In de ultracompetitieve van vandaag MSSP-markt, zijn bedrijfseigenaren op zoek naar manieren om hun aanbod aantrekkelijker te maken voor klanten en hun SOCs effectiever. daartoe MSSP's nieuwe technologie toevoegen aan hun beveiligingsaanbod in de hoop dat potentiële klanten deze toevoeging zullen zien als een kans om een deel of al hun beveiligingsbewaking uit te besteden. Die strategie heeft enige geldigheid; Helaas levert de nieuwe technologie vaak niet de genoemde voordelen op, wat leidt tot een hoger klantverloop. Dus hoewel het essentieel is om uw technologie- en beveiligingsteam op de hoogte te houden van de nieuwste en beste beveiligingstechnologie, moet u soms kijken naar wat zich al in uw beveiligingsstack bevindt.
De enige technologie waar ik specifiek naar verwijs, is uw SIEM. Afhankelijk van met wie je praat, zitten we momenteel in de derde of vierde generatie van SIEM technologie; wanneer ik echter met beoefenaars praat, is hun frustratieniveau met hun SIEM is bij Defcon.
1. MSSP's blijven gebruikmaken van een SIEM Dat voldoet niet aan hun behoeften vanwege de tijd en middelen die nodig zijn om het te vervangen door iets dat waarschijnlijk tot een vergelijkbare teleurstelling zal leiden.
Laat me het hebben over drie manieren die zo oud zijn SIEM (of zelfs niet zo oud) SIEM) richt meer schade aan dan je denkt.
SIEMzijn lui
Daar, ik zei het, maar dat weten we allemaal SIEMs, werkten tot voor kort niet slimmer, ze lieten je harder werken. Hoewel ze je in staat stelden allerlei soorten logs te verzamelen en waarschuwingen van verschillende beveiligingscontroles te correleren, was het resultaat dat je zou krijgen slechts zo goed als je meest ingenieuze beveiligingsanalist. Als ze een beveiligingsninja waren met een enorm begrip van het dreigingslandschap en wisten hoe ze intelligente correlatieregels moesten schrijven, zou je waarschijnlijk dol zijn op je SIEM.
Als je team is zoals de meeste, waar bedrijven proberen je beste spelers weg te lokken, zou je een dramatische verschuiving in je... SIEMs effectiviteit als ze zouden vertrekken. Ja, NG-SIEM providers proberen dit probleem aan te pakken door meer kant-en-klare inhoud te leveren (de jury is nog steeds niet overtuigd van de effectiviteit ervan). Desalniettemin, net als dat pakket Oreo's dat uw kinderen openen en vergeten correct te sluiten, wordt die inhoud snel oud, waardoor u de taak krijgt om nieuwe regels te maken of gemeenschappen te doorzoeken op inhoud die u kunt importeren. Kortom, de SIEMZelfs NG-SIEMs, laten het zware werk aan uw team over, waardoor u niet meer in staat bent om het aantal klanten toe te voegen dat uw team zonder deze last aan zou kunnen.
SIEMs zijn dataverslinders
Cyberbeveiliging is tegenwoordig een dataprobleem, schrap dat, het is een BIG BIG data probleem. Met zoveel producten die dagelijks worden gebruikt, is het volume aan logboeken dat een gemiddeld middelgroot bedrijf genereert belachelijk. Hoewel specifieke bedrijfstakken een volledige verzameling en beoordeling van logboeken vereisen om te voldoen aan deze of gene regelgeving, proberen veel klanten die naar een MSSP kijken niet om een nalevingsprobleem op te lossen. In plaats daarvan willen velen dreigingen beter identificeren en verminderen voordat ze hun bedrijf kunnen schaden. SIEMsDoor hun inherente, ingebouwde neiging tot volledige dataverzameling, moet een beveiligingsteam dat op zoek is naar bedreigingen zich een weg banen door zeeën van irrelevante loggegevens in de hoop een gevaar te ontdekken. Het is geen onmogelijke taak, want waarschijnlijk doet u dit vandaag de dag ook, maar stel je voor dat je in de jaren 1840 goud aan het zoeken was. In plaats van een pan te gebruiken om kleine hoeveelheden slib te zeven, besluit je een enorme emmer te gebruiken in de hoop dat waardevolle mineraal te vinden. Wat denk je dat langer zou duren? Natuurlijk weet ik dat dit geen eerlijke vergelijking is en dat onze geavanceerde computertechnologie het proces kan versnellen. Maar een paar minuten per dag besparen telt op, vooral over een langere periode. SOC met tien, twintig of vijftig beveiligingsanalisten. Kortom: SIEMs zijn geweldig in het oplossen van pure compliance use-cases omdat ze alle loggegevens verzamelen, maar voor security use cases, wat u doorgaans verkoopt, heeft u technologie nodig die het verschil begrijpt tussen relevante beveiligingslogs en irrelevante, en alleen verzamelt wat het nodig heeft .
SIEMIk vind niet iedereen aardig.
Toen ik productmarketing uitvoerde voor een andere leverancier (die naamloos zal blijven), was een van de meest voorkomende vragen: "Ondersteunt u XYZ-producten?" of "Kan ik gegevens van ABC-product invoeren?" Slimme beveiligingskopers die een of twee keer in het leverancierscircus zijn geweest, begrijpen hoe beveiligingsleveranciers het gebrek aan vooraf gebouwde integraties van uw producten zullen bagatelliseren. Ze zullen dingen zeggen als: "Ik kan dat voor je halen, geen probleem", of "Ik weet zeker dat het onderweg is; laat me contact met je opnemen', terwijl ze in werkelijkheid terug moeten naar hun integratieteam en smeken en pleiten voor een nieuwe integratie, vooral als ze je deal moeten sluiten om hun nummer voor het kwartaal te halen. Nu maakt iemand in het integratieteam een eenmalig script dat laat zien dat gegevens van uw product naar de SIEM backend, in de hoop dat niemand een fijne tandkam neemt voor wat is geleverd. Nogmaals, als je al een minuut in de buurt bent, weet ik zeker dat dit je bekend in de oren klinkt.
De trieste realiteit is dat de meeste SIEMs zijn een uitdaging om te integreren, gezien de onderliggende complexiteit van hun datamodellen. U kunt misschien uw integraties schrijven, en als dat het geval is, geweldig, maar wat gebeurt er als de SIEM leverancier een nieuwe versie uitrolt en uw integratie verbreekt? Het is terug naar de tekentafel. Bottom line – out-of-the-box integraties naar een SIEM dat werk is wat je van je mag verwachten SIEM leverancier. Als dat niet is wat u vandaag krijgt, zal de onboardingtijd van uw klanten eronder lijden en, in het ergste geval, loopt u omzet mis doordat u op uw leverancier moet wachten. SIEM De leverancier moet een integratie leveren waarvan je hoopt dat die werkt.
We hebben veel MSSP's geholpen de voordelen te zien van het verwijderen van hun oude of niet-zo-oude SIEM en vervangen door onze Stellaire Cyber Open XDR Platform. Met ons platform krijgt u:
– De juiste automatisering, waar u die nodig heeft: Het doel van Stellar Cyber is om detectie, onderzoek en herstel van bedreigingen zo geautomatiseerd mogelijk te maken. Wanneer u overstapt naar Stellar Cyber, zijn uw dagen dat u zich zorgen maakt over het vervallen van correlatieregels voorbij. Stellar Cyber doet het zware werk om snellere klantenwerving mogelijk te maken.
– Intelligente gegevensverzameling: we verzamelen veiligheidsrelevante gegevens waardoor onze AI / ML bedreigingsdetectie-engine om bedreigingen zo snel mogelijk te identificeren. Als seconden ertoe doen, zorgt Stellar Cyber ervoor dat je alle seconden hebt die je kunt krijgen.
- Iedereen is welkom: Als uw SIEM en Stellar Cyber gaven allebei feesten, ons feest zou eruitzien als een klassenreünie met iedereen die de tijd van zijn leven heeft; de SIEM feest lijkt misschien op een bijeenkomst van mensen die elkaar nog nooit hebben ontmoet. Met andere woorden, de architectuur van Stellar Cyber is open, met integraties voor zowat elke populaire beveiligings-, IT- en productiviteitstool die er is, waardoor de onboarding van klanten en uw bedrijfsgroei sneller dan ooit verloopt.
We hebben veel te danken aan SIEMs. Ze hebben onze ogen geopend voor het belang van data-analyse, maar vandaag kun je beter doen dan de SIEM je gebruikt. Voor meer informatie over Stellar Cyber, bekijk onze MSSP-specifiek rondleiding van vijf minuten.
