우리가 인재를 찾고 통합하는 과정에서 얻은 교훈 XDR
신뢰할 수 있는 인터넷이 현재 배포 중입니다. 스텔라 사이버 XDR – ~로서 SOC- 모니터링 솔루션 또는 서비스형 인프라(IaaS) 형태로 제공됩니다.
마케팅 과대광고 XDR 이는 고려 중인 분들에게는 귀청이 터질 듯한 소음일 것입니다. XDR화려한 웹사이트와 마케팅 광고 속에서 무엇이 진짜인지 가려내기란 쉽지 않습니다. 그래서 자비로 창업한 회사의 CEO로서 얻은 몇 가지 교훈을 공유하고자 합니다. MSSP, 구매 결정에 도움이 되었으면 합니다.
지난 7년 동안 우리는 완전히 Fortinet MSSP였습니다. 우리는 Fortinet 방화벽을 좋아합니다. NSEXNUMX 인증을 받은 우리 직원들은 기능이 풍부한 고속 시스템을 우리의 의지에 따라 조정하기 위해 열심히 노력하고 있습니다. 여러 가지 이유로 우리는 약 XNUMX년 전에 기존 보안 시스템을 제거하고 교체할 필요가 없도록 예비 고객의 요청을 수용할 수 있는 방법을 찾기로 결정했습니다.
게다가, SOC, NOC, EDR, MDR, NDR, MSSP왜 누군가 모든 로그를 이해하고 머신 러닝을 사용하여 AI를 학습시켜 더 나은 지원을 제공하는 하나의 시스템으로 모든 것을 통합하지 않을까요? SOC 분석가들이요? 제 옛 친구 중에 이걸 '신의 상자'라고 부르던 사람이 있어요. 모든 걸 다 알고 있다는 뜻이죠.
XDR 갓 박스의 시작입니다.
우리의 요구 사항 :
- 기존 인프라를 제거하고 교체할 필요 없이 클라이언트 환경의 다른 모든 공급업체를 통합해야 합니다.
우리는 에이전트가 모든 컴퓨터에 배포되는 것을 원하지 않았습니다. 그들은 이미 AV와 Anti-Evasion을 가지고 있습니다. 우리는 다른 끝점 시스템에 로드하고 싶지 않았습니다.
우리는 이상 탐지를 위해 네트워크 흐름 분석을 통합하는 기능을 원하지만 100% 원하지 않을 수도 있습니다. Flow는 다른 지표를 기반으로 필요에 따라 켜고 끌 수 있기를 원했던 많은 양의 데이터를 생성합니다.
- 모든 NIST 800-171 로그 수집/분석 요구 사항을 수용해야 합니다.
ISO, CIS, HIPAA 또는 PCI에서는 이러한 모든 로그의 집계 및 분석이 필요하지만 NIST 800-171에서는 모든 이벤트(인프라, 엔드포인트 및 보안)에 대해 거의 모든 장치에서 모니터링되는 로그 항목이 필요합니다.
우리는 이러한 로그를 볼 수 있는 더 나은 방법을 찾고 SMB 중심의 클라이언트 기반이 감당할 수 있는 방식으로 이를 수행해야 합니다. 이를 위해서는 각각의 필수 로그를 이해하는 하나의 시스템으로 가져올 수 있어야 합니다.
-
멀티 테넌트여야 합니다.
당시에는 제가 인공지능에 대해 이렇게까지 회의적인 시각을 갖게 될 줄은 전혀 몰랐습니다. 여러 영상을 보고 나서야 비로소 그런 생각이 들었습니다. XDRs run. 똑똑한 팀을 구성하여 준비하세요.
FortiAnalyzer와 Lucene 스택의 원시 로그 데이터를 기준으로 사용하면서 A|B 테스트를 수행하면서 서로 비교했습니다.
-
이상적으로는 XDR 특정 업체에서만 제작한 것이 아니라 모든 공급업체를 수용해야 합니다. XDR 공급 업체.
일부 XDR 우리가 살펴본 업체들은 자체적으로 AV, IPS 등을 개발했습니다. 다른 업체들은 다른 회사의 제품을 OEM 방식으로 공급했지만, 구체적인 내용은 밝히지 않았습니다.
어쨌든, 저는 내장된 도구들이 어떤지 알고 싶습니다. XDR 성숙하고 검증된 제품입니다.
- 클라우드 구성 요소가 있는 경우 클라우드 환경이 안전하다는 증거를 원합니다.
모든 고객의 취약점 데이터가 결국 그곳에 저장될 것입니다. 저는 우리 회사에서 데이터 유출이 발생하는 것을 원하지 않습니다. XDR 공급업체가 고객의 취약점 정보를 유출했습니다. 스파이 활동 관점에서 볼 때, 이는 엄청나게 매력적인 목표물입니다. 따라서 반드시 안전해야 합니다.
저희는 모든 공급업체의 백엔드 보안을 평가합니다. 공급업체를 물색하는 과정에서 이 평가를 진행했는데, 그중 한 곳이 바로 그런 업체였습니다. XDR 해당 업체는 훌륭한 제품을 보유하고 있었지만, 클라우드 환경에서 제공하는 서비스는 보안 테스트를 전혀 거치지 않았습니다!
규정 준수도 좋지만 더 중요한 것은? 데이터를 보호하는 방법을 안내해 주세요. 데이터를 보호하기 위한 조치를 취했다는 사실에 안심할 수 있습니다. 나는 이것을 할 수 없는 사람이 한 명 이상 있는 것에 놀랐다.
- 가격 구조는 100% 예측 가능해야 합니다.변동비는 정말 큰 부담입니다. 예상치 못한 문제가 발생하지 않도록 확실히 하고 싶었습니다. 만약 XDR 벤더가 "엔드포인트가 몇 개나 있으신가요?"라고 물으면 도망치세요. 가격 구조는 합리적인 마진을 남겨 구독료에 포함시킬 수 있도록 설계되어야 합니다. MSSP 업계에서는, SOC 비용은 그 어떤 것보다도 우리를 더 빨리 실패로 몰아넣을 수 있습니다. MSSP는 점점 더 비싸지는 정보 보안 인력 비용 때문에 재정적으로 어려움을 겪지 않고 어떻게 규모를 확장할 수 있을까요?
신데렐라를 찾아서 XDR (우리에게 딱 맞는 것!):
저희는 수십 개의 업체를 검토했습니다. 여러분도 그 이름들을 들어보셨을 겁니다. 거의 2년에 걸친 경쟁 분석, 데모 시연, 그리고 12개 가까운 업체의 제품 테스트를 거쳐 최종 결정을 내렸습니다. XDR 여러 회사 중에서 우리는 두 곳으로 초점을 좁혔고, 두 회사 모두 시험 운영 중이었으며, 그중 Stellar Cyber가 우리의 마음을 사로잡았습니다.
이것은 우리에게 상당한 자본 투자였습니다. 우리는 이 작업을 올바르게 수행하고 추가된 양과 효율성에 대한 투자를 회수할 수 있기를 원했습니다. 클라우드 버전을 사용하는 대신 88코어, 20Tb 서버를 구입했습니다. 이 시스템은 수십 개의 인프라 장치, 엔드포인트 로그 및 보안 시스템에서 방대한 양의 데이터를 구문 분석하고 분석하도록 설계되었습니다. 우리는 그것이 보호되기를 원했기 때문에 Iron Mountain Datacenter의 보안 시설에 그것을 쌓아두고 작년 초여름에 첫 번째 '개밥 먹기' 시험을 수행했습니다.
우리는 많은 교훈을 얻었습니다. 하나의 짧은 논문에 모두 공유할 수는 없지만 더 큰 것 몇 개를 공유하는 것이 좋을 것이라고 생각했습니다.
-
XDR 상상할 수 있는 거의 모든 정보를 한 화면에 담을 수 있는 훌륭한 솔루션을 제공합니다. 하지만 저희는 그것이 너무 벅차다고 느꼈습니다.
-
이것은 초보자용 도구가 아닙니다. XDR 불필요한 모호함을 초래할 수 있습니다. 모든 것을 평가할 수 있는 유능한 팀이 필요할 것입니다. XDR SOAR를 활성화하기 전에 타격을 가하세요. AI는 이를 통해 학습합니다. XDR 벤더의 고객 기반이 커질수록 벤더는 고객이 수행하는 행동을 통해 학습하기도 합니다. your 분석가. 그들은 똑똑해야합니다.
-
다리 XDR 솔루션 종점별로 가격을 책정하고 싶습니다. 이것은 거래 킬러입니다. 영업 사원이 "엔드포인트가 몇 개인가요?"라고 묻는다면… 실행합니다.
XDR 상상할 수 있는 거의 모든 정보를 한 화면에 담을 수 있는 훌륭한 솔루션을 제공합니다. 하지만 저희는 그것이 너무 벅차다고 느꼈습니다.
XDR 훌륭한 아이디어지만, 실행이 잘못되면 모든 게 망쳐질 수 있습니다. IT 담당자들은 이 마법의 상자에 모든 것을 쏟아붓고 싶어 하죠. '데이터가 많을수록 좋다'는 그들의 열정은 충분히 이해하지만, 그 때문에 우리 팀의 교육 과정이 꽤 힘들었습니다. SOC 분석가들은 매우 냉혹하다.
이 장치들은 입력하는 거의 모든 양의 데이터를 처리할 수 있습니다. 하지만 한 번에 하나의 스트림만 입력하는 것을 권장합니다. 적어도 장치가 어떤 결과를 출력할지 익숙해질 때까지는 말이죠. 왜냐하면 이 장치는 미리 설정된 규칙에 따라 자체적으로 결과를 생성하기 때문입니다. 그 결과 중 일부는 유용하지만, 전부는 아닐 것이며, 결과물도 상당히 많을 것입니다. SOC 분석가들은 더 잘 알아야 합니다. 처음에는 모든 경고를 하나하나 검토하고 확인해야 할 것입니다. XDR 판단은 어땠을까요? 틀린 판단이었을까요? 어떤 조치를 취해야 할까요? AI, 자동화? 마법의 상자? 모두 훌륭한 기술이지만, 기계가 무엇을 좋고 나쁜 것으로 판단하는지에 대한 탄탄한 기본 지식이 없다면 압도당할 수 있습니다. 저희도 그랬습니다. 블랙박스 안에는 숨겨진 것이 많습니다. 천천히 진행하세요. 분석가들이 학습할 시간을 주세요. 한 번에 하나의 데이터 스트림만 입력하세요.
Stutzman의 추천: 스피드 킬. 천천히 가시오. 하나의 데이터 피드로 시작하십시오. 정규화하고 다음을 추가하십시오.
이것을 알아라. XDR 초보자용 도구가 아닙니다.
저는 몇 개 가져갑니다. SOC 분기별로 근무를 바꿔가며 실력을 갈고닦습니다. 덕분에 업계와도 꾸준히 소통할 수 있습니다. SOC그리고 아마도 제가 이 일을 하는 이유는 제가 가장 좋아하는 일 중 하나이기 때문일지도 몰라요! 어쨌든, 새롭게 운항을 시작한 스텔라호의 첫 번째 근무조에서 저는 다음과 같은 일을 겪었습니다. XDR 고객사에서 근무하던 중 (새벽 2시경) 방화벽 뒤에서, 하지만 분명히 네트워크상에서 벌어지고 있는 내부 활동을 확인하게 되었는데, 평문 비밀번호가 대량으로 15개 시스템에 전송되고 있다는 경고 메시지가 떴습니다. 해당 은행은 새벽 2시에 영업을 하지 않았습니다.
가능한 설명은 두 가지뿐이라고 생각했습니다. 손상 또는 취약성 검색입니다. 결과적으로 클라이언트는 우리의 응답을 테스트하기 위해 OpenVAS를 실행하고 있었지만(통과했습니다!), 하지만… 우리가 전에 본 적 없는 곳에서 내부 데이터를 보고 있어요! 우리는 이제 60명의 은행에서 Windows 로그, 인프라 로그, 인증 로그 및 네트워크 흐름을 캡처하고 있었습니다. 하루에 거의 40GB의 로그를 가져오고 있었습니다. 드디어 좋은 안경을 맞고 처음으로 색을 본 마구씨가 된 기분이었어요!
완전한 통합을 진행하는 동안에도 분석가들이 업무에서 벗어나 분석 작업을 수행할 수 있도록 FortiAnalyzer와 Lucene Stack을 계속 사용할 예정입니다. XDR 사용자들이 익숙한 환경에서 데이터를 보고 이해할 수 있도록 할 것입니다. 기존 라이선스가 만료되는 시점에 맞춰 병렬 전환을 진행할 예정입니다. 하지만 전환 과정에서 1단계 분석가(트리아지 분석가)들은 더욱 심도 있는 기술을 습득해야 할 것입니다. 트리아지 분석은 앞으로 과거의 일이 될 가능성이 높습니다. XDR 새로운 스캐너 차단이나 도구의 결과를 검증한 후 조치를 취하기 전에 확인하는 등 일상적인 작업을 자동화된 방식으로 처리합니다.
Stutzman의 추천: 분석가는 AI 및 자동화가 인계받고 새로운 기계가 실수를 주입하기 전에 데이터에서 무슨 일이 일어나고 있는지 이해할 수 있을 만큼 똑똑해야 합니다. 저는 XNUMX세이고 이 일을 오랫동안 해왔지만 여전히 두 번째 눈을 갖고 싶었습니다. 이것은 보급형 도구가 아닙니다. 전문가 수준의 도구입니다.
다리 XDR 솔루션 제공업체들이 엔드포인트별로 가격을 책정하려고 합니다. 이는 거래를 무산시킬 수 있는 요인입니다.
경우 XDR 벤더가 "엔드포인트가 몇 개나 있으신가요?"라고 묻습니다. 도망치세요!! 엔드포인트 카운팅은 제대로 작동하지 않습니다. XDR 가격 말이에요. 깜짝 놀라실 거예요. 이 점을 아무리 강조해도 지나치지 않아요.
우리는 이것을 어렵게 배웠습니다. MSSP용 Nirvana는 하나의 창에 여러 장치의 데이터를 가지고 있습니다. 우리는 자체 내부 운영을 위해 지난 여름 운영에 Stellar Cyber를 설치했습니다. 우리는 판매를 시작하기 전에 "당신 자신의 개 사료를 먹어라"라고 믿습니다(우리가 판매하는 모든 것을 사용합니다).
저는 IT 책임자에게 한 단계씩 진행하자고 했습니다. 시스템에 정보 흐름을 하나씩 입력해보고 어떻게 안정화되는지 살펴보자고 했죠. 그런데 안타깝게도, 그는 벤더의 지침을 따라 코어 스위치에 스팬 포트를 설치하고 모든 데이터를 Stellar로 전송해 버렸습니다. 그러자 엄청난 양의 데이터가 쏟아져 들어왔습니다. XDR 40,000만 대가 넘는 장치에 대한 가상 흐름을 생성했습니다. IoT 기기, 모바일 기기, 컴퓨터, 서버 등 방화벽 뒤에 있는 모든 IP 주소가 있는 모든 장치가 고객 포트폴리오의 어느 위치에 있든 엔드포인트로 계산되었습니다. 영업팀은 정말 훌륭했습니다. 표준화 방법을 파악하는 동안에는 비용이 청구되지 않았기 때문에, 데이터 전송을 중단하고 자체 인프라부터 시작하여 한 번에 한 고객사씩 처리하기 시작했습니다. 데이터의 정확성을 유지하고 싶었기 때문에 엔드포인트 수가 아닌 데이터 양을 기준으로 하는 볼륨 라이선스를 선택했습니다.
Stutzman의 추천: 이것을 미리 요청한 다음 원하는 만큼 던집니다.
처음에는 지난 800월에 시작하여 가치 증명으로, 그 다음 여름에 운영을 시작했고 이제 완전히 운영되어 우리가 수행하는 많은 NIST 171-100 관련 프로젝트를 지원하기 위해 배포했습니다. 이기종 환경을 가진 고객이 있는 곳입니다. 정말 잘했어요. 우리는 XNUMX%입니까? 아니요. 아직 사용할 수 없는 도구에 대해 파서를 작성해야 합니다. 우리는 아직 SOAR를 완전히 활성화하지 않았으며 솔직히 자동화된 작업이 어떤 종류의 파급 효과를 가져올지 모르는 더 취약한 일부 고객 위치에서 SOAR를 활성화하는 것을 주저하고 있습니다.
우리가 투자한 것을 후회할까요? XDR네, 물론입니다. 시스템 비용은 유능한 분석가 두 명을 고용하는 비용과 비슷하지만, 이 시스템 덕분에 이전에는 접근할 수 없었던 고객층까지 사업을 확장할 수 있을 거라고 확신합니다.
나눔은 곧 배려입니다. 저희도 시행착오를 겪으며 많은 것을 배웠고, 예산 문제로 큰돈을 써야 할지도 모른다는 생각에 불안했던 적도 있었습니다. 1년 치 생활비보다 더 많은 돈을 써야 할지도 모른다는 생각에 걱정했죠. 하지만 저희 스텔라 팀은 정말 훌륭하게 지원해 주었습니다. 비록 저희는 그들의 큰 틀 안에서 작은 존재였지만요. 이 이야기가 여러분의 고민에 조금이나마 도움이 되었으면 좋겠습니다. XDR 구매하세요. 또는, 원하시면 저희에게 연락주세요. 기꺼이 도와드리겠습니다. your XDR 새로운 멀티테넌트 Stellar Cyber 환경에서.
