บทเรียนที่ได้รับจากการค้นหาและการบูรณาการของเรา XDR
ขณะนี้ Trusted Internet กำลังปรับใช้ สเตลลาร์ไซเบอร์ XDR –ในฐานะ SOC-โซลูชันที่มีการตรวจสอบ หรือในรูปแบบโครงสร้างพื้นฐานในรูปแบบบริการ (Infrastructure as a Service)
การโฆษณาชวนเชื่อทางการตลาดเกี่ยวกับ XDR เสียงดังสนั่นหวั่นไหวสำหรับผู้ที่กำลังพิจารณาเรื่องนี้ XDRมันยากที่จะแยกแยะความจริงออกจากเว็บไซต์ที่ดูดีและโฆษณาชวนเชื่อมากมาย ดังนั้น ฉันเลยอยากจะแบ่งปันบทเรียนบางอย่างที่ได้เรียนรู้จากมุมมองของซีอีโอของบริษัทที่ลงทุนด้วยเงินทุนส่วนตัว สพปฉันหวังว่านี่จะช่วยในการตัดสินใจซื้อของคุณ
ในช่วงสี่ปีที่ผ่านมา เราเป็น Fortinet MSSP ที่เสียชีวิตในกองขนสัตว์ เรารักไฟร์วอลล์ Fortinet ของเรา โดยบุคลากรของเราได้รับการรับรองผ่าน NSE7 ซึ่งทำงานอย่างหนักเพื่อปรับแต่งเครื่องความเร็วสูงที่มีฟีเจอร์ครบครันให้เป็นไปตามความต้องการของเรา ด้วยเหตุผลต่างๆ นานา เราตัดสินใจเมื่อประมาณสองปีก่อนที่จะเริ่มค้นหาวิธีรองรับคำขอจากลูกค้าที่มีแนวโน้มจะเป็นลูกค้า เพื่อไม่ต้องริปและเปลี่ยนระบบรักษาความปลอดภัยที่มีอยู่เดิม
เช่นกัน SOC, นอค, EDR, เอ็มดีอาร์ , เอ็นดีอาร์ , สพปทำไมไม่มีใครรวมข้อมูลทั้งหมดไว้ในกล่องเดียวที่เข้าใจบันทึกข้อมูลทั้งหมด และใช้การเรียนรู้ของเครื่อง (machine learning) ในการฝึกฝน AI เพื่อช่วยได้ดียิ่งขึ้น SOC นักวิเคราะห์เหรอ? ผมมีเพื่อนเก่าคนหนึ่งที่เคยเรียกสิ่งนี้ว่า "กล่องแห่งพระเจ้า" มันรู้ทุกอย่าง
XDR นี่คือจุดเริ่มต้นของ God Box
ความต้องการของเรา:
- จะต้องผสานรวมผู้ค้ารายอื่นทั้งหมดในสภาพแวดล้อมของลูกค้าโดยไม่ต้องให้พวกเขาฉีกและแทนที่โครงสร้างพื้นฐานที่มีอยู่
เราไม่ต้องการให้ตัวแทนนำไปใช้กับคอมพิวเตอร์ทุกเครื่อง พวกเขามี AV และ Anti-Evasion อยู่แล้ว เราไม่ต้องการโหลดในระบบปลายทางอื่น
เราต้องการความสามารถในการรวมการวิเคราะห์การไหลของเครือข่ายสำหรับการตรวจจับความผิดปกติ แต่อาจไม่ต้องการ 100% ของเวลาทั้งหมด Flow สร้างข้อมูลจำนวนมากที่เราต้องการให้สามารถเปิดและปิดได้ตามต้องการตามตัวบ่งชี้อื่นๆ
- ต้องรองรับข้อกำหนดการรวบรวม/วิเคราะห์บันทึก NIST 800-171 ทั้งหมด
ในขณะที่ ISO, CIS, HIPAA หรือ PCI ต้องการการรวมและการวิเคราะห์บันทึกเหล่านี้ทั้งหมด NIST 800-171 ต้องการรายการบันทึกที่ได้รับการตรวจสอบจากทุกอุปกรณ์สำหรับทุกเหตุการณ์ – โครงสร้างพื้นฐาน จุดสิ้นสุด และความปลอดภัย
เราจำเป็นต้องหาวิธีที่ดีกว่าในการจับตาดูบันทึกเหล่านี้และดำเนินการในลักษณะที่ฐานลูกค้าที่เน้น SMB ของเราสามารถจ่ายได้ ในการทำเช่นนั้น เราต้องสามารถนำมันมาไว้ในระบบเดียวที่เข้าใจบันทึกที่จำเป็นแต่ละรายการ
-
ต้องเป็นผู้เช่าหลายคน
ในตอนนั้น ผมไม่รู้เลยว่าผมจะมีความสงสัยใน AI มากขนาดไหน จนกระทั่งหลังจากที่ผมได้ดูรายการต่างๆ เหล่านั้น XDRวิ่งเลย เตรียมพร้อมด้วยทีมงานที่ชาญฉลาด
เราเปรียบเทียบระหว่างกัน ทำการทดสอบ A|B ในขณะที่ใช้ FortiAnalyzer และข้อมูลบันทึกดิบในสแต็ก Lucene ของเราเป็นบรรทัดฐาน
-
เป็นการดีที่ XDR ต้องรองรับผู้ขายทุกราย ไม่ใช่เฉพาะผู้ขายที่สร้างโดย... XDR ผู้ขาย
เรื่อง XDR ผู้ขายที่เราสอบถามบางรายสร้างอุปกรณ์ AV, IPS ฯลฯ ของตนเอง ในขณะที่บางรายรับผลิตอุปกรณ์จากผู้ผลิตรายอื่น แต่ไม่ยอมเปิดเผยรายละเอียด
อย่างไรก็ตาม ผมอยากทราบว่าเครื่องมือที่ติดตั้งมาในนั้นเป็นอย่างไร XDR มีความสมบูรณ์และผ่านการทดสอบมาแล้ว
- หากมีส่วนประกอบของคลาวด์ ฉันต้องการหลักฐานว่าสภาพแวดล้อมคลาวด์นั้นปลอดภัย
ข้อมูลช่องโหว่ด้านความปลอดภัยของลูกค้าทั้งหมดของเราจะถูกจัดเก็บไว้ที่นั่น ผมไม่ต้องการให้ข้อมูลของเรารั่วไหล XDR ผู้ขายปล่อยข้อมูลช่องโหว่ของลูกค้าออกมา จากมุมมองของการจารกรรม นี่คือเป้าหมายที่น่าดึงดูดใจอย่างมาก มันต้องปลอดภัยอย่างแน่นอน
เราประเมินความปลอดภัยของระบบแบ็กเอนด์ของซัพพลายเออร์ทุกรายของเรา เมื่อเราดำเนินการนี้ในระหว่างการค้นหา หนึ่งในนั้นก็คือ... XDR ผู้ขายมีผลิตภัณฑ์ที่ยอดเยี่ยม แต่บริการที่นำเสนอในสภาพแวดล้อมคลาวด์นั้นไม่เคยได้รับการทดสอบด้านความปลอดภัยมาก่อน!
การปฏิบัติตามเป็นสิ่งที่ดี แต่ที่สำคัญกว่า? แนะนำฉันเกี่ยวกับวิธีที่คุณปกป้องข้อมูล ทำให้ฉันรู้สึกสบายใจที่คุณได้ใช้มาตรการในการปกป้องข้อมูล ฉันรู้สึกประหลาดใจที่มีมากกว่าหนึ่งคนที่ทำสิ่งนี้ไม่ได้
- โครงสร้างราคาจะต้องคาดการณ์ได้ 100%ต้นทุนผันแปรเป็นตัวทำลายธุรกิจ ผมอยากแน่ใจว่าเราจะไม่เจอกับเรื่องที่ไม่คาดคิด ถ้าหาก... XDR ผู้ขายถามคุณว่า “คุณมีอุปกรณ์ปลายทางกี่ตัว?” หนีไป! โครงสร้างราคาต้องเอื้ออำนวยให้เราสามารถรวมมันเข้าไปในค่าสมัครสมาชิกได้ โดยมีอัตรากำไรที่สมเหตุสมผล ในโลกของ MSSP (ผู้ให้บริการจัดการความปลอดภัยแบบมีหน่วยความจำ) SOC ต้นทุนเป็นสิ่งที่ทำให้เราล้มเหลวได้เร็วกว่าสิ่งอื่นใด แล้วผู้ให้บริการด้านความปลอดภัยข้อมูล (MSSP) จะขยายธุรกิจได้อย่างไรโดยไม่ทำให้ต้นทุนด้านแรงงานด้านความปลอดภัยข้อมูลสูงขึ้นเรื่อยๆ จนเกินกำลัง?
การค้นหาซินเดอเรลล่าของเรา XDR (อันที่เหมาะกับเราที่สุด!)
เราพิจารณาผู้ขายหลายสิบราย – คุณคงเคยได้ยินชื่อพวกเขามาบ้างแล้ว หลังจากใช้เวลาเกือบสองปีในการวิเคราะห์คู่แข่ง การสาธิต และการทดลองใช้งานจากผู้ขายเกือบสิบสองราย XDR จากบริษัทต่างๆ เราได้คัดเลือกเหลือสองบริษัท ซึ่งทั้งสองแห่งอยู่ระหว่างการทดลอง และในที่สุด Stellar Cyber ก็ได้รับเลือก
นี่เป็นการลงทุนที่สำคัญสำหรับเรา เราต้องการให้แน่ใจว่าเราทำถูกต้องและสามารถชดเชยการลงทุนในปริมาณและประสิทธิภาพที่เพิ่มขึ้นได้ แทนที่จะใช้เวอร์ชันคลาวด์ เราซื้อเซิร์ฟเวอร์ 88 คอร์ 20Tb ระบบได้รับการออกแบบมาเพื่อแยกวิเคราะห์และวิเคราะห์ข้อมูลจำนวนมหาศาลจากอุปกรณ์โครงสร้างพื้นฐาน บันทึกปลายทาง และระบบรักษาความปลอดภัยหลายสิบรายการ เราต้องการให้มันได้รับการปกป้อง ดังนั้นเราจึงจัดเก็บมันไว้ในสถานที่ที่ปลอดภัยของเราในศูนย์ข้อมูล Iron Mountain และทำการทดลอง 'กินอาหารสุนัขของคุณเอง' เป็นครั้งแรกในช่วงต้นฤดูร้อนปีที่แล้ว
เราได้บทเรียนมากมาย ฉันคงไม่สามารถแชร์ทั้งหมดได้ในกระดาษสั้นๆ แผ่นเดียว แต่ฉันคิดว่าน่าจะดีถ้าแบ่งบางส่วนที่ใหญ่กว่านี้
-
XDR นำเสนอโซลูชันที่ยอดเยี่ยมสำหรับการรวบรวมข้อมูลแทบทุกอย่างที่คุณนึกออกมาไว้ในหน้าจอเดียว เราพบว่ามันน่าทึ่งมาก
-
นี่ไม่ใช่เครื่องมือสำหรับผู้เริ่มต้นใช้งาน XDR อาจก่อให้เกิดความคลุมเครือในที่ที่ไม่ควรมี คุณจำเป็นต้องมีทีมงานที่ชาญฉลาดเพื่อประเมินทุกสิ่ง XDR โจมตีก่อนที่จะเปิดใช้งาน SOAR ในขณะที่ AI เรียนรู้จากสิ่งนั้น XDR ด้วยฐานลูกค้าที่ใหญ่ขึ้นของผู้ขาย บริษัทจึงเรียนรู้ผ่านการกระทำต่างๆ ที่ดำเนินการโดยผู้ขาย ธุรกิจ นักวิเคราะห์ พวกเขาจำเป็นต้องฉลาด
-
ส่วนมาก XDR โซลูชั่น ต้องการกำหนดราคาตามจุดสิ้นสุด นี่คือข้อตกลงนักฆ่า หากพนักงานขายถามว่า “คุณมีจุดสิ้นสุดกี่จุด”… RUN
XDR นำเสนอโซลูชันที่ยอดเยี่ยมสำหรับการรวบรวมข้อมูลแทบทุกอย่างที่คุณนึกออกมาไว้ในหน้าจอเดียว เราพบว่ามันน่าทึ่งมาก
XDR เป็นความคิดที่ยอดเยี่ยม แต่การลงมือทำที่ไม่ดีจะทำให้วันของคุณพังพินาศ เหล่าไอทีอยากจะเอาทุกอย่าง (และทุกอย่างที่มี) มาลองใช้กับกล่องวิเศษนี้ทันที และถึงแม้ว่าผมจะเข้าใจความต้องการของเหล่าเนิร์ดที่ว่า 'ยิ่งมีข้อมูลมาก ยิ่งดี' แต่มันก็ทำให้การฝึกอบรมสำหรับพวกเรายากขึ้น SOC นักวิเคราะห์วิจารณ์อย่างรุนแรงมาก
อุปกรณ์เหล่านี้จะประมวลผลข้อมูลได้แทบทุกปริมาณที่คุณป้อนเข้าไป เราขอแนะนำว่าอย่าป้อนข้อมูลมากกว่าหนึ่งสตรีมพร้อมกัน อย่างน้อยก็จนกว่าคุณจะคุ้นเคยกับผลลัพธ์ที่เครื่องจะส่งออกมา ทำไม? เพราะเครื่องจะสร้างผลลัพธ์เองตามกฎที่ตั้งไว้ คุณจะพบว่าบางผลลัพธ์นั้นดี แต่ไม่ใช่ทั้งหมด และจะมีผลลัพธ์มากมายหลายแบบ SOC นักวิเคราะห์ต้องมีความรู้ความเข้าใจที่ดีกว่านี้ ในช่วงแรก พวกเขาจะต้องตรวจสอบและยืนยันการแจ้งเตือนแต่ละรายการอย่างละเอียดถี่ถ้วน ว่าได้ดำเนินการตามนั้นจริงหรือไม่ XDR เรียกมันว่าอะไร? มันผิดหรือเปล่า? ต้องดำเนินการอย่างไรบ้าง? AI, ระบบอัตโนมัติ? กล่องวิเศษ? ทั้งหมดนี้ล้วนเป็นสิ่งที่ดี แต่หากปราศจากความรู้พื้นฐานที่มั่นคงเกี่ยวกับสิ่งที่เครื่องจักรเรียกว่าดีและไม่ดี คุณอาจพบว่าตัวเองรับมือไม่ไหว เราก็เคยเป็นแบบนั้น มีอะไรมากมายซ่อนอยู่ในกล่องดำ ค่อยๆ ทำไป ปล่อยให้นักวิเคราะห์ของคุณได้เรียนรู้ นำข้อมูลเข้ามาทีละส่วน
คำแนะนำของ Stutzman: ฆ่าความเร็ว ไปช้าๆ. เริ่มต้นด้วยฟีดข้อมูลเดียว ทำให้เป็นมาตรฐานแล้วเพิ่มถัดไป
รู้เรื่องนี้ XDR ไม่ใช่เครื่องมือสำหรับผู้เริ่มต้นใช้งาน
ฉันเอาไปสองสามชิ้น SOC เปลี่ยนกะทำงานทุกไตรมาสเพื่อรักษาทักษะให้เฉียบคมอยู่เสมอ มันทำให้ฉันได้ติดต่อกับ... SOCและบางทีฉันอาจทำเพราะมันเป็นหนึ่งในงานที่ฉันชอบที่สุด! ยังไงก็ตาม ในกะแรกของฉันกับ Stellar ฝ่ายปฏิบัติการคนใหม่ในแผนกแรกของเรา XDR ลูกค้าครับ ผมพบว่าตัวเอง (ประมาณตี 2) กำลังตรวจสอบความเคลื่อนไหวภายในที่อยู่หลังไฟร์วอลล์ แต่เห็นได้ชัดว่าอยู่ในเครือข่าย โดยมีข้อความแจ้งเตือนว่ามีการส่งรหัสผ่านแบบข้อความธรรมดาในปริมาณมากไปยังระบบต่างๆ ถึง 15 ระบบ ธนาคารแห่งนี้ไม่ได้เปิดทำการในเวลาตี 2 ครับ
ฉันคิดว่ามีเพียงสองคำอธิบายที่เป็นไปได้: การประนีประนอมหรือการสแกนช่องโหว่ เมื่อปรากฎว่าไคลเอนต์กำลังเรียกใช้ OpenVAS เพื่อทดสอบการตอบสนองของเรา (เราผ่าน!) แต่... เราเห็นได้อย่างไร ฉันกำลังดูข้อมูลภายในจากที่ที่เราไม่เคยเห็นมาก่อน! ขณะนี้เรากำลังบันทึกบันทึกของ Windows บันทึกโครงสร้างพื้นฐาน บันทึกการตรวจสอบสิทธิ์ และโฟลว์เครือข่ายจากธนาคารที่มีพนักงาน 60 คน เราดึงบันทึกเกือบ 40 GB ต่อวัน ฉันรู้สึกเหมือนคุณ Magoo ที่ได้แว่นตาที่ดีและมองเห็นสีเป็นครั้งแรกในที่สุด!
ในขณะที่เรากำลังดำเนินการผสานรวมอย่างเต็มรูปแบบ เราได้คงไว้ซึ่ง FortiAnalyzer และ Lucene Stack เพื่อให้นักวิเคราะห์ของเราสามารถออกจากระบบได้ XDR สภาพแวดล้อมและเห็นข้อมูลที่นำเสนอในรูปแบบที่พวกเขาคุ้นเคย เราจะทำการเปลี่ยนผ่านแบบคู่ขนานในบางจุดเมื่อใบอนุญาตเก่าหมดอายุ อย่างไรก็ตาม ในระหว่างการเปลี่ยนผ่าน นักวิเคราะห์ระดับ 1 ของเรา (นักวิเคราะห์คัดกรอง) ถูกบังคับให้เรียนรู้ทักษะที่ลึกซึ้งยิ่งขึ้น การคัดกรองอาจกลายเป็นเรื่องในอดีตไปในไม่ช้า XDR ทำหน้าที่ดำเนินการอัตโนมัติสำหรับงานทั่วไป เช่น การบล็อกเครื่องสแกนใหม่ หรือการตรวจสอบความถูกต้องของผลลัพธ์จากเครื่องมือต่างๆ ก่อนที่จะส่งต่อไปยังขั้นตอนต่อไป
คำแนะนำของ Stutzman: นักวิเคราะห์ของคุณจะต้องฉลาดพอที่จะเข้าใจสิ่งที่เกิดขึ้นในข้อมูล ก่อนที่ AI และระบบอัตโนมัติจะเข้ามาแทนที่ และข้อผิดพลาดในการฝังเครื่องจักรใหม่ ฉันอายุหกสิบปีแล้วและทำสิ่งนี้มานานแล้ว แต่ฉันก็ยังอยากได้ดวงตาคู่ที่สอง นี่ไม่ใช่เครื่องมือระดับเริ่มต้น เป็นเครื่องมือระดับผู้เชี่ยวชาญ
ส่วนมาก XDR โซลูชันต่างๆ ต้องการคิดราคาตามปลายทาง ซึ่งเป็นสิ่งที่ทำให้การเจรจาธุรกิจล้มเหลว
หาก XDR ผู้ขายถามว่า “คุณมีเอนด์พอยต์กี่ตัว?” หนีไปเลย!! การนับเอนด์พอยต์ใช้ไม่ได้ผลในกรณีนี้ XDR การกำหนดราคา คุณจะไม่ชอบความประหลาดใจนี้แน่ ผมขอย้ำอีกครั้ง
เราเรียนรู้วิธีนี้อย่างหนัก Nirvana สำหรับ MSSP กำลังมีข้อมูลจากหลายอุปกรณ์ในกระจกบานเดียว เราติดตั้ง Stellar Cyber เมื่อฤดูร้อนที่แล้วสำหรับการดำเนินงานภายในของเราเอง เราเชื่อในการ “กินอาหารสุนัขของคุณเอง” ก่อนที่จะมีชีวิตอยู่กับการขาย (เราใช้ทุกอย่างที่เราขาย)
ฉันขอให้ผู้อำนวยการฝ่ายไอทีค่อยๆ ทำทีละขั้นตอน ลองใส่ข้อมูลทีละส่วนเข้าไปในระบบ แล้วดูว่ามันจะทำงานได้ปกติหรือไม่ แต่โชคร้ายที่เขาทำตามคำแนะนำของซัพพลายเออร์ โดยการติดตั้งพอร์ต Span ในสวิตช์หลักของเรา และส่งข้อมูลทั้งหมดไปยัง Stellar ทำให้ข้อมูลไหลทะลักออกมาอย่างไม่หยุดยั้ง XDR เราสร้างโฟลว์จำลองสำหรับอุปกรณ์กว่า 40,000 เครื่อง อุปกรณ์ IoT, มือถือ, คอมพิวเตอร์, เซิร์ฟเวอร์ ทุกอุปกรณ์ที่มีที่อยู่ IP ที่อยู่หลังไฟร์วอลล์ของเรา ไม่ว่าจะอยู่ที่ใดในพอร์ตโฟลิโอของลูกค้า เราก็ถูกนับเป็นเอนด์พอยต์ทั้งหมด ทีมขายของเรายอดเยี่ยมมาก เราไม่ถูกเรียกเก็บเงินในระหว่างที่เรากำลังหาวิธีปรับให้เป็นมาตรฐาน ดังนั้นเราจึงปิดการส่งข้อมูลแบบรวดเร็วและเริ่มต้นทีละลูกค้า โดยเริ่มจากโครงสร้างพื้นฐานของเราเอง เราไม่อยากสูญเสียความถูกต้องแม่นยำ ดังนั้นเราจึงตัดสินใจใช้ใบอนุญาตแบบปริมาณตามปริมาณข้อมูล ไม่ใช่จำนวนเอนด์พอยต์
คำแนะนำของ Stutzman: ขอสิ่งนี้ล่วงหน้าแล้วโยนให้มากที่สุดเท่าที่คุณต้องการ
เรามีระบบของเรามาเกือบหนึ่งปีแล้ว ครั้งแรกเป็นการพิสูจน์คุณค่าที่เริ่มตั้งแต่เดือนมีนาคมปีที่แล้ว จากนั้นจึงเริ่มดำเนินการในช่วงฤดูร้อน และตอนนี้ใช้งานได้เต็มรูปแบบ โดยปรับใช้เพื่อสนับสนุนโครงการที่เกี่ยวข้องกับ NIST 800-171 หลายโครงการที่เรา มีส่วนร่วมในและที่ที่เรามีลูกค้าที่มีสภาพแวดล้อมต่างกัน มันทำได้ดีมาก เราเป็น 100% หรือไม่? ไม่ เรายังต้องการให้โปรแกรมแยกวิเคราะห์สำหรับเครื่องมือที่ยังไม่พร้อมใช้งาน เรายังไม่ได้เปิดใช้ SOAR อย่างเต็มรูปแบบ และพูดตามตรงว่าฉันลังเลที่จะเปิดใช้ในสถานที่ของลูกค้าที่มีความเปราะบางมากขึ้น ซึ่งเราไม่รู้ว่าการกระทำอัตโนมัติอาจส่งผลต่อแรงกระเพื่อมแบบใด
เรารู้สึกดีใจไหมที่เราซื้อสิ่งนี้มา XDRแน่นอน ระบบนี้มีราคาพอๆ กับนักวิเคราะห์ฝีมือดีสองคน แต่ผมมั่นใจว่ามันจะช่วยให้เราสามารถขยายฐานลูกค้าไปยังกลุ่มลูกค้าที่ก่อนหน้านี้ไม่สามารถเข้าถึงได้
การแบ่งปันคือการแสดงความห่วงใย เราได้เรียนรู้บทเรียนที่ยากลำบากและมีช่วงเวลาที่น่ากลัวเกี่ยวกับการจัดสรรงบประมาณ เมื่อฉันคิดว่าเราจะต้องเขียนเช็คก้อนใหญ่เพื่อจ่ายค่าสิ่งนี้ ซึ่งเป็นเงินมากกว่าที่ฉันจะมีในบัญชีสำหรับหนึ่งปีเสียอีก ทีมงาน Stellar ของเรายอดเยี่ยมมาก แม้ว่าเราจะเป็นแค่ปลาตัวเล็กในบ่อใหญ่ของพวกเขา ฉันหวังว่านี่จะเป็นประโยชน์สำหรับคุณในการพิจารณาของคุณเอง XDR ซื้อเลย หรือถ้าคุณต้องการ ติดต่อเราได้เลย เรายินดีอย่างยิ่งที่จะสร้างสรรค์สิ่งที่คุณต้องการ ธุรกิจ XDR ในสภาพแวดล้อม Stellar Cyber แบบหลายผู้เช่าใหม่ของเรา
