Lekcje wyciągnięte z naszych poszukiwań i integracji naszych XDR
Trwa wdrażanie zaufanego Internetu Gwiezdny Cyber XDR –jako SOC- rozwiązanie monitorowane lub jako infrastruktura jako usługa.
Szum marketingowy wokół XDR jest ogłuszający dla tych z Was, którzy rozważają XDRTrudno jest przejrzeć efektowne strony internetowe i marketingowy szum, żeby stwierdzić, co jest prawdą. Pomyślałem więc, że podzielę się kilkoma wnioskami – z perspektywy prezesa firmy, która sama się finansuje. MSSPs, Mam nadzieję, że pomoże to w podjęciu decyzji o zakupie.
Przez ostatnie cztery lata byliśmy zagorzałym dostawcą Fortinet MSSP. Uwielbiamy nasze zapory ogniowe Fortinet, z naszymi pracownikami certyfikowanymi przez NSE7, którzy ciężko pracują, aby dostroić pełne funkcji, szybkie maszyny, aby naginały się do naszej woli. Z różnych powodów około dwa lata temu zdecydowaliśmy się rozpocząć poszukiwania sposobu na uwzględnienie próśb potencjalnych klientów, aby nie musieli zdzierać i wymieniać istniejących systemów bezpieczeństwa.
Także, SOC, NOC, EDR, MDR, NDR, MSSPsDlaczego ktoś nie miałby połączyć ich wszystkich w jedno pudełko, które rozumie WSZYSTKIE ich logi i wykorzystuje odrobinę uczenia maszynowego do trenowania sztucznej inteligencji, aby lepiej pomagać SOC Analitycy? Mam starego znajomego, który nazywał to Pudełkiem Boga. Ono wie wszystko.
XDR jest początkiem Pudełka Boga.
Nasze wymagania:
- Musi integrować wszystkich innych dostawców w środowisku klienta, nie wymagając od nich niszczenia i zastępowania istniejącej infrastruktury.
Nie chcieliśmy instalować agenta na każdym komputerze. Mają już AV i Anti-Evasion. Nie chcieliśmy ładować na inny system końcowy.
Chcemy mieć możliwość zintegrowania analizy przepływu sieci w celu wykrywania anomalii, ale możemy nie chcieć jej w 100% przypadków. Flow generuje duże ilości danych, które chcieliśmy móc włączać i wyłączać w razie potrzeby na podstawie innych wskaźników.
- Musi spełniać wszystkie wymagania dotyczące zbierania/analizowania dzienników NIST 800-171.
Podczas gdy ISO, CIS, HIPAA lub PCI wymagają agregacji i analizy wszystkich tych dzienników, NIST 800-171 wymaga monitorowania wpisów dziennika z niemal każdego urządzenia dla każdego zdarzenia — infrastruktury, punktów końcowych i bezpieczeństwa.
Musimy znaleźć lepszy sposób na uzyskanie wglądu w te dzienniki i zrobić to w sposób, na jaki stać naszą bazę klientów skupioną na małych i średnich firmach. Aby to zrobić, musimy być w stanie połączyć je w jeden system, który rozumie każdy z wymaganych dzienników.
-
Musi być wielodostępny.
W tamtym czasie nie miałem pojęcia, jak wiele wątpliwości będę miał w kwestii sztucznej inteligencji, dopóki nie obejrzałem różnych filmów XDRs biegnij. Bądź gotowy z inteligentnym zespołem.
Porównaliśmy je między sobą, przeprowadzając testy A|B, używając narzędzia FortiAnalyzer i nieprzetworzonych danych dziennika w naszym stosie Lucene jako linii bazowych
-
Idealnie, XDR musi pomieścić każdego dostawcę, nie tylko tych zbudowanych przez XDR sprzedawca.
Trochę XDR dostawcy, których braliśmy pod uwagę, sami tworzyli swoje własne systemy AV, IPS itp. Inni produkowali OEM-y od innych, ale nie chcieli o tym rozmawiać.
Niezależnie od tego chcę wiedzieć, jakie narzędzia są w nim wbudowane XDR są dojrzałe i sprawdzone.
- Jeśli istnieje komponent chmurowy, chcę mieć dowód, że ich środowisko chmurowe jest bezpieczne.
Wszystkie dane naszych klientów dotyczące luk w zabezpieczeniach będą tam przechowywane. Nie chcę, żeby doszło do wycieku danych w naszej firmie. XDR Dostawca ujawnia informacje o podatnościach klientów. Z punktu widzenia szpiegostwa to NIESAMOWICIE bogaty cel. Musi być bezpieczny.
Oceniamy bezpieczeństwo back-endu wszystkich naszych dostawców. Podczas naszych poszukiwań, jeden XDR Dostawca oferował niesamowity produkt, ale oferowane przez niego usługi w środowisku chmurowym nigdy nie zostały przetestowane pod kątem bezpieczeństwa!
Zgodność jest dobra, ale co ważniejsze? Opowiedz mi, jak chronisz dane. Spraw, bym poczuł się komfortowo, że podjąłeś środki w celu ochrony danych. Byłem zaskoczony przez więcej niż jednego, który nie mógł tego zrobić.
- Struktura cen musi być w 100% przewidywalna.Koszty zmienne zabijają. Chciałem mieć pewność, że nie będzie żadnych niespodzianek. Jeśli… XDR dostawca pyta: „Ile masz punktów końcowych?” URUCHOM. Struktura cen musi uwzględniać naszą możliwość wbudowania jej w koszty subskrypcji, z rozsądną marżą. W świecie MSSP, SOC Koszty mogą sprawić, że poniesiemy porażkę szybciej niż cokolwiek innego. Jak MSSP może się rozwijać, nie rujnując budżetu rosnącymi kosztami pracy w zakresie bezpieczeństwa informacji?
Nasze poszukiwania Kopciuszka XDR (ten, który idealnie do nas pasuje!):
Przyjrzeliśmy się dziesiątkom dostawców – ich nazwy na pewno słyszałeś. Po prawie dwóch latach analizy konkurencji, demonstracji i testów u prawie tuzina XDR Spośród firm zawęziliśmy naszą uwagę do dwóch, które były w fazie testów. Stellar Cyber okazał się naszym faworytem.
Była to dla nas znacząca inwestycja kapitałowa. Chcieliśmy mieć pewność, że zrobiliśmy to dobrze i że jesteśmy w stanie odzyskać naszą inwestycję w zwiększenie objętości i wydajności. Zamiast korzystać z ich wersji w chmurze, kupiliśmy 88-rdzeniowy serwer o pojemności 20 TB. System jest przeznaczony do analizowania i analizowania ogromnych ilości danych z dziesiątek urządzeń infrastruktury, dzienników punktów końcowych i systemów bezpieczeństwa. Chcieliśmy, aby była chroniona, więc umieściliśmy ją w naszym zabezpieczonym obiekcie w Iron Mountain Datacenter i przeprowadziliśmy pierwszą próbę „zjedz własną karmę dla psów” wczesnym latem ubiegłego roku.
Mamy WIELE lekcji. Nie będę w stanie podzielić się nimi wszystkimi w jednym krótkim artykule, ale pomyślałem, że dobrze byłoby podzielić się kilkoma większymi.
-
XDR oferuje wspaniałe rozwiązanie, pozwalające zgromadzić praktycznie każdą informację, jaką sobie wyobrazisz, w jednym miejscu. To było dla nas przytłaczające.
-
Nie jest to narzędzie dla początkujących. XDR może wprowadzać niejednoznaczność tam, gdzie jej nie powinno być. Będziesz potrzebować inteligentnego zespołu, który oceni każdą XDR uderzyć przed aktywacją SOAR. Podczas gdy sztuczna inteligencja uczy się z XDR większa baza klientów sprzedawcy, uczy się również poprzez działania wykonywane przez Twój analitycy. Muszą być sprytni.
-
Większość XDR do magazynowania energii chcesz wycenić według punktu końcowego. To jest zabójca transakcji. Jeśli sprzedawca zapyta: „Ile masz punktów końcowych?”… URUCHOM.
XDR oferuje wspaniałe rozwiązanie, pozwalające zgromadzić praktycznie każdą informację, jaką sobie wyobrazisz, w jednym miejscu. To było dla nas przytłaczające.
XDR To fantastyczny pomysł, ale złe wykonanie zrujnuje ci dzień. Informatycy chcą od razu rzucić wszystko (włącznie z kuchennym zlewem) w to magiczne pudełko. I choć w pełni rozumiem geekowską potrzebę „więcej danych to dobrze”, to właśnie to sprawiło, że nasza krzywa szkoleniowa… SOC analitycy brutalnie surowi.
Te urządzenia pochłoną praktycznie każdą ilość danych, jaką tylko uda Ci się do nich wcisnąć. Odradzamy umieszczanie w nich więcej niż jednego strumienia danych naraz; przynajmniej do czasu, aż przyzwyczaisz się do tego, co maszyna będzie z nich wypisywać. Dlaczego? Maszyna będzie generować wyniki samodzielnie, w oparciu o ustalone reguły. Przekonasz się, że niektóre są dobre, ale nie wszystkie – i będzie ich dużo. Twój SOC analitycy muszą wiedzieć lepiej. Na początku będą musieli przebrnąć przez każdy pojedynczy alert, aby go zweryfikować i potwierdzić. XDR Jak to nazwać? Czy to było złe? Jakie działania należy podjąć? Sztuczna inteligencja, automatyzacja? Magiczne pudełko? Wszystko to dobre, ale bez solidnej wiedzy o tym, co maszyna nazywa dobrym, a co złym, możecie się poczuć przytłoczeni. My tak zrobiliśmy. W czarnej skrzynce kryje się wiele. Działaj powoli. Pozwól swoim analitykom się uczyć. Wprowadzaj dane po kolei.
Rekomendacja Stutzmana: Prędkość zabija. Idź powoli. Zacznij od jednego źródła danych. Znormalizuj, a następnie dodaj następny.
Wiem to. XDR nie jest narzędziem podstawowym.
Biorę kilka SOC Zmiany co kwartał, aby utrzymać moje umiejętności na wysokim poziomie. Dzięki temu jestem w kontakcie z moimi SOC, a może robię to, bo to jedna z moich ulubionych prac! W każdym razie, podczas mojej pierwszej zmiany z nowym, operacyjnym Stellarem w naszym pierwszym XDR Klient, około 2 w nocy, obserwowałem wewnętrzną aktywność za zaporami sieciowymi, ale wyraźnie w sieci. Pojawił się alert informujący o masowym przesyłaniu haseł w postaci jawnego tekstu do piętnastu różnych systemów. Bank był zamknięty o 2 w nocy.
Myślałem, że są tylko dwa możliwe wyjaśnienia: kompromitacja lub skanowanie pod kątem luk w zabezpieczeniach. Jak się okazało, klient uruchomił OpenVAS, aby przetestować naszą odpowiedź (zdaliśmy!), ale… jak to widzieliśmy? Patrzę na wewnętrzne dane z miejsc, których wcześniej nie widzieliśmy! Przechwytywaliśmy teraz logi systemu Windows, logi infrastruktury, logi uwierzytelniania i przepływ sieci z 60-osobowego banku. Dziennie pobieraliśmy prawie 40 GB dzienników. Czułam się jak Pan Magoo, który w końcu dostał dobre okulary i po raz pierwszy widział kolor!
W związku z pełną integracją zachowaliśmy FortiAnalyzer i Lucene Stack, aby umożliwić naszym analitykom odejście od XDR środowisko i zobaczyć dane prezentowane w sposób, który jest im znany. Przeprowadzimy równoległe przejście w pewnym momencie, gdy stare licencje wygasną. Jednak w miarę przechodzenia na nowe środowisko nasi analitycy pierwszego poziomu (analitycy triażowi) są zmuszeni do zdobywania bardziej zaawansowanych umiejętności. Triaż prawdopodobnie stanie się przeszłością, ponieważ XDR podejmuje zautomatyzowane działania w przypadku bardziej przyziemnych zadań, takich jak blokowanie nowego skanera lub weryfikacja wyników narzędzi przed podjęciem dalszych działań.
Rekomendacja Stutzmana: Twoi analitycy muszą być wystarczająco inteligentni, aby zrozumieć, co dzieje się w danych, zanim sztuczna inteligencja i automatyzacja przejmą kontrolę, a nowa maszyna zaimplantuje błędy. Mam sześćdziesiąt lat i robię to od dawna, ale nadal chciałem mieć drugą parę oczu. To nie jest narzędzie klasy podstawowej. To narzędzie na poziomie eksperta.
Większość XDR Rozwiązania chcą ustalać ceny na podstawie punktu końcowego. To jest zgubne.
Jeżeli XDR Dostawca pyta: „Ile masz punktów końcowych?” UCIEKAJ!! Liczenie punktów końcowych nie działa w XDR ceny. Nie będziesz zadowolony z niespodzianki. Nie mogę tego wystarczająco podkreślić.
Nauczyliśmy się tego w bolesny sposób. Nirvana dla MSSP to posiadanie danych z wielu urządzeń na jednej tafli szkła. Zeszłego lata zainstalowaliśmy Stellar Cyber na potrzeby naszych własnych operacji wewnętrznych. Wierzymy w zasadę „zjedz własną karmę dla psów” przed rozpoczęciem sprzedaży (wykorzystujemy wszystko, co sprzedajemy).
Poprosiłem mojego dyrektora IT, żeby robił to krok po kroku. Wprowadził jeden przepływ informacji do systemu i zobaczymy, jak się znormalizuje. Niestety, idąc za przykładem naszego dostawcy, umieścił port rozpiętości w naszym przełączniku głównym i podłączył wszystko, co mieliśmy, do Stellar. Wąż strażacki ożył. XDR Wygenerowaliśmy pseudoprzepływ dla ponad 40 000 urządzeń. Każdy IoT, urządzenie mobilne, komputer, serwer, każde urządzenie z adresem IP znajdujące się za jedną z naszych zapór sieciowych, w dowolnym miejscu w naszym portfolio klientów, było teraz liczone jako punkt końcowy. Nasz zespół sprzedaży był świetny. Nie pobieraliśmy opłat, dopóki nie zorientowaliśmy się, jak to znormalizować, więc wyłączyliśmy ogień i zaczęliśmy obsługiwać jednego klienta na raz, zaczynając od naszej własnej infrastruktury. Nie chcieliśmy stracić wierności, więc ostatecznie zdecydowaliśmy się na licencję zbiorczą opartą na ilości danych, a nie liczbie punktów końcowych.
Rekomendacja Stutzmana: Poproś o to z góry, a następnie rzuć w to tyle, ile chcesz.
Mamy nasz system od prawie roku, najpierw jako dowód wartości, który rozpoczął się w marcu zeszłego roku, następnie zaczął działać latem, a teraz jest w pełni operacyjny, wdrażając go w celu wsparcia wielu projektów związanych z NIST 800-171, które byliśmy zaangażowani i gdzie mamy klientów, którzy mają heterogeniczne środowiska. Wykonano świetną robotę. Czy jesteśmy w 100%? Nie. Nadal wymagamy napisania parserów dla narzędzi, które nie są jeszcze dostępne. Nie włączyliśmy jeszcze w pełni SOAR i szczerze mówiąc, waham się, czy to zrobić w niektórych mniej wrażliwych lokalizacjach klientów, w których nie wiemy, jaki efekt mogą wywołać zautomatyzowane działania.
Czy jesteśmy zadowoleni, że kupiliśmy? XDRZdecydowanie. System kosztuje mniej więcej tyle samo, co kilku dobrych analityków, ale jestem przekonany, że pozwoli nam dotrzeć do klientów, do których wcześniej nie mielibyśmy dostępu.
Dzielenie się to troska. Mieliśmy trudne lekcje i kilka przerażających momentów budżetowych, kiedy myślałem, że będziemy musieli wypisać kilka dużych czeków, żeby opłacić to wszystko – więcej pieniędzy, niż miałbym na koncie przez rok. Nasz zespół Stellar jest niesamowity, mimo że jesteśmy małą rybką w ich większym stawie. Mam nadzieję, że to było pomocne, gdy rozważasz swoje własne… XDR zakupu. Lub, jeśli wolisz, skontaktuj się z nami. Z przyjemnością stworzymy Twój XDR w naszym nowym, wielodostępnym środowisku Stellar Cyber.
