今日の超競争社会では MSSP市場経営者は、顧客や顧客にとって自社の製品やサービスをより魅力的にする方法を模索しています。 SOCs より効果的です。そのために MSSP 企業は、セキュリティ オファリング スタックに新しいテクノロジを追加し、見込み顧客がこの追加をセキュリティ監視の一部またはすべてをアウトソーシングする機会と見なしてくれることを期待しています。この戦略には一定の妥当性があります。残念ながら、新しいテクノロジは多くの場合、記載されている利点を提供できず、顧客離れにつながります。したがって、テクノロジ チームとセキュリティ チームに最新かつ最高のセキュリティ テクノロジを常に知らせておくことは重要ですが、セキュリティ スタックにすでに存在するものを確認しなければならない場合もあります。
私が特に言及している技術は、 SIEM誰に話すかにもよりますが、私たちは現在、 SIEM テクノロジーしかし、実務家と話をすると、彼らの SIEM Defcon にいます。
1. MSSPは引き続き SIEM 時間とリソースを費やして、おそらく同じような失望感を残すようなものに取り替えなければならず、その結果、顧客が求めているものが得られないのです。
この古いものを3つの方法でお話ししましょう SIEM (あるいはそれほど古くない SIEM) はあなたが思っている以上に害を及ぼしています。
SIEMsは怠け者です
さあ、私は言いましたが、私たちは皆知っています SIEMs最近まで、セキュリティ アナリストは賢く働くどころか、あなたの仕事量を増やそうとしていました。さまざまなログを収集し、さまざまなセキュリティ コントロールからのアラートを相関させることはできましたが、得られる結果は最も優れたセキュリティ アナリストの腕にかかっていました。セキュリティ アナリストが脅威の状況を熟知し、インテリジェントな相関ルールの書き方を知っているセキュリティ ニンジャであれば、あなたはおそらく自分のセキュリティ アナリストを気に入っていたでしょう。 SIEM.
もしあなたのチームが他の多くのチームと同じく、企業が優秀な選手を引き抜こうとしているのであれば、あなたのチームに劇的な変化が見られるでしょう。 SIEMs 彼らが去った場合の有効性。はい、 NG-SIEM プロバイダーは、よりすぐに使えるコンテンツを提供することでこの問題に対処しようとしています(その有効性についてはまだ結論が出ていません)。しかし、子供が開けてきちんと閉め忘れたオレオのパッケージと同じように、そのコンテンツはすぐに古くなり、新しいルールを作成したり、インポートできるコンテンツを求めてコミュニティをくまなく探したりする必要があります。結局のところ、 SIEMでも、 NG-SIEMs、あなたのチームに重労働を任せているため、あなたのチームがこの負担なしに処理できる顧客数を増やす能力が妨げられています。
SIEMsはデータホッグです
今日のサイバーセキュリティはデータの問題であり、それは ビッグデータ問題毎日使用される製品が非常に多いため、一般的な中規模企業が生成するログの量は膨大です。特定の業界では、さまざまな規制に準拠するために完全なログ収集とレビューが必要ですが、MSSP を検討する多くの顧客は、コンプライアンスの問題を解決しようとしているわけではありません。むしろ、ビジネスに悪影響を与える前に脅威を特定して軽減する取り組みを強化したいと考えている顧客が多くいます。 SIEMsデータ収集を完璧に行おうとする、本質的に備わったバイアスにより、脅威を特定しようとするセキュリティチームは、危険を発見しようと無関係なログデータの海をかき分けて進むことになります。おそらくあなたも今日これを行っているでしょうから、不可能な作業ではありませんが、1840年代に49ersの選手として金の採掘をしていたと想像してみてください。少量のシルトから金をふるいにかけるのにパンを使う代わりに、貴重な鉱物を狙って巨大なバケツを使うことにします。どちらに時間がかかると思いますか?もちろん、これは同一条件での比較ではなく、私たちの高度なコンピューティング能力によってプロセスを高速化できることは承知しています。しかし、1日に数分の節約は、特に大規模な組織全体では、大きな効果をもたらします。 SOC 10人、20人、あるいは50人のセキュリティアナリストを擁しています。 SIEMs すべてのログ データを収集するため、純粋なコンプライアンス ユース ケースの解決には最適ですが、通常販売しているセキュリティ ユース ケースでは、関連するセキュリティ ログと無関係なセキュリティ ログの違いを理解し、必要なものだけを収集するテクノロジが必要です。
SIEMみんなが好きじゃない
私が別のベンダー(名前は伏せます)の製品マーケティングを担当していたとき、最もよく聞かれた質問の 1 つは、「XYZ 製品をサポートしていますか?」または「ABC 製品からデータを取り込むことはできますか?」でした。ベンダーのサーカスに 1、2 回関わった経験のあるセキュリティ バイヤーは、セキュリティ ベンダーが、製品との事前構築された統合が不足していることを軽視することを知っています。彼らは、「問題なく対応できます」または「もうすぐ届くと思います。後ほど連絡します」などと言いますが、実際には、四半期の目標を達成するために取引を締結する必要がある場合は特に、統合チームに戻って新しい統合を懇願する必要があります。統合チームの誰かが、製品から ABC 製品にデータが流れることを示す 1 回限りのスクリプトを急いで作成します。 SIEM バックエンドでは、配信されたものを誰も細かく調べないことを望みます。繰り返しますが、しばらくこの作業に携わっている方なら、これは聞き覚えのある話だと思います。
悲しい現実は、ほとんどの SIEMs データモデルの複雑さを考えると、統合は困難です。統合を記述できるかもしれませんが、その場合は素晴らしいことですが、 SIEM ベンダーが新しいバージョンをリリースして統合が壊れてしまったら?最初からやり直す必要があります。結論として、すぐに使える統合は SIEM 仕事はあなたが期待すべきものです SIEM ベンダーの対応が不十分だと、顧客のオンボーディングに時間がかかり、最悪の場合、顧客獲得の機会を逃してしまうことになります。 SIEM 期待どおりに機能する統合をベンダーに提供できます。
私たちは多くのMSSPが古い、あるいはそれほど古くないシステムを撤去することのメリットを理解できるよう支援してきました。 SIEM そしてそれを私たちの ステラサイバー Open XDR Platform当社のプラットフォームでは、次のメリットが得られます。
– 必要な場所で適切な自動化を実現: Stellar Cyber の目標は、脅威の検出、調査、修復を可能な限り自動化することです。Stellar Cyber に移行すれば、相関ルールが古くなることを心配する必要はなくなります。Stellar Cyber が面倒な作業を行い、より迅速な顧客獲得を実現します。
– インテリジェントなデータ収集: 私たちはセキュリティ関連データを収集し、 AI / ML 脅威をできるだけ早く特定する脅威検出エンジン。数秒が重要な場合、Stellar Cyber は、得られるすべての秒数を確保します。
– どなたでも歓迎します: もしあなたの SIEM ステラサイバーとステラサイバーが両方ともパーティーを開催していたので、私たちのパーティーはまるで同窓会のように全員が人生最高の時間を過ごしていました。 SIEM パーティーは、一度も会ったことのない人々の集まりのように見えるかもしれません。つまり、Stellar Cyber のアーキテクチャはオープンであり、ほぼすべての一般的なセキュリティ、IT、生産性ツールと統合されているため、顧客のオンボーディングとビジネスの成長がこれまで以上に速くなります。
私たちは~にたくさんの借りがあります SIEMs彼らはデータ分析の重要性に私たちの目を開かせてくれましたが、今日ではそれよりも優れた分析を行うことができます。 SIEM Stellar Cyberの詳細については、 MSSP固有 5分間のツアー。
