SIEMsDengan bias bawaan dan terintegrasi mereka untuk menyelesaikan pengumpulan data, tim keamanan yang ingin mengidentifikasi ancaman akan menelusuri lautan data log yang tidak relevan dengan harapan menemukan bahaya. Ini bukan tugas yang mustahil karena Anda mungkin melakukan ini hari ini, tetapi bayangkan jika Anda seorang penambang emas yang mencari emas pada tahun 1840-an. Alih-alih menggunakan wajan untuk menyaring sejumlah kecil lumpur untuk mencari emas, Anda memutuskan untuk menggunakan ember raksasa dengan harapan menemukan mineral berharga itu. Menurut Anda mana yang akan memakan waktu lebih lama? Tentu saja, saya tahu ini bukan perbandingan yang setara, dan kemampuan komputasi canggih kita dapat mempercepat prosesnya. Namun, menghemat beberapa menit sehari akan sangat berarti, terutama dalam jangka panjang. SOC dengan sepuluh, dua puluh, atau lima puluh analis keamanan. Intinya – SIEMs sangat hebat dalam memecahkan kasus penggunaan kepatuhan murni karena mereka mengumpulkan semua data log, tetapi untuk kasus penggunaan keamanan, yang biasanya Anda jual, Anda memerlukan teknologi yang memahami perbedaan antara log keamanan yang relevan dan yang tidak relevan, dan hanya mengumpulkan apa yang dibutuhkannya.
SIEMtidak menyukai semua orang
Ketika saya menjalankan pemasaran produk untuk vendor lain (yang tidak akan disebutkan namanya), salah satu pertanyaan yang paling umum adalah, "Apakah Anda mendukung produk XYZ?" atau "Dapatkah saya memasukkan data dari produk ABC?" Pembeli keamanan yang cerdas yang telah berkecimpung di dunia vendor sekali atau dua kali memahami bagaimana vendor keamanan akan meremehkan kurangnya integrasi yang telah dibangun sebelumnya pada produk Anda. Mereka akan mengatakan hal-hal seperti, "Saya bisa mendapatkannya untuk Anda, tidak masalah," atau "Saya yakin itu sedang dalam perjalanan; biar saya hubungi Anda kembali," sementara pada kenyataannya, mereka harus kembali ke tim integrasi mereka dan memohon serta memohon untuk integrasi baru, terutama jika mereka perlu menutup kesepakatan Anda untuk mencapai angka mereka untuk kuartal tersebut. Sekarang seseorang di tim integrasi menyiapkan skrip satu kali yang menunjukkan data mengalir dari produk Anda ke SIEM backend, berharap tidak ada yang menyisir dengan cermat apa yang disampaikan. Sekali lagi, jika Anda sudah lama berada di sini, saya yakin ini terdengar familier.
Realita yang menyedihkan adalah bahwa sebagian besar SIEMs menantang untuk diintegrasikan, mengingat kompleksitas mendasar dari model data mereka. Anda mungkin dapat menulis integrasi Anda, dan jika demikian, bagus, tetapi apa yang terjadi ketika SIEM vendor meluncurkan versi baru dan merusak integrasi Anda? Kembali ke papan gambar. Intinya – integrasi out-of-the-box ke SIEM pekerjaan itulah yang harus Anda harapkan dari Anda SIEM vendor. Jika itu bukan yang Anda dapatkan hari ini, waktu onboarding pelanggan Anda akan terganggu, dan, dalam kasus terburuk, Anda akan kehilangan bisnis karena menunggu vendor Anda. SIEM vendor untuk menyediakan integrasi yang Anda harapkan berfungsi dengan baik.
Kami telah membantu banyak MSSP melihat manfaat dari menyingkirkan yang lama atau yang tidak terlalu lama SIEM dan menggantinya dengan kami Bintang Cyber Open XDR PlatformDengan platform kami, Anda mendapatkan:
– Otomatisasi yang tepat, di tempat yang Anda butuhkan: Sasaran Stellar Cyber adalah membuat deteksi, investigasi, dan pemulihan ancaman seotomatis mungkin. Saat Anda pindah ke Stellar Cyber, kekhawatiran Anda tentang aturan korelasi yang tidak berlaku lagi sudah berakhir. Stellar Cyber melakukan pekerjaan berat yang memungkinkan akuisisi pelanggan lebih cepat.
– Pengumpulan data cerdas: kami mengumpulkan data yang relevan dengan keamanan yang memungkinkan kami AI / ML mesin pendeteksi ancaman untuk mengidentifikasi ancaman secepat mungkin. Saat detik-detik penting, Stellar Cyber memastikan Anda memiliki semua detik yang bisa Anda dapatkan.
– Semua orang dipersilakan: Jika Anda SIEM dan Stellar Cyber sama-sama mengadakan pesta, pesta kami akan terlihat seperti reuni kelas dengan semua orang bersenang-senang; SIEM pesta mungkin tampak seperti pertemuan orang-orang yang belum pernah bertemu. Dengan kata lain, arsitektur Stellar Cyber bersifat terbuka, dengan integrasi ke hampir setiap alat keamanan, TI, dan produktivitas yang populer, membuat orientasi pelanggan dan pertumbuhan bisnis Anda lebih cepat dari sebelumnya.
Kami berhutang banyak padanya SIEMsMereka membuka mata kita terhadap pentingnya analisis data, tetapi hari ini Anda dapat melakukan lebih baik daripada SIEM Anda gunakan. Untuk mempelajari lebih lanjut tentang Stellar Cyber, lihat Spesifik MSSP tur lima menit.
