W 2012 roku pracowałem dla jednego z pierwszych dostawców oferujących bezpieczeństwo jako usługę. W tamtych czasach zabezpieczanie środowiska z chmury było nowatorskie i wiele zespołów ds. bezpieczeństwa z rezerwą podchodziło do wprowadzania do swoich systemów zabezpieczeń czegoś, co postrzegali jako kolejny punkt awarii. Dzisiaj wdrożenie SIEM, XDRlub platforma SecOps na gołym metalu wydaje się wielu dzisiejszym liderom ds. bezpieczeństwa staromodna.
Rzeczywiście istnieją uzasadnione powody, dla których zespoły ds. bezpieczeństwa postrzegają chmurę jako preferowaną opcję wdrażania produktów zabezpieczających, począwszy od przyspieszenia wdrażania po zmniejszenie kosztów i elastyczność dostępu do produktu z dowolnej bezpiecznej przeglądarki internetowej. To powiedziawszy, zespół ds. bezpieczeństwa ma równie uzasadnione powody, aby wybrać podejście oparte na lokalnej platformie operacji bezpieczeństwa. Oto cztery powody, dla których wdrożenie lokalne może być właściwym wyborem dla Twojej organizacji.
Cztery powody, dla których warto wdrożyć lokalnie
1. Bardzo wrażliwe dane
Każdy zespół ds. bezpieczeństwa priorytetowo traktuje poufność danych swojej firmy. Jeśli jednak Twoja organizacja ma do czynienia z informacjami niejawnymi, może być wymagane dopilnowanie, aby dane nigdy nie opuściły Twojego środowiska. W takich przypadkach korzystanie z jakichkolwiek produktów zabezpieczających opartych na chmurze nie jest dobrym pomysłem. Wdrażając platformę SecOps lokalnie, możesz mieć pewność, że poufne dzienniki i inne informacje dotyczące bezpieczeństwa pozostaną bezpiecznie w ścianach Twojego środowiska, zapewniając dodatkową warstwę ochrony.
2. Przepisy prawne
Stopień, w jakim agencje regulacyjne kontrolują branżę, może się znacznie różnić w zależności od rodzaju danych, którymi zarządza organizacja, oraz od tego, czy dane te, jeśli zostaną naruszone, mogą wyrządzić klientom znaczne szkody. Na przykład organizacje zajmujące się opieką zdrowotną, finansami i rządami muszą przestrzegać rygorystycznych wymogów regulacyjnych, takich jak RODO, HIPAA i inne regionalne przepisy dotyczące ochrony danych. Załóżmy, że Twoja organizacja należy do jednej z branż podlegających ścisłym regulacjom. W takim przypadku możesz nie mieć innego wyjścia, jak tylko wdrożyć platformę SecOps lokalnie, aby wyeliminować potencjalne naruszenia przepisów.
3. Dostosowywanie i kontrola wersji
W zależności od możliwości Twojego zespołu ds. bezpieczeństwa i docelowych przypadków użycia może zaistnieć potrzeba wdrożenia niestandardowych konfiguracji i/lub kodu na gotowej platformie SecOps. Podczas pracy z platformą SecOps opartą na chmurze dostawca może ograniczyć możliwość dokonywania tego rodzaju dostosowań platformy. Ponadto dostawca może wprowadzać aktualizacje platformy SecOps z niewielkim lub żadnym wyprzedzeniem, co może wywołać zgagę u Twojego zespołu ds. bezpieczeństwa. Dzięki wdrożeniu lokalnemu Twój zespół ds. bezpieczeństwa może wdrożyć dostosowane zasady bezpieczeństwa i/lub automatyzację, które mogą być trudne do wdrożenia na platformie opartej na chmurze. Ten poziom elastyczności i kontroli może wzmocnić Twój zespół, umożliwiając mu dostosowanie platformy do swoich konkretnych potrzeb i utrzymanie kontroli wersji bez żadnych zewnętrznych ograniczeń.
4. Względy wydajności
Chociaż większość organizacji korzysta z szybkich sieci, które minimalizują opóźnienia, nawet podczas przesyłania lub pobierania dużych zbiorów danych, niektóre mogą mieć problemy z niezawodnością/stabilnością sieci ze względu na lokalizację ich biur. Ponadto zdarzają się sytuacje, w których organizacja lub jej część nie ma połączenia z Internetem, aby zachować zgodność z zasadami wewnętrznymi lub zewnętrznymi. Jeśli jesteś w podobnej sytuacji, jedyną realną opcją jest model wdrażania lokalnego.
Wybór następnej lokalnej platformy SecOps
Chociaż przedstawiłem cztery powody, dla których wdrożenie lokalne SIEM lub może być wymagana platforma operacji bezpieczeństwa, istnieje wiele innych. Niezależnie od powodu, dla którego musisz wdrożyć rozwiązanie lokalnie, kolejnym logicznym pytaniem może być: „Jak wybrać SIEM/Platforma SecOps spełniająca moje potrzeby wdrożeniowe?”
Oto trzy zalecenia dotyczące wyboru platformy lokalnej.
1. Możliwości
Choć powinno to być oczywiste, platformy operacyjne bezpieczeństwa obsługujące możliwości wdrażania lokalnego są bardzo zróżnicowane. Na najniższym końcu spektrum możliwości mogą znajdować się dostawcy reklamujący lokalną platformę do wdrożenia, która umożliwia pozyskiwanie danych dzienników z wielu różnych źródeł, ale wymaga tworzenia, zarządzania i utrzymywania wszystkich reguł wykrywania i korelacji. Ten produkt jest cenionym narzędziem do zarządzania logami, które niewątpliwie na dłuższą metę zmniejszy efektywność Twojego zespołu.
Na drugim końcu spektrum znajdują się produkty z łatwo konfigurowalnymi integracjami, które umożliwiają rejestrowanie alertów bezpieczeństwa stron trzecich, danych z dzienników, ruchu sieciowego oraz strumieni aktywności użytkowników i zasobów. Następnie modele uczenia maszynowego i sztucznej inteligencji, w połączeniu z regułami wykrywania opracowanymi przez dostawców, będą automatycznie wykrywać zaawansowane zagrożenia, bez ingerencji człowieka. Stellar Cyber Open XDR Platforma działa w następujący sposób.
Oceniając opcje, zadawaj pytania dotyczące możliwości i nalegaj na weryfikację koncepcji (PoC) w swoim środowisku, aby zweryfikować twierdzenia dostawcy.
2. Integracje
Jak wspomniałem w moim pierwszym zaleceniu, integracje mają kluczowe znaczenie dla uzyskania korzyści z dowolnej platformy operacji bezpieczeństwa. Każdy, kto pracował z produktem wymagającym znacznych ręcznych, niestandardowych integracji, wie, jaki koszmar może się to szybko przerodzić. Po pierwsze, nie wszystkie zespoły ds. bezpieczeństwa mają umiejętności techniczne potrzebne do opracowania integracji, dlatego muszą albo zawrzeć umowę z zasobem zewnętrznym w celu utworzenia i utrzymania integracji, uiścić dostawcy dodatkowe opłaty za zbudowanie integracji, albo zatrudnić wydzieloną osobę do własnych integracji. . W każdym z tych przypadków efektem jest platforma, która w miarę upływu czasu kosztuje znacznie więcej, niż oczekiwano.
Lepszą opcją jest wybranie platformy, na której dostawca inwestuje swój wysiłek i zasoby w tworzenie integracji, które Twój zespół ds. bezpieczeństwa może łatwo skonfigurować. Na przykład nasza platforma zawiera setki gotowych integracji dostępnych dla wszystkich użytkowników bez dodatkowych kosztów. Co więcej, jeśli klient potrzebuje dodatkowych integracji, rozwijamy je bez dodatkowych kosztów.
Rozmawiając z dostawcami, upewnij się, że rozumieją produkty, które zamierzasz zintegrować i czy ich platforma je obsługuje. Zweryfikuj wszystko, co powiedzą podczas procesu PoC.
3. Mapa drogowa
Niespodziewana informacja, że produkt, w który zainwestowałeś i który stał się centrum procesów związanych z bezpieczeństwem, nie ma przyszłości, może sfrustrować nawet najbardziej doświadczonego lidera ds. bezpieczeństwa.
Na przykład niedawny zakup IBM QRadar przez Palo Alto Networks SIEM Chmura nie zostawiła nic IBM QRadar lokalnie klienci na mrozie. Jeśli ci klienci muszą pozostać lokalnie, potrzebują innego dostawcy, który zaspokoi ich potrzeby w zakresie wdrożeń i pomoże im w szybkiej migracji istniejących danych, konfiguracji i reguł QRadar na nową platformę.
Chociaż produkty posiadające plany działania można objąć działaniami związanymi z akcjonariuszami, takimi jak fuzje lub przejęcia, informacja o planach dostawcy wykraczających poza obecną wersję platformy pozwala przynajmniej wiedzieć, że platforma będzie nadal ewoluować w oparciu o zmiany w krajobraz zagrożeń i potrzeby użytkowników.
Na przykład w Stellar Cyber regularnie omawiamy z obecnymi i potencjalnymi klientami nasz plan działania dotyczący naszej platformy, która może zostać wdrożona lokalnie, w chmurze lub współzarządzana przez wybranego dostawcę usług MSSP. Zachowujemy przejrzystość w stosunku do naszych klientów, aby poinformować ich, że jesteśmy zobowiązani do wspierania w przyszłości wdrożeń chmurowych i lokalnych z tymi samymi możliwościami. To zaangażowanie pozwala również naszym klientom dostosowywać swoje podejście do bezpieczeństwa w miarę zmieniających się sytuacji. Na przykład, jeśli w przyszłości organizacja będzie mogła przejść z wdrożenia lokalnego do chmury, może przeprowadzić tę migrację bezproblemowo dzięki Stellar Cyber bez konieczności uczenia się zupełnie innego produktu.
Myśli końcowe
Bezpieczeństwo nie jest rozwiązaniem uniwersalnym.
Chociaż chmura umożliwia szybkie skalowanie firmy i pomaga zespołowi ds. bezpieczeństwa zarządzać kosztami i zasobami, istnieją ważne powody, dla których warto wdrożyć chmurę. SIEM/XDRPlatforma /SecOps wdrożona lokalnie. Zastosowanie się do prostych zaleceń, które omówiłem, to dobry punkt wyjścia w poszukiwaniu kolejnej platformy. Aby zobaczyć, jak działa Stellar Cyber Open XDR Platforma operacji bezpieczeństwa może spełnić Twoje potrzeby w zakresie wdrażania lokalnego, skontaktuj się z nami już dziś, aby umówić się na osobistą konsultację. Ponadto, jeśli jesteś aktywnym klientem IBM QRadar On-premises i chcesz szybko się przenieść, mamy dla Ciebie specjalną promocję.
