Em 2012, trabalhei para um dos primeiros fornecedores a oferecer segurança como serviço. Naquela época, proteger o ambiente na nuvem era algo de ponta, e muitas equipes de segurança temiam introduzir o que consideravam mais um ponto de falha em sua estrutura de segurança. Hoje, implantar uma solução de segurança na nuvem é algo muito mais simples. SIEM, XDRA plataforma SecOps em servidores físicos (bare metal) parece antiquada para muitos dos líderes de segurança da atualidade.
De fato, existem razões válidas para que as equipes de segurança considerem a nuvem como sua opção preferida de implantação de produtos de segurança, desde a aceleração da implantação até a redução de custos e a flexibilidade de acessar o produto a partir de qualquer navegador seguro. Dito isso, uma equipe de segurança tem razões igualmente válidas para optar por uma abordagem de plataforma de operações de segurança local. Aqui estão quatro razões pelas quais uma implantação local pode ser a escolha certa para sua organização.
Quatro razões para implementar no local
1. Dados altamente sensíveis
Toda equipe de segurança prioriza a confidencialidade dos dados de sua empresa. No entanto, se sua organização lida com informações sigilosas, você pode ser obrigado a garantir que os dados nunca saiam do seu ambiente. Nesses casos, o uso de produtos de segurança baseados em nuvem é inviável. Ao implantar sua plataforma SecOps localmente, você pode ter certeza de que seus registros confidenciais e outras informações de segurança permanecerão seguros dentro do seu ambiente, fornecendo uma camada extra de proteção.
2. Regulamentos
O grau de escrutínio que as agências reguladoras exercem sobre um setor pode variar amplamente, dependendo do tipo de dados que a organização manipula e do potencial desses dados, se comprometidos, de causar danos significativos aos clientes. Por exemplo, organizações de saúde, finanças e governo devem cumprir requisitos regulatórios rigorosos, como GDPR, HIPAA e outras leis regionais de proteção de dados. Suponha que sua organização faça parte de um desses setores altamente regulamentados. Nesse caso, você pode não ter escolha a não ser implantar sua plataforma de SecOps localmente para eliminar potenciais violações regulatórias.
3. Personalização e Controle de Versão
Dependendo das capacidades da sua equipe de segurança e dos casos de uso pretendidos, pode ser necessário implantar algumas configurações e/ou códigos personalizados em uma plataforma SecOps pronta para uso. Ao trabalhar com uma plataforma SecOps baseada em nuvem, o fornecedor pode restringir sua capacidade de fazer esse tipo de personalização na plataforma. Além disso, o fornecedor pode aplicar atualizações à plataforma SecOps com pouco ou nenhum aviso prévio, o que pode causar alguma dor de cabeça à sua equipe de segurança. Com uma implantação local, sua equipe de segurança pode implementar políticas de segurança personalizadas e/ou automação que podem ser difíceis de implementar em uma plataforma baseada em nuvem. Esse nível de flexibilidade e controle pode capacitar sua equipe, permitindo que ela adapte a plataforma às suas necessidades específicas e mantenha o controle de versão sem quaisquer restrições externas.
4. Considerações de desempenho
Embora a maioria das organizações trabalhe com redes de alta velocidade capazes de minimizar a latência, mesmo ao carregar ou baixar grandes conjuntos de dados, algumas podem ter dificuldades com a confiabilidade/estabilidade da rede devido à localização de seus escritórios. Além disso, há situações em que uma organização ou parte dela não possui conexão com a internet para cumprir políticas internas ou externas. Se você estiver em uma situação semelhante, o modelo de implantação local é sua única opção real.
Escolhendo sua próxima plataforma SecOps local
Embora eu tenha apresentado quatro razões pelas quais uma implementação local de um SIEM Uma plataforma de operações de segurança pode ser necessária, entre muitas outras. Independentemente do motivo da implantação local, a próxima pergunta lógica seria: "Como escolho uma plataforma de operações de segurança?" SIEMQual plataforma SecOps atende às minhas necessidades de implantação?
Aqui estão três recomendações ao selecionar sua plataforma local.
1. Capacidades
Embora isso seja óbvio, as plataformas de operação de segurança que oferecem suporte a recursos de implantação local variam bastante. Na extremidade inferior do espectro de recursos, você pode encontrar fornecedores promovendo uma plataforma implantável local que permite a ingestão de dados de log de diversas fontes, mas exige a criação, o gerenciamento e a manutenção de todas as regras de detecção e correlação. Este produto é uma ferramenta de gerenciamento de logs glorificada que, sem dúvida, tornará sua equipe menos eficaz a longo prazo.
No outro extremo do espectro, encontram-se produtos com integrações facilmente configuráveis, capazes de capturar alertas de segurança de terceiros, dados de log, tráfego de rede e fluxos de atividades de usuários e ativos. Em seguida, modelos de aprendizado de máquina e inteligência artificial, combinados com regras de detecção definidas pelo fornecedor, descobrirão ameaças avançadas automaticamente, sem intervenção humana. O Stellar Cyber Open XDR A plataforma funciona desta maneira.
Ao avaliar suas opções, faça perguntas investigativas sobre os recursos e insista em uma prova de conceito (PoC) em seu ambiente para validar as alegações do fornecedor.
2. Integrações
Como mencionado na minha primeira recomendação, as integrações são essenciais para extrair valor de qualquer plataforma de operações de segurança. Qualquer pessoa que já tenha trabalhado com um produto que exige integrações manuais e personalizadas significativas sabe o pesadelo que isso pode rapidamente se transformar. Por exemplo, nem todas as equipes de segurança possuem as habilidades técnicas para elaborar suas integrações, portanto, precisam contratar um recurso externo para criar e manter as integrações, pagar taxas adicionais ao fornecedor para criá-las ou contratar um recurso dedicado para cuidar das integrações. Em qualquer um desses casos, o resultado é uma plataforma que custa muito mais do que o esperado com o passar do tempo.
A melhor opção é selecionar uma plataforma onde o fornecedor invista seus esforços e recursos na criação de integrações que sua equipe de segurança possa configurar facilmente. Por exemplo, nossa plataforma inclui centenas de integrações pré-criadas, disponíveis para todos os usuários sem custo adicional. Além disso, se um cliente precisar de integrações adicionais, nós as desenvolvemos sem custo adicional.
Ao conversar com os fornecedores, certifique-se de que eles entendam os produtos que você pretende integrar e se a plataforma deles os suporta. Valide tudo o que eles disserem durante o processo de PoC.
3. Roadmap
Descobrir inesperadamente que um produto no qual você investiu e incorporou como o centro dos seus fluxos de trabalho de segurança não tem futuro pode frustrar até mesmo o líder de segurança mais experiente.
Por exemplo, a recente aquisição do IBM QRadar pela Palo Alto Networks. SIEM Cloud deixou qualquer coisa IBM QRadar no local clientes no escuro. Se esses clientes precisarem permanecer no local, precisarão de outro fornecedor para atender às suas necessidades de implantação e ajudá-los a migrar rapidamente seus dados, configurações e regras existentes do QRadar para a nova plataforma.
Embora produtos com roteiros possam ser envolvidos em ações relacionadas a acionistas, como fusões ou aquisições, ver que o fornecedor tem planos além da versão atual da plataforma pelo menos permite que você saiba que a plataforma continuará a evoluir com base nas mudanças no cenário de ameaças e nas necessidades do usuário.
Por exemplo, aqui na Stellar Cyber, revisamos regularmente nosso roteiro com clientes e potenciais clientes para nossa plataforma, que pode ser implantada localmente, na nuvem ou cogerenciada pelo MSSP de sua escolha. Somos transparentes com nossos clientes para informá-los de nosso compromisso em oferecer suporte a implantações locais e na nuvem com os mesmos recursos no futuro. Esse compromisso também permite que nossos clientes adaptem sua abordagem de segurança conforme as mudanças para eles. Por exemplo, se a organização puder migrar de uma implantação local para a nuvem no futuro, ela poderá fazer essa migração sem problemas com a Stellar Cyber, sem precisar aprender um produto completamente diferente.
Pensamentos de Encerramento
A segurança não é uma solução única para todos.
Embora a nuvem ofereça a capacidade de expandir rapidamente os negócios e ajude a equipe de segurança a gerenciar seus custos e recursos, existem razões válidas para implantar um ambiente virtual. SIEM/XDRPlataforma SecOps local. Seguir as recomendações simples que mencionei é um bom ponto de partida na sua busca pela próxima plataforma. Para ver como a Stellar Cyber Open XDR A Plataforma de Operações de Segurança pode atender às suas necessidades de implantação local. entre em contato conosco hoje para agendar uma consulta pessoal. Além disso, se você é um cliente ativo do IBM QRadar On-premises e quer migrar rapidamente, temos uma promoção especial só para você.
