Oczywiste jest, że nie ma idealnego produktu do cyberbezpieczeństwa.
Chociaż istnieje wiele doskonałych produktów, z których profesjonaliści w dziedzinie bezpieczeństwa korzystają na co dzień, aby zapewnić bezpieczeństwo swoim organizacjom, każdy z nich ma w sobie coś, co mogłoby być lepsze. Jednak w miarę jak stosy zabezpieczeń stają się coraz bardziej złożone, wszystkie te “mniej niż idealny” elementy razem wzięte mogą spowodować codzienny koszmar. Kluczem dla liderów zespołów ds. bezpieczeństwa jest uświadomienie sobie, kiedy problem, jaki powoduje stos zabezpieczeń, przekracza możliwości zespołu.
Mamy ponad 7,000 klientów korzystających z naszych usług Open XDR Platforma SecOps. W rozmowach z naszymi klientami często dyskutują, w jaki sposób mogliby wyeliminować zbędne, mniej wartościowe produkty ze swojego stosu zabezpieczeń, głównie ze względu na szereg funkcji wbudowanych w naszą platformę. Wielokrotnie w tych rozmowach słyszałem trzy frustracje, które podsunęły mi pomysł napisania tego bloga. Oto trzy sygnały ostrzegawcze, że możesz być gotowy na zmianę stosu zabezpieczeń.
- Spędzasz więcej czasu na ściganiu dostawcy niż atakującego: Każdy opracowany produkt ma wady. To powiedziawszy, nie wszystkie wady są sobie równe. Analitycy bezpieczeństwa są przyzwyczajeni do pracy nad drobnymi problemami w produkcie, które, choć irytujące, pozwalają im na zakończenie dochodzenia. Jednak ich zdolność do zapewniania wyników w zakresie bezpieczeństwa zostaje gwałtownie zatrzymana, gdy coś krytycznego się kruszy. Raz na bardzo długi czas może się to zdarzyć w przypadku każdego produktu zabezpieczającego, ale kiedy staje się to regularnym zjawiskiem, jest to duży czerwony migający znak ostrzegawczy. Jeśli Twój dostawca stale musi wdrażać poprawki, które w efekcie psują inne rzeczy, nadszedł czas, abyś zaczął rozważać opcje, aby powiedzieć udanej podróży temu sprzedawcy i jego zepsutemu produktowi.
- Twoja lista kontaktów z dostawcami jest dłuższa niż książka telefoniczna: Wiele lat temu, kiedy cyberbezpieczeństwo było „proste” (wstaw śmiech), zespoły ds. bezpieczeństwa zajmowały się zaledwie kilkoma produktami, aby wykonać swoją pracę. Jednak obecnie wiele zespołów ds. bezpieczeństwa pracuje z ponad pięćdziesięcioma różnymi produktami i dostawcami. Chociaż ciągłe dodawanie najnowszego i najlepszego produktu do stosu zabezpieczeń może być atrakcyjne, łatwo jest wymknąć się spod kontroli.
Wiele lat temu, kiedy pracowałem z firmą nad potencjalną transakcją, CISO tej firmy zadał pytanie, które zawsze pamiętam. Zaproponowaliśmy jego zespołowi nową technologię, która połączyła kilka produktów znanych większości zespołów ds. bezpieczeństwa. Jednak odkąd pojawił się nasz produkt i kategoria produktów, nie było dla niego jasne, czy nasz produkt może zastąpić niektóre produkty jego zespołu. W trakcie spotkania powiedział m.in. „Powiedz mi dokładnie, czego mogę się pozbyć, jeśli przyniosę twój produkt”. Pamiętam, że trochę się zdziwiłem, że tego nie zauważył, ale kiedy otrząsnąłem się z szoku, powiedziałem mu, jaką technologię mógłby wyeliminować, gdyby wybrał nasz produkt. Faktem jest, że nowoczesne zespoły ds. bezpieczeństwa mają więcej niż wystarczająco technologii, w rzeczywistości zbyt dużo, od zbyt wielu dostawców, co widać na liście dostawców, z którymi współpracują liderzy ds. bezpieczeństwa. Nawet jeśli kupują produkty za pośrednictwem zaufanej firmy będącej partnerem w zakresie bezpieczeństwa, nadal potrzeba dużo energii mózgowej i czasu, aby śledzić, kto ci co sprzedał. Jeśli brzmi to znajomo, zacznij szukać sposobów na konsolidację (tzw. czysty dom) stosu zabezpieczeń od mniejszej liczby dostawców. - „FP” i „DA” pojawiają się zbyt często: Byłoby fantastycznie, gdyby wszyscy dostawcy produktów cyberbezpieczeństwa współpracowali ze sobą, aby zapewnić wspólny model danych z możliwością współdzielenia danych i mocy obliczeniowej, aby zapewnić, że produkty wszystkich będą generować jak najmniej fałszywych trafień i duplikatów alertów, ale tak się po prostu nie stanie. Typowi dostawcy nie są chętni do współpracy z innymi dostawcami; jeśli to robią, zwykle robią absolutne minimum. Poza tym faktem, bezpieczeństwo cybernetyczne produkty cierpią z powodu pełzania zakresu, co oznacza, że produkt, który ma zapewniać możliwości rozwiązania problemu X, może skończyć z pewnymi hałaśliwymi funkcjami, które rzekomo rozwiązują problemy Y i Z. Dlatego analitycy bezpieczeństwa rutynowo poświęcają wysiłek na badanie zagrożenia, które kończy się fałszywym alarmem lub, co gorsza, duplikatem alertu z innego produktu, nad którym inny analityk już bada. Jeśli brzmi to znajomo, nadszedł czas, aby wprowadzić zmiany dla zdrowia psychicznego wszystkich.
Nie ma uniwersalnego podejścia do cyberbezpieczeństwa. Na rynku jest tak wiele opcji, ale to nie znaczy, że zespoły ds. bezpieczeństwa muszą dzielić swój stos zabezpieczeń na części.
Rutynowo pomagamy organizacjom eliminować złożoność i koszty stosu zabezpieczeń za pomocą naszych rozwiązań Open XDR Platforma. Z Nowa generacja SIEMPlatforma Threat Intel, analiza bezpieczeństwa, UEBA, NDR, IDS, Malware Analysis i możliwości SOAR zawarte w naszej platformie oraz nasza zdolność do pracy z innymi produktami, z których korzystają za pośrednictwem naszej architektura integracji niezależna od danych, organizacje te nie tylko usprawniły stos zabezpieczeń, ale teraz zapewniają lepsze, bardziej spójne wyniki w zakresie bezpieczeństwa.
Najważniejsze: Możesz zmienić to, czego używasz dzisiaj. Uważaj na te trzy znaki i wykonaj ruch, gdy nadejdzie właściwy czas.
