Per affermare l'ovvio, non esiste un prodotto perfetto per la sicurezza informatica.
Mentre ci sono molti ottimi prodotti che i professionisti della sicurezza usano quotidianamente per proteggere le loro organizzazioni, ognuno di loro ha caratteristiche che potrebbero essere migliori. Tuttavia, man mano che gli stack di sicurezza diventano sempre più complessi, tutti questi “meno che ideale” gli oggetti presi insieme possono provocare un incubo quotidiano. La chiave per i leader del team di sicurezza è rendersi conto quando il dolore che lo stack di sicurezza sta infliggendo è più di quanto il team possa gestire.
Abbiamo ricevuto 7,000 clienti che utilizzano il nostro Open XDR Piattaforma SecOps. Quando parlano con i nostri clienti, spesso discutono su come eliminare i prodotti ridondanti e di minor valore dal loro stack di sicurezza, principalmente a causa del numero di funzionalità integrate nella nostra piattaforma. Ho sentito ripetutamente tre frustrazioni in quelle conversazioni, che mi hanno dato l'idea di scrivere questo blog. Ecco tre segnali rivelatori che potresti essere pronto a cambiare il tuo stack di sicurezza.
- Passi più tempo a inseguire il tuo venditore che l'aggressore: Ogni prodotto sviluppato presenta dei difetti. Detto questo, non tutti i difetti sono uguali. Gli analisti della sicurezza sono abituati a risolvere problemi minori nel prodotto che, sebbene fastidiosi, consentono loro di completare le indagini. Tuttavia, la loro capacità di fornire risultati di sicurezza si interrompe bruscamente quando qualcosa di critico si sgretola. Di tanto in tanto, questo può accadere con qualsiasi prodotto di sicurezza, ma quando diventa un evento normale, si tratta di un grande segnale di avvertimento rosso lampeggiante. Se il tuo fornitore deve costantemente implementare hotfix, che finiscono per rompere altre cose, è tempo che inizi a valutare le tue opzioni per dire buon viaggio a quel venditore e al loro prodotto rotto.
- L'elenco dei contatti del tuo fornitore è più lungo della tua rubrica: Anni fa, quando la sicurezza informatica era "semplice" (inserire risate qui), i team di sicurezza si occupavano solo di una manciata di prodotti per portare a termine il proprio lavoro. Tuttavia, oggi molti team di sicurezza lavorano con oltre cinquanta prodotti e fornitori diversi. Sebbene possa essere allettante aggiungere sempre il prodotto più recente e migliore a uno stack di sicurezza, è facile che le cose sfuggano di mano.
Anni fa, quando stavo lavorando con un'azienda su un potenziale accordo, il CISO di questa azienda fece una domanda che ricordo sempre. Stavamo proponendo al suo team una nuova tecnologia che consolidasse alcuni prodotti che la maggior parte dei team di sicurezza conosceva. Tuttavia, poiché il nostro prodotto e la nostra categoria di prodotti stavano emergendo, non gli era esplicitamente chiaro che il nostro prodotto potesse sostituire alcuni dei prodotti del suo team. Durante l'incontro, ha detto, "Dimmi esattamente di cosa posso sbarazzarmi se porto il tuo prodotto." Ricordo di aver preso un attimo, sorpreso che non l'avesse visto, ma una volta superato lo shock, gli dissi la tecnologia che avrebbe potuto eliminare se avesse scelto il nostro prodotto. Il fatto è che i moderni team di sicurezza dispongono di tecnologia più che sufficiente, troppa, infatti, da troppi fornitori, come risulta evidente dall'elenco dei fornitori con cui lavorano i leader della sicurezza. Anche se acquistano prodotti tramite una società partner di sicurezza fidata, c'è ancora molto potere cerebrale e tempo impiegato per tenere traccia di chi ti ha venduto cosa. Se questo suona familiare, inizia a cercare modi per consolidare (ovvero clean house) il tuo stack di sicurezza da un minor numero di fornitori. - "FP" e "DA" escono troppo spesso: Sarebbe fantastico se tutti i fornitori di prodotti per la sicurezza informatica lavorassero insieme per fornire un modello di dati comune con la possibilità di condividere dati e potenza di elaborazione per garantire che i prodotti di tutti generino il minimo di falsi positivi e avvisi duplicati, ma questo non accadrà. I fornitori tipici non sono desiderosi di lavorare con altri fornitori; se lo fanno, tendono a fare il minimo indispensabile. Oltre a questo fatto, sicurezza informatica i prodotti soffrono di scope creep, il che significa che un prodotto destinato a fornire capacità per risolvere il problema X potrebbe finire con alcune funzionalità rumorose che pretendono di risolvere i problemi Y e Z. Quindi gli analisti della sicurezza si impegnano regolarmente a indagare su una minaccia che finisce per essere un falso positivo o, peggio ancora, un avviso duplicato da un altro prodotto che qualche altro analista sta già indagando. Se questo suona familiare, ora è il momento di apportare modifiche per la sanità mentale di tutti.
Non esiste un approccio alla sicurezza informatica valido per tutti. Ci sono così tante opzioni sul mercato, ma ciò non significa che i team di sicurezza debbano mettere insieme il loro stack di sicurezza.
Aiutiamo regolarmente le organizzazioni a eliminare la complessità e il costo del loro stack di sicurezza con il nostro Open XDR Piattaforma. Con Prossima generazione SIEM, Piattaforma Threat Intel, Analisi della sicurezza, UEBA, NDR, IDS, analisi del malware e funzionalità SOAR incluse nella nostra piattaforma e la nostra capacità di lavorare con qualsiasi altro prodotto che utilizzano tramite il nostro architettura di integrazione indipendente dai dati, queste organizzazioni non solo hanno semplificato il loro stack di sicurezza, ma ora stanno fornendo risultati di sicurezza migliori e più coerenti.
La linea di fondo: Puoi cambiare quello che usi oggi. Fai attenzione a questi tre segni e fai una mossa quando è il momento giusto.
