No ultracompetitivo de hoje mercado MSSP, os empresários estão procurando maneiras de tornar suas ofertas mais atraentes para os clientes e seus SOCs mais efetivo. Para esse fim MSSPs adicionar novas tecnologias à pilha de ofertas de segurança com a esperança de que os clientes em potencial vejam essa adição como uma oportunidade de terceirizar parte ou todo o monitoramento de segurança. Há alguma validade nessa estratégia; Infelizmente, a nova tecnologia muitas vezes não entrega os benefícios declarados, levando a uma maior rotatividade de clientes. Portanto, embora seja essencial manter sua equipe de tecnologia e segurança a par da melhor e mais recente tecnologia de segurança, às vezes você deve observar o que já está em sua pilha de segurança.
A única tecnologia a que me refiro especificamente é a sua SIEM. Dependendo de com quem você fala, estamos atualmente na terceira ou quarta geração de SIEM tecnologia; no entanto, quando falo com os praticantes, seu nível de frustração com o SIEM está na Defcon.
1. Os MSSPs continuam a usar um SIEM que não está entregando o que eles precisam devido ao tempo e aos recursos necessários para remover e substituir o sistema antigo por algo que provavelmente os deixará com uma decepção semelhante.
Deixe-me falar sobre três maneiras tão antigas SIEM (ou até mesmo não tão velho) SIEM) está causando mais danos do que você pensa.
SIEMs são preguiçosos
Lá, eu disse isso, mas todos nós sabemos disso SIEMs, até recentemente, não funcionava de forma mais inteligente, eles faziam você trabalhar mais. Embora eles permitissem coletar todos os tipos de logs e correlacionar alertas de diferentes controles de segurança, o resultado que você obteria seria tão bom quanto seu analista de segurança mais engenhoso. Se eles fossem um ninja de segurança com uma vasta compreensão do cenário de ameaças e soubessem como escrever regras de correlação inteligentes, você provavelmente estava adorando seu SIEM.
Se sua equipe for como a maioria, onde as empresas tentam atrair seus melhores jogadores, você verá uma mudança dramática em seu SIEMs eficácia se eles saíssem. Sim, NG-SIEM os provedores estão tentando resolver esse problema fornecendo mais conteúdo pronto para uso (o júri ainda não sabe sobre sua eficácia). No entanto, assim como aquele pacote de Oreo que seus filhos abrem e esquecem de fechar corretamente, esse conteúdo rapidamente se torna obsoleto, deixando você com a tarefa de criar novas regras ou vasculhar comunidades por conteúdo que você pode importar. Linha de fundo, o SIEM, Mesmo NG-SIEMs, estão deixando o trabalho pesado para sua equipe, dificultando sua capacidade de adicionar o número de clientes que sua equipe poderia atender sem esse fardo.
SIEMs são viciados em dados
A cibersegurança hoje é um problema de dados, risque isso, é um BIG BIG problema de dados. Com tantos produtos em uso diariamente, o volume de logs que uma empresa de médio porte gera é ridículo. Embora setores específicos exijam coleta e revisão completas de logs para cumprir com este ou aquele regulamento, muitos clientes que podem consultar um MSSP não estão tentando resolver um problema de conformidade. Em vez disso, muitos estão procurando fazer um trabalho melhor na identificação e mitigação de ameaças antes que elas possam prejudicar seus negócios. SIEMsA tendência inerente dos sistemas de armazenamento de dados a priorizar a coleta completa de informações significa que uma equipe de segurança que busca identificar ameaças terá que vasculhar oceanos de dados irrelevantes em busca de um perigo. Não é uma tarefa impossível, já que você provavelmente faz isso hoje em dia, mas imagine se você fosse um garimpeiro da Corrida do Ouro de 1840. Em vez de usar uma bateia para peneirar pequenas quantidades de sedimentos em busca de ouro, você decide usar um balde gigante na esperança de encontrar o valioso mineral. Qual você acha que levaria mais tempo? Claro, eu sei que esta não é uma comparação direta, e nossos recursos computacionais avançados podem acelerar o processo. No entanto, economizar alguns minutos por dia faz diferença, especialmente ao longo de um período de tempo considerável. SOC com dez, vinte ou cinquenta analistas de segurança. Resumindo – SIEMs são ótimos para resolver casos de uso de conformidade pura, pois coletam todos os dados de log, mas para casos de uso de segurança, que é o que você normalmente vende, você precisa de tecnologia que entenda a diferença entre logs de segurança relevantes e irrelevantes e colete apenas o que precisa .
SIEMs não gostam de todo mundo
Quando eu estava executando o marketing de produto para outro fornecedor (que permanecerá sem nome), uma das perguntas mais comuns era: “Você oferece suporte ao produto XYZ?” ou “Posso trazer dados do produto ABC?” Os compradores de segurança experientes que estiveram no circo do fornecedor uma ou duas vezes entendem como os fornecedores de segurança minimizarão a falta de integrações pré-criadas em seus produtos. Eles dirão coisas como: “Posso conseguir isso para você, sem problemas” ou “Tenho certeza de que está a caminho; deixe-me voltar para você”, enquanto na realidade, eles terão que voltar para sua equipe de integração e implorar e implorar por uma nova integração, especialmente se eles precisarem fechar seu negócio para atingir o número do trimestre. Agora, alguém da equipe de integração cria um script único que mostra os dados fluindo do seu produto para o SIEM backend, esperando que ninguém leve um pente fino para o que foi entregue. Novamente, se você estiver por aqui por um minuto, tenho certeza de que isso soa familiar.
A triste realidade é que a maioria SIEMs são difíceis de integrar, dada a complexidade subjacente de seus modelos de dados. Você pode escrever suas integrações e, se for o caso, ótimo, mas o que acontece quando o SIEM fornecedor lança uma nova versão e interrompe sua integração? Está de volta à prancheta. Bottom line – integrações prontas para uso em um SIEM que o trabalho é o que você deve esperar do seu SIEM fornecedor. Se não é isso que você está recebendo hoje, o tempo de integração de seus clientes será prejudicado e, na pior das hipóteses, você perderá negócios enquanto espera pelo seu fornecedor. SIEM O fornecedor deverá entregar uma integração que você espera que funcione.
Ajudamos muitos MSSPs a ver os benefícios de arrancar seus antigos ou não tão antigos SIEM e substituindo-o por nosso Stellar Cyber Open XDR Plataforma. Com nossa plataforma, você obtém:
– A automação certa, onde você precisa: O objetivo da Stellar Cyber é tornar a detecção, a investigação e a correção de ameaças o mais automatizadas possível. Quando você muda para o Stellar Cyber, seus dias de preocupação com regras de correlação obsoletas acabaram. A Stellar Cyber faz o trabalho pesado, permitindo uma aquisição mais rápida de clientes.
– Coleta de dados inteligente: coletamos dados relevantes para a segurança, permitindo que nossos AI / ML mecanismo de detecção de ameaças para identificar ameaças o mais rápido possível. Quando os segundos importam, o Stellar Cyber garante que você tenha todos os segundos que puder.
- Todos são bem vindos: Se seu SIEM e Stellar Cyber estavam dando festas, nossa festa pareceria uma reunião de classe com todos se divertindo muito; a SIEM pode parecer uma reunião de pessoas que nunca se conheceram. Em outras palavras, a arquitetura da Stellar Cyber é aberta, com integrações para praticamente todas as ferramentas populares de segurança, TI e produtividade, tornando a integração do cliente e o crescimento do seu negócio mais rápido do que nunca.
Devemos muito a SIEMs. Eles abriram nossos olhos para a importância da análise de dados, mas hoje você pode fazer melhor do que o SIEM você está usando. Para saber mais sobre Stellar Cyber, confira nosso Específico para MSSP passeio de cinco minutos.
