Lições aprendidas com nossa busca e integração de nossos XDR
Internet confiável agora está implantando Stellar Cyber XDR –como um SOC-solução monitorada ou como Infraestrutura como Serviço.
A grande propaganda em torno de XDR é ensurdecedor para aqueles que estão considerando um XDRÉ difícil separar o joio do trigo em meio a tantos sites sofisticados e propagandas enganosas para saber o que é realmente autêntico. Por isso, decidi compartilhar algumas lições aprendidas — da perspectiva do CEO de uma startup autofinanciada. MSSPs, espero que isso ajude em suas decisões de compra.
Nos últimos quatro anos, temos sido um Fortinet MSSP morto na lã. Adoramos nossos firewalls Fortinet, com nosso pessoal certificado pelo NSE7, trabalhando duro para ajustar as máquinas de alta velocidade repletas de recursos para se curvar à nossa vontade. Por várias razões, decidimos há cerca de dois anos começar a procurar uma maneira de acomodar as solicitações de possíveis clientes para não ter que rasgar e substituir seus sistemas de segurança existentes.
Também, SOC, NOC, EDR, MDR, NDR, MSSPsPor que alguém não combinaria tudo isso em um único sistema que entendesse TODOS os registros e usasse um pouco de aprendizado de máquina para treinar a IA e, assim, prestar um melhor atendimento? SOC Analistas? Tenho um velho amigo que costumava chamar isso de Caixa de Deus. Ela sabe tudo.
XDR é o início da Caixa de Deus.
Nossos requisitos:
- Ele deve integrar todos os outros fornecedores no ambiente de um cliente sem exigir que eles eliminem e substituam sua infraestrutura existente.
Não queríamos ter um agente implantado em cada computador. Já possuem AV e Anti-Evasão. Não queríamos carregar em outro sistema de endpoint.
Queremos a capacidade de integrar a análise de fluxo de rede para detecção de anomalias, mas podemos não querer isso 100% do tempo. O Flow produz grandes volumes de dados que queríamos poder ativar e desativar conforme necessário com base em outros indicadores.
- Ele deve acomodar todos os requisitos de coleta/análise de logs NIST 800-171.
Embora ISO, CIS, HIPAA ou PCI exijam a agregação e análise de todos esses logs, o NIST 800-171 requer entradas de log monitoradas de praticamente todos os dispositivos para cada evento – infraestrutura, endpoints e segurança.
Precisamos encontrar uma maneira melhor de colocar os olhos nesses logs e fazê-lo de uma maneira que nossa base de clientes com foco em SMB possa pagar. Para fazer isso, precisamos ser capazes de trazê-los para um sistema que entenda cada um dos logs necessários.
-
Deve ser multilocatário.
Na época, eu não fazia ideia de quanta dúvida eu teria em relação à IA até depois de assistir aos vários vídeos. XDRCorra. Esteja preparado com uma equipe inteligente.
Comparamos um com o outro, realizando testes A|B usando FortiAnalyzer e dados de log brutos em nossa pilha Lucene como linhas de base
-
Idealmente, o XDR deve acomodar qualquer fornecedor, não apenas aqueles construídos pela XDR fornecedor.
Alguns XDR Os fornecedores que analisamos construíam seus próprios sistemas AV, IPS, etc. Outros utilizavam componentes de terceiros como OEM, mas não quiseram comentar sobre isso.
Independentemente disso, quero saber quais ferramentas estão integradas ao XDR São maduros e testados.
- Se houver um componente de nuvem, quero uma prova de que seu ambiente de nuvem é seguro.
Todos os dados de vulnerabilidade dos nossos clientes acabarão armazenados lá. Não quero que ocorra uma violação de dados em nossa empresa. XDR Um fornecedor está vazando informações sobre vulnerabilidades de clientes. Do ponto de vista da espionagem, este é um alvo INCRIVELMENTE valioso. Deve ser seguro.
Avaliamos a segurança de back-end de todos os nossos fornecedores. Quando fizemos isso durante nossa busca, um deles... XDR O fornecedor tinha um produto incrível, mas oferecia serviços em um ambiente de nuvem que nunca haviam sido testados em termos de segurança!
A conformidade é boa, mas mais importante? Mostre-me como você protege os dados. Deixe-me sentir confortável por você ter tomado as medidas para proteger os dados. Fiquei surpreso com mais de um que não poderia fazer isso.
- A estrutura de preços deve ser 100% previsível.Custos variáveis são fatais. Eu queria ter certeza de que não teríamos surpresas. Se um XDR O fornecedor pergunta: "Quantos endpoints você tem?" CORRA. A estrutura de preços deve permitir que a incluamos nos custos da assinatura, com uma margem razoável. No mundo dos MSSPs, SOC Os custos podem nos levar ao fracasso mais rapidamente do que qualquer outra coisa. Como um MSSP (provedor de serviços de segurança gerenciados) pode crescer sem comprometer o orçamento com custos cada vez mais altos de mão de obra em segurança da informação?
Nossa busca pela Cinderela XDR (Aquele que nos serve perfeitamente!):
Analisamos dezenas de fornecedores — você já deve ter ouvido falar deles. Após quase dois anos de análise competitiva, demonstrações e testes com quase uma dúzia de empresas, chegamos à conclusão de que... XDR Entre as empresas, reduzimos nosso foco a duas, ambas em fase de testes, e a Stellar Cyber nos conquistou.
Este foi um investimento de capital significativo para nós. Queríamos ter certeza de que faríamos isso direito e poderíamos recuperar nosso investimento em volume e eficiência adicionais. Em vez de usar a versão em nuvem, compramos o servidor de 88 núcleos e 20 TB. O sistema foi projetado para analisar grandes quantidades de dados de dezenas de dispositivos de infraestrutura, logs de endpoint e sistemas de segurança. Queríamos protegê-lo, então o armazenamos em nossas instalações seguras no Iron Mountain Datacenter e realizamos nosso primeiro teste de 'coma sua própria comida de cachorro' durante o início do verão do ano passado.
Temos MUITAS lições aprendidas. Não poderei compartilhar todos eles em um pequeno artigo, mas achei que seria bom compartilhar alguns dos maiores.
-
XDR Oferece uma solução maravilhosa para reunir praticamente qualquer informação imaginável em um único painel. Achamos isso impressionante.
-
Esta não é uma ferramenta para iniciantes. XDR Pode introduzir ambiguidade onde não deveria haver nenhuma. Você precisará de uma equipe inteligente para avaliar cada uma delas. XDR acerto antes de ativar o SOAR. Enquanto a IA aprende com o XDR Com uma base de clientes maior, o fornecedor também aprende com as ações realizadas por sua analistas. Eles precisam ser inteligentes.
-
Os mais XDR soluções deseja precificar pelo endpoint. Este é um matador de negócios. Se um vendedor perguntar: “Quantos endpoints você tem?”… CORRA.
XDR Oferece uma solução maravilhosa para reunir praticamente qualquer informação imaginável em um único painel. Achamos isso impressionante.
XDR É uma ideia fantástica, mas uma má execução pode arruinar o seu dia. Os profissionais de TI querem imediatamente usar tudo (e até a pia da cozinha) nessa caixa mágica. E embora eu entenda perfeitamente o desejo dos nerds por "mais dados são sempre bem-vindos", isso dificultou o processo de treinamento para nossa equipe. SOC analistas são brutalmente duros.
Esses dispositivos consomem praticamente qualquer quantidade de dados que você conseguir inserir neles. Recomendamos não inserir mais de um fluxo de dados por vez, pelo menos até você se acostumar com o resultado que a máquina produzirá. Por quê? A máquina gera resultados por conta própria, com base em regras predefinidas. Você perceberá que alguns resultados são bons, mas nem todos — e serão muitos. SOC Os analistas precisam saber mais. Inicialmente, eles terão que analisar minuciosamente cada alerta para verificar e validar — o que aconteceu? XDR Como chamar isso? Estava errado? Quais ações devem ser tomadas? IA, automação? A caixa mágica? Tudo isso é ótimo, mas sem um conhecimento sólido sobre o que a máquina considera bom e ruim, vocês podem se sentir sobrecarregados. Nós nos sentimos. Há muita coisa escondida nessa caixa preta. Vão devagar. Deixem seus analistas aprenderem. Incorporem um fluxo de dados por vez.
Recomendação de Stutzman: Velocidade mata. Vai devagar. Comece com um feed de dados. Obtenha-o normalizado e adicione o próximo.
Saiba isso. XDR Não é uma ferramenta para iniciantes.
Eu pego alguns SOC Faço mudanças a cada trimestre para manter minhas habilidades afiadas. Isso me mantém em contato com meu... SOCE talvez eu faça isso porque é um dos meus trabalhos favoritos! Enfim, durante meu primeiro turno com um novo Stellar em operação, em nosso primeiro XDR Cliente, por volta das 2h da manhã, me vi observando atividades internas por trás dos firewalls, mas claramente presentes na rede, com um alerta informando que senhas em texto não criptografado estavam sendo transmitidas em grande volume para quinze sistemas diferentes. Este banco não estava aberto às 2h da manhã.
Achei que havia apenas duas explicações possíveis: verificação de vulnerabilidade ou comprometimento. Acontece que o cliente estava executando o OpenVAS para testar nossa resposta (passamos!), mas… como vimos isso? Estou olhando dados internos de lugares que nunca vimos antes! Agora estávamos capturando logs do Windows, logs de infraestrutura, logs de autenticação e fluxo de rede do banco de 60 pessoas. Estávamos extraindo quase 40 GB de logs por dia. Eu me senti como o Sr. Magoo, que finalmente conseguiu bons óculos e estava vendo cores pela primeira vez!
Com a integração completa, mantivemos nosso FortiAnalyzer e Lucene Stack para permitir que nossos analistas se afastem do trabalho. XDR ambiente e visualizar os dados apresentados de uma forma com a qual já estão familiarizados. Faremos uma transição paralela em algum momento, quando as licenças antigas expirarem. No entanto, à medida que fazemos essa transição, nossos analistas de Nível 1 (analistas de triagem) estão sendo forçados a aprender habilidades mais aprofundadas. A triagem provavelmente se tornará coisa do passado. XDR Assume ações automatizadas para tarefas mais rotineiras, como bloquear um novo scanner ou validar as descobertas de ferramentas antes de encaminhá-las para ação.
Recomendação de Stutzman: seus analistas precisam ser inteligentes o suficiente para entender o que está acontecendo nos dados antes que a IA e a automação assumam o controle e a nova máquina implante erros. Tenho sessenta anos e faço isso há muito tempo, mas ainda queria um segundo par de olhos. Esta não é uma ferramenta de nível de entrada. É uma ferramenta de nível especializado.
Os mais XDR As soluções que buscam precificar são baseadas no ponto final. Isso inviabiliza o negócio.
Se um XDR O fornecedor pergunta: "Quantos endpoints você tem?" CORRA!! A contagem de endpoints não funciona em XDR Preços. Você não vai gostar da surpresa. Não posso enfatizar isso o suficiente.
Aprendemos isso da maneira mais difícil. Nirvana para um MSSP é ter dados de vários dispositivos em um painel de vidro. Instalamos o Stellar Cyber operacionalmente no verão passado para nossas próprias operações internas. Acreditamos em “coma sua própria comida de cachorro” antes de iniciar as vendas (usamos tudo o que vendemos).
Pedi ao meu diretor de TI para proceder passo a passo. Que inserisse um fluxo de informações no sistema e observasse como ele se normalizava. Infelizmente, seguindo a orientação do nosso fornecedor, ele instalou uma porta espelhada (split port) no nosso switch principal e direcionou todo o tráfego para o Stellar. O fluxo ficou incontrolável. XDR Geramos um pseudofluxo para mais de 40,000 dispositivos. Cada dispositivo IoT, celular, computador, servidor, cada dispositivo com um endereço IP localizado atrás de um de nossos firewalls, em qualquer lugar do nosso portfólio de clientes, passou a ser contabilizado como um endpoint. Nossa equipe de vendas foi excelente. Não fomos cobrados enquanto decidíamos como normalizar os dados, então interrompemos o fluxo contínuo e começamos com um cliente por vez, começando com nossa própria infraestrutura. Não queríamos perder a fidelidade dos dados, então optamos por um licenciamento por volume baseado na quantidade de dados, e não no número de endpoints.
Recomendação de Stutzman: peça isso antecipadamente e jogue o quanto quiser.
Temos nosso sistema há quase um ano, primeiro como prova de valor a partir de março passado, depois entrando em operação durante o verão e agora totalmente operacional, implantando-o em suporte a muitos projetos relacionados ao NIST 800-171 que em que estivemos envolvidos e onde temos clientes com ambientes heterogêneos. É um ótimo trabalho. Estamos 100%? Não. Ainda exigimos que os analisadores sejam escritos para ferramentas que ainda não estão disponíveis. Ainda não ativamos totalmente o SOAR e, francamente, estou hesitante em fazê-lo em alguns de nossos clientes mais frágeis, onde não sabemos que tipo de efeito cascata a(s) ação(ões) automatizada(s) pode(m) ter.
Estamos felizes por termos investido nisso? XDRCom certeza. O sistema custa praticamente o mesmo que dois bons analistas, mas estou confiante de que ele nos permitirá alcançar clientes que antes não teríamos condições de atender.
Compartilhar é se importar. Aprendemos algumas lições difíceis e passamos por momentos orçamentários assustadores, quando pensei que teríamos que emitir cheques enormes para pagar por isso — mais dinheiro do que teríamos na conta em um ano. Nossa equipe da Stellar tem sido incrível, mesmo sendo um peixe pequeno em um oceano maior. Espero que isso tenha sido útil para você ao considerar o seu próprio projeto. XDR comprar. Ou, se preferir, entre em contato conosco. Teremos o maior prazer em criar sua XDR em nosso novo ambiente multi-inquilino Stellar Cyber.
