W dzisiejszej ultrakonkurencyjnej Rynek MSSP, właściciele firm szukają sposobów na uatrakcyjnienie swojej oferty dla klientów i ich SOCs bardziej efektywny. Do tego końca MSSP dodać nową technologię do swojej oferty bezpieczeństwa z nadzieją, że potencjalni klienci zobaczą to jako okazję do outsourcingu części lub całości monitorowania bezpieczeństwa. Ta strategia ma pewną wartość; Niestety nowa technologia często nie zapewnia deklarowanych korzyści, co prowadzi do większej rotacji klientów. Tak więc, mimo że Twój zespół ds. technologii i bezpieczeństwa jest na bieżąco z najnowszymi i najlepszymi technologiami bezpieczeństwa, jest niezbędny, czasami musisz spojrzeć na to, co już znajduje się w Twoim stosie bezpieczeństwa.
Jedyną technologią, o której mówię konkretnie, jest twoja SIEM. W zależności od tego, z kim rozmawiasz, jesteśmy obecnie w trzecim lub czwartym pokoleniu SIEM technologia; jednak, kiedy rozmawiam z praktykami, ich poziom frustracji z powodu ich SIEM jest w Defcon.
1. Dostawcy usług MSSP nadal korzystają z SIEM nie dostarcza im tego, czego potrzebują, ponieważ wymontowanie go i zastąpienie czymś, co prawdopodobnie wywoła podobne rozczarowanie, wymagałoby czasu i środków.
Pozwól, że opowiem o trzech sposobach tego starego SIEM (lub nawet nie tak stary SIEM) powoduje więcej szkód niż myślisz.
SIEMsą leniwi
Powiedziałem to, ale wszyscy to wiemy SIEMs, do niedawna nie działały mądrzej, zmuszały do cięższej pracy. Chociaż pozwalały one zbierać wszelkiego rodzaju dzienniki i korelować alerty z różnych kontroli bezpieczeństwa, uzyskany wynik był tylko tak dobry, jak twój najbardziej pomysłowy analityk bezpieczeństwa. Gdyby byli ninja bezpieczeństwa z rozległą wiedzą na temat krajobrazu zagrożeń i potrafili pisać inteligentne reguły korelacji, prawdopodobnie kochałbyś swoje SIEM.
Jeśli Twój zespół jest taki jak większość, w którym firmy próbują zwabić najlepszych graczy, zobaczysz dramatyczną zmianę w swoim SIEMs skuteczność, jeśli odejdą. TAk, NG-SIEM dostawcy starają się rozwiązać ten problem, dostarczając więcej nieszablonowych treści (jury nadal nie sprawdza skuteczności). Niemniej jednak, podobnie jak ten pakiet Oreo, Twoje dzieci otwierają się i zapominają o prawidłowym zamknięciu, ta zawartość szybko staje się nieaktualna, pozostawiając Ci zadanie tworzenia nowych reguł lub przeszukiwania społeczności w poszukiwaniu treści, które możesz zaimportować. Podsumowując, SIEM, Nawet NG-SIEMs, zostawiają ciężką pracę Twojemu zespołowi, co utrudnia Ci dodawanie liczby klientów, których Twój zespół może obsłużyć bez tego obciążenia.
SIEMsą pożeracze danych
Cyberbezpieczeństwo to dziś problem z danymi, zrób to, to jest DUŻY DUŻY problem z danymi. Przy tak wielu produktach używanych codziennie ilość logów generowanych przez typową firmę średniej wielkości jest absurdalna. Podczas gdy określone branże wymagają pełnego gromadzenia i przeglądu dzienników, aby zachować zgodność z tym lub innym rozporządzeniem, wielu klientów, którzy mogą patrzeć na MSSP, nie próbuje rozwiązać problemu zgodności. Zamiast tego wiele osób stara się lepiej identyfikować i łagodzić zagrożenia, zanim zaszkodzą one ich firmie. SIEMs, w ich wrodzonym, wbudowanym dążeniu do kompletnego gromadzenia danych, oznacza, że zespół ds. bezpieczeństwa, który chce zidentyfikować zagrożenia, będzie przedzierał się przez oceany nieistotnych danych z dzienników w nadziei na odkrycie zagrożenia. Nie jest to zadanie niemożliwe, ponieważ prawdopodobnie robisz to dzisiaj, ale wyobraź sobie, że jesteś 49erem płuczącym złoto w latach 1840. XIX wieku. Zamiast używać patelni do przesiewania niewielkich ilości mułu w poszukiwaniu złota, decydujesz się użyć gigantycznego wiadra z nadzieją na wypatrzenie tego cennego minerału. Jak myślisz, które rozwiązanie zajęłoby więcej czasu? Oczywiście wiem, że to nie jest porównanie typu jabłko do jabłka, a nasze zaawansowane możliwości obliczeniowe mogą przyspieszyć ten proces. Jednak zaoszczędzenie kilku minut dziennie się sumuje, szczególnie w przypadku SOC z dziesięcioma, dwudziestoma lub pięćdziesięcioma analitykami ds. bezpieczeństwa. Podsumowanie – SIEMs są świetne w rozwiązywaniu przypadków użycia czystej zgodności, ponieważ zbierają wszystkie dane z dzienników, ale w przypadku zastosowań związanych z bezpieczeństwem, które zwykle sprzedajesz, potrzebujesz technologii, która rozumie różnicę między odpowiednimi dziennikami bezpieczeństwa a nieistotnymi i zbiera tylko to, czego potrzebuje .
SIEMnie lubię wszystkich
Kiedy prowadziłem marketing produktu dla innego dostawcy (który pozostanie bezimienny), jednym z najczęstszych pytań było: „Czy wspierasz produkt XYZ?” lub „Czy mogę wprowadzić dane z produktu ABC?” Doświadczeni nabywcy zabezpieczeń, którzy raz lub dwa razy byli w cyrku dostawców, rozumieją, w jaki sposób dostawcy zabezpieczeń bagatelizują brak gotowych integracji z Twoimi produktami. Będą mówić takie rzeczy jak: „Mogę to dla ciebie zdobyć, bez problemu” lub „Jestem pewien, że jest w drodze; pozwól mi wrócić do ciebie”, podczas gdy w rzeczywistości będą musieli wrócić do swojego zespołu integracyjnego i błagać i błagać o nową integrację, zwłaszcza jeśli muszą sfinalizować umowę, aby osiągnąć swój numer na kwartał. Teraz ktoś z zespołu integracyjnego tworzy jednorazowy skrypt, który pokazuje dane płynące z Twojego produktu do SIEM backend, mając nadzieję, że nikt nie weźmie grzebienia z drobnym zębem do tego, co zostało dostarczone. Ponownie, jeśli jesteś w pobliżu przez minutę, jestem pewien, że brzmi to znajomo.
Smutna rzeczywistość jest taka, że najbardziej SIEMs są trudne do zintegrowania, biorąc pod uwagę podstawową złożoność ich modeli danych. Możesz być w stanie napisać swoje integracje, a jeśli tak jest, to świetnie, ale co się stanie, gdy SIEM sprzedawca wprowadza nową wersję i przerywa integrację? Wracamy do deski kreślarskiej. Konkluzja – gotowe integracje z a SIEM że praca jest tym, czego powinieneś oczekiwać od swojego SIEM dostawca. Jeśli nie jest to to, co otrzymujesz dzisiaj, czas wdrożenia klienta ucierpi, a w najgorszym przypadku stracisz klientów czekających na Twój SIEM dostawca dostarczy integrację, która – jak masz nadzieję – będzie działać.
Pomogliśmy wielu MSSP zobaczyć korzyści z pozbycia się ich starych lub nie tak starych SIEM i zastępując go naszym Gwiezdny Cyber Open XDR Platforma. Dzięki naszej platformie zyskujesz:
– Właściwa automatyzacja tam, gdzie jej potrzebujesz: Celem Stellar Cyber jest maksymalne zautomatyzowanie wykrywania, badania i naprawy zagrożeń. Kiedy przechodzisz na Stellar Cyber, twoje dni martwienia się o przestarzałe reguły korelacji dobiegają końca. Stellar Cyber zajmuje się podnoszeniem ciężarów, umożliwiając szybsze pozyskiwanie klientów.
– Inteligentne zbieranie danych: zbieramy dane istotne z punktu widzenia bezpieczeństwa, dzięki czemu AI / ML silnik wykrywania zagrożeń w celu jak najszybszej identyfikacji zagrożeń. Gdy liczą się sekundy, Stellar Cyber zapewnia, że masz tyle sekund, ile możesz.
- Wszyscy są mile widziani: Jeżeli twój SIEM i Stellar Cyber organizowali imprezy, nasza impreza wyglądałaby jak zjazd klasowy, na którym wszyscy spędzają czas w swoim życiu; ten SIEM impreza może wyglądać jak zgromadzenie ludzi, którzy nigdy się nie spotkali. Innymi słowy, architektura Stellar Cyber jest otwarta, z integracjami z niemal każdym popularnym narzędziem bezpieczeństwa, IT i produktywności, dzięki czemu wdrażanie klientów i rozwój Twojej firmy są szybsze niż kiedykolwiek.
Wiele zawdzięczamy SIEMs. Otworzyli nam oczy na wagę analizy danych, ale dziś można zrobić lepiej niż SIEM ty używasz. Aby dowiedzieć się więcej o Stellar Cyber, zapoznaj się z naszym Specyficzne dla MSSP pięciominutowa wycieczka.
