In 2012 werkte ik voor een van de eerste leveranciers van security-as-a-service. In die tijd was het beveiligen van je omgeving vanuit de cloud nog baanbrekend, en veel beveiligingsteams stonden huiverig tegenover het introduceren van wat zij zagen als een extra kwetsbaarheid in hun beveiligingssysteem. Tegenwoordig is het implementeren van een cloudbeveiligingsoplossing een stuk eenvoudiger. SIEM, XDREen SecOps-platform op bare metal lijkt voor veel hedendaagse beveiligingsleiders ouderwets.
Er zijn inderdaad geldige redenen waarom beveiligingsteams naar de cloud kijken als hun voorkeursoptie voor de implementatie van beveiligingsproducten, van het versnellen van de implementatie tot het verlagen van de kosten en de flexibiliteit om toegang te krijgen tot het product vanuit elke beveiligde webbrowser. Dat gezegd hebbende, heeft een beveiligingsteam evengoede redenen om te kiezen voor een on-premises platformbenadering voor beveiligingsoperaties. Hier volgen vier redenen waarom een implementatie op locatie de juiste keuze zou kunnen zijn voor uw organisatie.
Vier redenen om lokaal te implementeren
1. Zeer gevoelige gegevens
Elk beveiligingsteam geeft prioriteit aan de vertrouwelijkheid van de gegevens van hun bedrijf. Als uw organisatie echter met geheime informatie te maken heeft, kan het zijn dat u ervoor moet zorgen dat de gegevens uw omgeving nooit verlaten. In dergelijke gevallen is het gebruik van cloudgebaseerde beveiligingsproducten een non-starter. Door uw SecOps-platform op locatie in te zetten, kunt u er zeker van zijn dat uw gevoelige logboeken en andere beveiligingsinformatie veilig binnen de muren van uw omgeving blijven, waardoor een extra beschermingslaag ontstaat.
2. reglement
De mate waarin regelgevende instanties een sector onder de loep nemen, kan sterk variëren, afhankelijk van het gegevenstype dat de organisatie verwerkt en de kans dat die gegevens, als ze in gevaar komen, klanten aanzienlijke schade kunnen berokkenen. Zorg-, financiële en overheidsorganisaties moeten zich bijvoorbeeld houden aan strikte wettelijke vereisten, zoals GDPR, HIPAA en andere regionale wetten op gegevensbescherming. Stel dat uw organisatie deel uitmaakt van een van deze sterk gereguleerde sectoren. In dat geval heeft u wellicht geen andere keuze dan uw SecOps-platform op locatie te implementeren om mogelijke overtredingen van de regelgeving te elimineren.
3. Maatwerk en versiebeheer
Afhankelijk van de mogelijkheden en gerichte gebruiksscenario's van uw beveiligingsteam, moet u mogelijk enkele aangepaste configuraties en/of code implementeren bovenop een kant-en-klaar SecOps-platform. Wanneer u met een cloudgebaseerd SecOps-platform werkt, kan de leverancier uw mogelijkheden beperken om dit soort aanpassingen aan het platform aan te brengen. Bovendien kan de leverancier updates op het SecOps-platform toepassen met weinig tot geen voorafgaande kennisgeving, wat uw beveiligingsteam maagzuur kan bezorgen. Met een implementatie op locatie kan uw beveiligingsteam op maat gemaakt beveiligingsbeleid en/of automatisering implementeren die mogelijk moeilijk te implementeren is op een cloudgebaseerd platform. Dit niveau van flexibiliteit en controle kan uw team sterker maken, waardoor ze het platform kunnen afstemmen op hun specifieke behoeften en versiebeheer kunnen behouden zonder enige externe beperkingen.
4. Prestatieoverwegingen
Hoewel de meeste organisaties werken met hogesnelheidsnetwerken die de latentie kunnen minimaliseren, zelfs bij het uploaden of downloaden van grote datasets, kunnen sommigen moeite hebben met de betrouwbaarheid/stabiliteit van het netwerk vanwege de locatie van hun kantoren. Daarnaast zijn er situaties waarin een organisatie of een deel van de organisatie geen internetverbinding heeft om te voldoen aan intern of extern beleid. Als u zich in een soortgelijke situatie bevindt, is het on-premises implementatiemodel uw enige echte optie.
Kies uw volgende lokale SecOps-platform
Hoewel ik vier redenen heb opgesomd waarom een on-premises implementatie van een SIEM Of een platform voor beveiligingsoperaties is wellicht vereist, er zijn nog veel meer mogelijkheden. Ongeacht de reden waarom u on-premises moet implementeren, is de volgende logische vraag wellicht: "Hoe selecteer ik een geschikt platform?" SIEM/Een SecOps-platform dat aan mijn implementatiebehoeften voldoet?”
Hier volgen drie aanbevelingen bij het selecteren van uw on-premises platform.
1. Mogelijkheden
Hoewel dit vanzelfsprekend zou moeten zijn, lopen de platforms voor beveiligingsoperaties die implementatiemogelijkheden op locatie ondersteunen sterk uiteen. Aan de onderkant van het mogelijkhedenspectrum zijn er mogelijk leveranciers die een lokaal inzetbaar platform aanprijzen waarmee u loggegevens uit veel verschillende bronnen kunt opnemen, maar waarbij u wel alle detectie- en correlatieregels moet maken, beheren en onderhouden. Dit product is een veredelde tool voor logboekbeheer die uw team op de lange termijn ongetwijfeld minder effectief zal maken.
Aan het andere uiteinde van het spectrum bevinden zich producten met eenvoudig configureerbare integraties die in staat zijn om beveiligingswaarschuwingen van derden, loggegevens, netwerkverkeer en activiteitsstromen van gebruikers en assets vast te leggen. Vervolgens zullen machine learning- en kunstmatige intelligentiemodellen, in combinatie met door de leverancier opgestelde detectieregels, automatisch geavanceerde bedreigingen opsporen zonder menselijke tussenkomst. De Stellar Cyber Open XDR Het platform werkt op deze manier.
Wanneer u uw opties evalueert, stel dan diepgaande vragen over de mogelijkheden en dring aan op een proof of concept (PoC) in uw omgeving om de beweringen van de leverancier te valideren.
2. Integraties
Zoals vermeld in mijn eerste aanbeveling, zijn integraties van cruciaal belang om waarde uit elk platform voor beveiligingsoperaties te halen. Iedereen die met een product heeft gewerkt dat aanzienlijke handmatige, op maat gemaakte integraties vereist, kent de nachtmerrie die dit snel kan worden. Ten eerste beschikken niet alle beveiligingsteams over de technische vaardigheden om hun integraties te maken, dus moeten ze een contract afsluiten met een externe hulpbron om de integraties te maken en te onderhouden, de leverancier extra kosten betalen om de integraties te bouwen, of een speciale hulpbron inhuren om de integraties te bezitten. . In al deze gevallen is het resultaat een platform dat na verloop van tijd veel meer kost dan verwacht.
De betere optie is om een platform te selecteren waarop de leverancier zijn inspanningen en middelen investeert in het creëren van integraties die uw beveiligingsteam eenvoudig kan configureren. Ons platform bevat bijvoorbeeld honderden vooraf gebouwde integraties die zonder extra kosten beschikbaar zijn voor alle gebruikers. Bovendien, als een klant aanvullende integraties nodig heeft, ontwikkelen wij deze zonder extra kosten.
Wanneer u met leveranciers praat, zorg er dan voor dat zij begrijpen welke producten u wilt integreren en of hun platform deze ondersteunt. Valideer wat ze zeggen tijdens het PoC-proces.
3. Routekaart
Als u erachter komt dat een product waarin u heeft geïnvesteerd en waarin u het middelpunt van uw beveiligingsworkflows vormt, onverwacht geen toekomst heeft, kan dit zelfs de meest doorgewinterde beveiligingsleider frustreren.
Een voorbeeld hiervan is de recente overname van IBM QRadar door Palo Alto Networks. SIEM Cloud heeft alles achtergelaten IBM QRadar lokaal klanten in de kou. Als deze klanten op locatie moeten blijven, hebben ze een andere leverancier nodig om aan hun implementatiebehoeften te voldoen en hen te helpen hun bestaande QRadar-gegevens, configuratie en regels snel naar het nieuwe platform te migreren.
Hoewel producten met routekaarten kunnen worden meegesleurd in aandeelhoudersgerelateerde acties, zoals fusies of overnames, laat het zien dat de leverancier plannen heeft die verder gaan dan de huidige versie van het platform, je in ieder geval weten dat het platform zal blijven evolueren op basis van veranderingen in de toekomst. dreigingslandschap en gebruikersbehoeften.
Hier bij Stellar Cyber beoordelen we bijvoorbeeld regelmatig onze roadmap met klanten en prospects voor ons platform, dat lokaal, in de cloud kan worden ingezet of mede kan worden beheerd door de MSSP van uw keuze. We zijn transparant tegenover onze klanten om hen te laten weten dat we ons inzetten om in de toekomst cloud- en on-premise-implementaties met dezelfde mogelijkheden te ondersteunen. Dankzij deze toewijding kunnen onze klanten hun beveiligingsaanpak ook aanpassen als de zaken voor hen veranderen. Als de organisatie in de toekomst bijvoorbeeld van een on-premise implementatie naar de cloud kan overstappen, kan ze die migratie naadloos met Stellar Cyber uitvoeren zonder een heel ander product te leren.
Sluiting Gedachten
Beveiliging is geen one-size-fits-all voorstel.
Hoewel de cloud de mogelijkheid biedt om een bedrijf snel te schalen en een beveiligingsteam helpt bij het beheren van kosten en middelen, zijn er goede redenen om een cloud te implementeren. SIEM/XDR/SecOps-platform on-premises. Het volgen van de eenvoudige aanbevelingen die ik heb besproken, is een goed uitgangspunt bij uw zoektocht naar een nieuw platform. Om te zien hoe Stellar Cyber werkt... Open XDR Het Security Operations Platform kan voldoen aan uw behoeften voor implementatie op locatie. Neem vandaag nog contact met ons op voor een persoonlijk adviesgesprek. En als u een actieve IBM QRadar On-premises-klant bent en snel wilt verhuizen, hebben we speciaal voor u een speciale aanbieding.
