Nell'ultra-competitiva di oggi mercato MSSP, gli imprenditori sono alla ricerca di modi per rendere le loro offerte più attraenti per i clienti e per loro SOCs più efficace. A quello scopo MSSP aggiungere nuova tecnologia al loro stack di offerte di sicurezza con la speranza che i potenziali clienti vedano questa aggiunta come un'opportunità per esternalizzare parte o tutto il monitoraggio della sicurezza. C'è una certa validità in quella strategia; Sfortunatamente la nuova tecnologia spesso non riesce a fornire i vantaggi dichiarati, portando a una maggiore abbandono dei clienti. Quindi, sebbene sia essenziale tenere il tuo team di tecnologia e sicurezza al passo con le ultime e migliori tecnologie di sicurezza, a volte devi guardare ciò che è già nel tuo stack di sicurezza.
L'unica tecnologia a cui mi riferisco in particolare è la tua SIEM. A seconda della persona con cui parli, siamo attualmente nella terza o quarta generazione di SIEM la tecnologia; tuttavia, quando parlo con i praticanti, la loro frustrazione è al loro livello SIEM è a Defcon.
1. Gli MSSP continuano a utilizzare un SIEM che non fornisce loro ciò di cui hanno bisogno a causa del tempo e delle risorse necessarie per eliminarlo e sostituirlo con qualcosa che probabilmente li lascerà con una delusione simile.
Lasciatemi parlare di tre modi questo vecchio SIEM (o anche non così vecchio SIEM) sta causando più danni di quanto pensi.
SIEMsono pigri
Ecco, l'ho detto, ma lo sappiamo tutti SIEMs, fino a poco tempo fa, non funzionava in modo più intelligente, ti facevano lavorare di più. Sebbene ti consentissero di raccogliere tutti i tipi di registri e correlare gli avvisi da diversi controlli di sicurezza, il risultato che avresti ottenuto era buono solo come il tuo analista di sicurezza più ingegnoso. Se fossero un ninja della sicurezza con una vasta comprensione del panorama delle minacce e sapessero come scrivere regole di correlazione intelligenti, probabilmente stavi amando il tuo SIEM.
Se la tua squadra è come la maggior parte, dove le aziende cercano di attirare i tuoi migliori giocatori, vedresti un cambiamento drammatico nel tuo SIEMs efficacia se se ne sono andati. Sì, NG-SIEM i fornitori stanno cercando di affrontare questo problema fornendo più contenuti pronti all'uso (la giuria è ancora fuori dalla sua efficacia). Tuttavia, proprio come quel pacchetto di Oreo che i tuoi figli aprono e dimenticano di chiudere correttamente, quel contenuto diventa rapidamente obsoleto, lasciandoti con il compito di creare nuove regole o setacciare comunità per contenuti che puoi importare. In conclusione, il SIEM, Anche NG-SIEMs, stanno lasciando il lavoro pesante al tuo team, ostacolando la tua capacità di aggiungere il numero di clienti che il tuo team potrebbe gestire senza questo onere.
SIEMsono consumatori di dati
La sicurezza informatica oggi è un problema di dati, grattalo, è un GRANDE GRANDE problema di dati. Con così tanti prodotti in uso ogni giorno, il volume di tronchi che una tipica azienda di medie dimensioni genera è ridicolo. Sebbene settori specifici richiedano la raccolta e la revisione completa dei registri per conformarsi a questa o quella normativa, molti clienti che potrebbero consultare un MSSP non stanno cercando di risolvere un problema di conformità. Invece, molti stanno cercando di fare un lavoro migliore nell'identificare e mitigare le minacce prima che possano danneggiare la propria attività. SIEMs, nella loro intrinseca tendenza a completare la raccolta dati, significa che un team di sicurezza che cerca di identificare le minacce dovrà esplorare oceani di dati di log irrilevanti nella speranza di scoprire un pericolo. Non è un compito impossibile, dato che probabilmente lo stai facendo oggi, ma immagina di essere un marinaio del 49 che cerca l'oro negli anni '1840 dell'Ottocento. Invece di usare un vaglio per setacciare piccole quantità di limo alla ricerca dell'oro, decidi di usare un secchio gigante nella speranza di individuare quel prezioso minerale. Quale pensi che richiederebbe più tempo? Naturalmente, so che questo non è un confronto alla pari e che le nostre avanzate capacità di elaborazione possono accelerare il processo. Tuttavia, risparmiare qualche minuto al giorno fa la differenza, soprattutto in un SOC con dieci, venti o cinquanta analisti della sicurezza. In conclusione: SIEMs sono ottimi per risolvere casi d'uso di pura conformità poiché raccolgono tutti i dati di registro, ma per casi d'uso di sicurezza, che è ciò che generalmente vendi, hai bisogno di una tecnologia che comprenda la differenza tra i registri di sicurezza pertinenti e quelli irrilevanti e raccolga solo ciò di cui ha bisogno .
SIEMnon piace a tutti
Quando gestivo il marketing del prodotto per un altro fornitore (che rimarrà senza nome), una delle domande più comuni era: "Supportate il prodotto XYZ?" o "Posso importare dati dal prodotto ABC?" Gli acquirenti esperti di sicurezza che sono stati nel circo dei fornitori una o due volte capiscono come i fornitori di sicurezza sminuiranno la mancanza di integrazioni predefinite per i tuoi prodotti. Diranno cose come "Posso procurartelo, nessun problema" o "Sono sicuro che sta arrivando; fammi tornare da te", mentre in realtà dovranno tornare dal loro team di integrazione e implorare e implorare una nuova integrazione, soprattutto se hanno bisogno di chiudere il tuo accordo per raggiungere il loro numero per il trimestre. Ora qualcuno nel team di integrazione crea uno script una tantum che mostra i dati che fluiscono dal tuo prodotto nel file SIEM back-end, sperando che nessuno prenda un pettine a denti fini per ciò che è stato consegnato. Ancora una volta, se sei in giro da un minuto, sono sicuro che questo suona familiare.
La triste realtà è quella di più SIEMs sono difficili da integrare, data la complessità sottostante dei loro modelli di dati. Potresti essere in grado di scrivere le tue integrazioni e, in tal caso, fantastico, ma cosa succede quando il SIEM il fornitore lancia una nuova versione e interrompe la tua integrazione? Si torna al tavolo da disegno. Conclusione: integrazioni pronte all'uso per a SIEM quel lavoro è ciò che dovresti aspettarti dal tuo SIEM fornitore. Se questo non è ciò che ottieni oggi, il tempo di onboarding dei tuoi clienti ne risentirà e, nel peggiore dei casi, perderai affari in attesa del tuo SIEM fornitore per fornire un'integrazione che speri funzioni.
Abbiamo aiutato molti MSSP a vedere i vantaggi dell'eliminazione dei loro vecchi o meno SIEM e sostituendolo con il ns Cyber stellare Open XDR Piattaforma. Con la nostra piattaforma ottieni:
– La giusta automazione, dove serve: L'obiettivo di Stellar Cyber è rendere il più automatizzato possibile il rilevamento, l'indagine e la correzione delle minacce. Quando passi a Stellar Cyber, i tuoi giorni in cui ti preoccupavi che le regole di correlazione diventassero obsolete sono finite. Stellar Cyber fa il lavoro pesante consentendo un'acquisizione più rapida dei clienti.
– Raccolta dati intelligente: raccogliamo dati rilevanti per la sicurezza che consentono al nostro AI / ML motore di rilevamento delle minacce per identificare le minacce il più velocemente possibile. Quando i secondi contano, Stellar Cyber si assicura che tu abbia tutti i secondi che puoi ottenere.
- Tutti sono benvenuti: Se la tua SIEM e Stellar Cyber stavano entrambi organizzando feste, la nostra festa sarebbe sembrata una riunione di classe con tutti che si divertono; il SIEM la festa potrebbe sembrare un raduno di persone che non si sono mai incontrate. In altre parole, l'architettura di Stellar Cyber è aperta, con integrazioni a quasi tutti i più diffusi strumenti di sicurezza, IT e produttività in circolazione, rendendo l'onboarding dei clienti e la crescita del tuo business più veloci che mai.
Dobbiamo molto a SIEMs. Ci hanno aperto gli occhi sull'importanza dell'analisi dei dati, ma oggi puoi fare di meglio SIEM tu stai usando. Per saperne di più su Stellar Cyber, dai un'occhiata al nostro Specifico per MSSP giro di cinque minuti.
