Mga aral na natutunan mula sa ating paghahanap at pagsasama ng ating XDR
Nagde-deploy na ngayon ang pinagkakatiwalaang Internet Stellar Cyber XDR –bilang isang SOC-sinusubaybayang solusyon o bilang isang Imprastraktura bilang isang Serbisyo.
Ang hype sa marketing sa paligid XDR ay nakabibingi para sa inyo na nag-iisip ng XDRMahirap pag-uri-uriin ang mga mapanlinlang na website at ingay sa marketing para malaman kung ano talaga ang totoo. Kaya, naisip kong ibahagi ang ilang aral na natutunan – mula sa pananaw ng CEO ng isang kumpanyang pinondohan ng sarili MSSP, Umaasa akong makakatulong ito sa iyong mga desisyon sa pagbili.
Sa nakalipas na apat na taon, kami ay isang died-in-the-wool Fortinet MSSP. Gustung-gusto namin ang aming mga Fortinet firewall, na ang aming mga tao ay na-certify sa pamamagitan ng NSE7, nagsusumikap na ibagay ang mga feature-packed na high-speed na makina upang sumunod sa aming kalooban. Para sa iba't ibang dahilan, nagpasya kami mga dalawang taon na ang nakakaraan na simulan ang paghahanap para sa isang paraan upang mapaunlakan ang mga kahilingan mula sa mga magiging kliyente upang hindi na kailangang i-rip at palitan ang kanilang mga kasalukuyang sistema ng seguridad.
Din, SOC, NOC, Si EDR, MDR, NDR, MSSPBakit hindi pagsasamahin ng isang tao ang lahat ng ito sa isang kahon na nakakaintindi sa LAHAT ng kanilang mga log at gumagamit ng kaunting machine learning para sanayin ang AI para mas makatulong? SOC mga analyst? May matandang kaibigan ako na dating tumutukoy dito bilang God Box. Alam nito ang lahat.
XDR ay ang simula ng Kahon ng Diyos.
Ang aming mga kinakailangan:
- Dapat itong isama ang lahat ng iba pang mga vendor sa kapaligiran ng isang kliyente nang hindi nangangailangan ng mga ito na punitin at palitan ang kanilang kasalukuyang imprastraktura.
Hindi namin gustong magkaroon ng ahente na naka-deploy sa bawat computer. Mayroon na silang AV at Anti-Evasion. Hindi namin gustong mag-load sa ibang endpoint system.
Gusto namin ng kakayahang isama ang pagsusuri ng daloy ng network para sa pagtuklas ng anomalya ngunit maaaring hindi ito 100% ng oras. Ang daloy ay gumagawa ng mabibigat na volume ng data na gusto naming i-on at i-off kung kinakailangan batay sa iba pang mga indicator.
- Dapat nitong matugunan ang lahat ng NIST 800-171 log-collection/analysis na kinakailangan.
Habang ang ISO, CIS, HIPAA, o PCI ay nangangailangan ng pagsasama-sama at pagsusuri ng lahat ng mga log na ito, ang NIST 800-171 ay nangangailangan ng mga sinusubaybayang log entries mula sa halos bawat device para sa bawat kaganapan –imprastraktura, mga endpoint, at seguridad.
Kailangan nating maghanap ng mas mahusay na paraan upang mapansin ang mga log na ito at gawin ito sa paraang kayang bayaran ng ating base ng kliyente na nakatuon sa SMB. Upang magawa iyon, kailangan nating maisama ang mga ito sa isang sistema na nauunawaan ang bawat isa sa mga kinakailangang log.
-
Dapat itong multi-tenant.
Noong panahong iyon, wala akong ideya kung gaano kalaking pagdududa ang magkakaroon ako sa AI hanggang sa matapos kong mapanood ang iba't ibang... XDRtakbo. Maging handa kasama ang isang matalinong koponan.
Inihambing namin ang isa't isa, nagsasagawa ng pagsubok sa A|B habang gumagamit ng FortiAnalyzer at raw log data sa aming Lucene stack bilang mga baseline
-
Sa isip, ang XDR dapat tumanggap ng sinumang nagtitinda, hindi lamang iyong mga itinayo ng XDR nagtitinda.
ilan XDR Ang mga vendor na tiningnan namin ay gumawa ng sarili nilang AV, IPS, atbp. Ang iba naman ay gumawa ng OEM ng sa iba pero ayaw nila itong pag-usapan.
Gayunpaman, gusto kong malaman na ang mga kagamitang nakapaloob sa XDR ay mga ganap na gulang at nasubok na.
- Kung mayroong cloud component, gusto ko ng patunay na secure ang cloud environment nila.
Lahat ng datos ng kahinaan ng aming mga kliyente ay mapupunta roon. Ayokong magkaroon ng paglabag sa datos sa aming XDR Naglalabas ang vendor ng impormasyon tungkol sa kahinaan ng customer. Mula sa pananaw ng paniniktik, isa itong NAPAKALAKING target. DAPAT itong ligtas.
Sinusuri namin ang seguridad ng backend ng lahat ng aming mga vendor. Nang gawin namin ito sa aming paghahanap, isa XDR Ang vendor ay may kahanga-hangang produkto ngunit ang mga serbisyong inaalok sa isang cloud environment ay hindi pa nasusubukan ang seguridad!
Ang pagsunod ay mabuti, ngunit mas mahalaga? Ituro sa akin kung paano mo pinoprotektahan ang data. Gawin akong komportable na ginawa mo ang mga hakbang upang maprotektahan ang data. Nagulat ako ng higit sa isa na hindi kayang gawin ito.
- Ang istraktura ng presyo ay dapat na 100% predictable.Nakakatakot ang mga pabagu-bagong gastos. Gusto kong makasiguro na wala tayong anumang sorpresa. Kung ang isang XDR Tatanungin ka ng vendor, “Ilang endpoint ang mayroon ka?” RUN. Dapat iakma ng istruktura ng pagpepresyo ang ating kakayahang isama ito sa ating mga gastos sa subscription, sa isang makatwirang margin. Sa mundo ng MSSP, SOC Ang mga gastos ay maaaring maging dahilan ng mas mabilis nating pagkabigo kaysa sa anupaman. Paano lalawak ang isang MSSP nang hindi lumalagpas sa badyet sa patuloy na pagtaas ng gastos sa paggawa sa seguridad ng impormasyon?
Ang aming paghahanap para sa Cinderella XDR (yung akmang-akma sa amin!):
Tiningnan namin ang dose-dosenang mga vendor - narinig mo na ang kanilang mga pangalan. Pagkatapos ng halos dalawang taon ng mapagkumpitensyang pagsusuri, mga demo, at mga pagsubok mula sa halos isang dosenang XDR mga kumpanya, pinaliit namin ang aming pokus sa dalawa, na parehong sumasailalim sa mga pagsubok, kung saan nakuha namin ang aming atensyon mula sa Stellar Cyber.
Ito ay isang makabuluhang pamumuhunan sa kapital para sa amin. Nais naming matiyak na ginawa namin ito nang tama at nabawi ang aming puhunan sa karagdagang dami at kahusayan. Sa halip na pumunta sa kanilang cloud version, binili namin ang 88-core, 20Tb server. Ang system ay idinisenyo upang i-parse at suriin ang napakaraming data mula sa dose-dosenang mga kagamitan sa imprastraktura, mga endpoint log, at mga sistema ng seguridad. Gusto namin itong protektahan, kaya inilagay namin ito sa aming ligtas na pasilidad sa Iron Mountain Datacenter at nagsagawa ng aming unang pagsubok na 'kumain ng sarili mong dog food' noong unang bahagi ng tag-araw ng nakaraang taon.
MARAMING aral tayong natutunan. Hindi ko maibabahagi silang lahat sa isang maikling papel, ngunit naisip ko na maaaring mainam na ibahagi ang ilan sa mga mas malaki.
-
XDR Nag-aalok ng isang kahanga-hangang solusyon para sa pagdadala ng halos anumang impormasyong maiisip mo sa isang salamin. Natagpuan namin itong napakalaki.
-
Hindi ito isang kagamitang pang-entry level. XDR maaaring magdulot ng kalabuan kung saan wala dapat umiral. Kakailanganin mo ng isang matalinong pangkat upang suriin ang bawat XDR tamaan bago i-activate ang SOAR. Habang natututo ang AI mula sa XDR mas malaking base ng customer ng vendor, natututo rin ito sa pamamagitan ng mga aksyon na isinagawa ng iyong mga analyst. Kailangan nilang maging matalino.
-
tulay XDR solusyon nais na presyo sa pamamagitan ng endpoint. Isa itong deal killer. Kung magtatanong ang isang salesperson, "Ilang endpoints ang mayroon ka?"... RUN.
XDR Nag-aalok ng isang kahanga-hangang solusyon para sa pagdadala ng halos anumang impormasyong maiisip mo sa isang salamin. Natagpuan namin itong napakalaki.
XDR ay isang magandang ideya, ngunit ang maling pagpapatupad ay makakasira sa iyong araw. Gusto agad ng mga IT guys na ihagis ang lahat (at ang lababo sa kusina) sa mahiwagang kahon na ito. At habang lubos kong naiintindihan ang pagnanais ng mga geek na 'mas maraming data ay mabuti,' ginawa nito ang kurba ng pagsasanay para sa amin SOC mga analyst na brutal na matigas.
Ang mga bagay na ito ay kumokonsumo ng halos anumang dami ng data na maaari mong ilagay dito. Inirerekomenda namin na huwag maglagay ng higit sa isang stream dito nang sabay-sabay; kahit man lang hanggang sa masanay ka sa kung ano ang ilalabas ng makina. Bakit? Ang makina ay magbubunga ng mga resulta nang kusa, batay sa mga paunang natukoy na panuntunan. Matutuklasan mo na ang ilan ay mabuti, ngunit hindi lahat - at marami sa mga ito. Ang iyong SOC Kailangang mas malaman ng mga analyst. Sa una, kakailanganin nilang pag-aralan nang mabuti ang bawat alerto para mapatunayan at mapatunayan - ginawa ba ang XDR Tawagin mo ba ito? Mali ba ito? Anong mga aksyon ang dapat gawin? AI, Automation? Ang magic box? Lahat ay magagandang bagay, ngunit kung walang matibay na kaalaman sa kung ano ang tinatawag ng makina na mabuti at masama, maaari mong mabigla ang iyong sarili. Nagawa natin. Maraming nakatago sa black box. Dahan-dahan lang. Hayaang matuto ang iyong mga analyst. Magdala ng isang data stream sa bawat pagkakataon.
Rekomendasyon ni Stutzman: Nakamamatay ang bilis. Magdahan-dahan ka. Magsimula sa isang feed ng data. I-normalize ito, pagkatapos ay idagdag ang susunod.
Alamin mo to. XDR ay hindi isang kagamitang pang-entry level.
Kumuha ako ng ilan SOC nagbabago bawat quarter para mapanatiling matalas ang aking mga kasanayan. Pinapanatili akong konektado sa aking mga SOC, at marahil ginagawa ko ito dahil isa ito sa mga paborito kong trabaho! Gayunpaman, noong una kong shift kasama ang isang bagong operational na Stellar sa aming unang XDR kliyente, natagpuan ko ang aking sarili (mga alas-2 ng madaling araw) na nakatingin sa mga internal na aktibidad sa likod ng mga firewall ngunit malinaw na nasa network, na may alerto na nagsasabi sa akin na ang mga malinaw na tekstong password ay ipinapasa nang malakas, sa labinlimang iba't ibang sistema. Ang bangko na ito ay hindi bukas ng alas-2 ng madaling araw.
Akala ko dalawa lang ang posibleng paliwanag: kompromiso o vulnerability scanning. Tulad ng nangyari na ang kliyente ay nagpapatakbo ng OpenVAS upang subukan ang aming tugon (naipasa namin!), ngunit… paano namin ito nakita? Tinitingnan ko ang panloob na data mula sa mga lugar na hindi namin nakita dati! Kinukuha namin ngayon ang mga log ng Windows, mga log ng imprastraktura, mga log ng pagpapatunay, at daloy ng network mula sa 60-taong bangko. Kami ay kumukuha ng halos 40 GB ng mga log bawat araw. Para akong Mr. Magoo, na sa wakas ay nakakuha ng magandang salamin at nakakita ng kulay sa unang pagkakataon!
Habang lubos naming isinasama ang aming mga kakayahan, pinanatili namin ang aming FortiAnalyzer at Lucene Stack upang makaiwas ang aming mga analyst sa XDR kapaligiran at makita ang datos na inilalahad sa paraang pamilyar sila. Magsasagawa kami ng parallel cutover sa isang punto kapag nag-expire na ang mga lumang lisensya. Gayunpaman, habang tayo ay nagbabago, ang ating mga Tier 1 analyst (triage analyst) ay napipilitang matuto ng mas malalalim na kasanayan. Malamang na ang Triage ay magiging isang bagay ng nakaraan dahil XDR gumagawa ng mga awtomatikong aksyon para sa mas karaniwang mga gawain tulad ng pagharang sa isang bagong scanner o pag-validate sa mga natuklasan ng mga tool bago isulong ang mga ito para sa aksyon.
Rekomendasyon ni Stutzman: Kailangang maging matalino ang iyong mga analyst upang maunawaan kung ano ang nangyayari sa data bago pumalit ang AI at Automation at ang bagong makina ay magtanim ng mga pagkakamali. Ako ay animnapung taong gulang at ginagawa ko ito sa mahabang panahon, ngunit gusto ko pa rin ng pangalawang hanay ng mga mata. Ito ay hindi isang entry-level na tool. Isa itong tool sa antas ng eksperto.
tulay XDR Gusto ng mga solusyon na magpresyo ayon sa endpoint. Nakakasira ito ng deal.
Kung ang isang XDR Nagtatanong ang vendor, “Ilang endpoint ang meron ka?” RUN!! Hindi gumagana ang pagbibilang ng endpoint XDR presyo. Hindi mo magugustuhan ang sorpresa. Hindi ko ito masyadong mabibigyan ng diin.
Natutunan namin ito sa mahirap na paraan. Ang Nirvana para sa isang MSSP ay mayroong data mula sa maraming device sa isang pane ng salamin. Na-install namin ang Stellar Cyber noong nakaraang tag-araw para sa aming sariling mga panloob na operasyon. Naniniwala kami sa "kumain ng sarili mong pagkain ng aso" bago mag-live sa mga benta (ginagamit namin ang lahat ng aming ibinebenta).
Hiniling ko sa aking IT Director na gumawa ng isang hakbang sa bawat pagkakataon. Maglagay ng isang daloy ng impormasyon sa sistema, at tingnan natin kung paano ito magiging normal. Sa kasamaang palad, sinunod niya ang payo ng aming vendor, naglagay siya ng span port sa aming core switch at itinulak ang lahat ng mayroon kami sa Stellar. Nabuhay ang firehose. Ang XDR Nakabuo ng pseudo flow para sa mahigit 40,000 device. Bawat IOT, mobile, computer, server, bawat device na may IP address na nasa likod ng isa sa aming mga firewall, kahit saan sa aming portfolio ng kliyente, ay binibilang na ngayon bilang isang endpoint. Mahusay ang aming sales team. Hindi kami sinisingil habang inaalam namin kung paano i-normalize, kaya pinatay namin ang firehose at nagsimula sa isang client sa bawat pagkakataon, simula sa aming sariling imprastraktura. Ayaw naming mawalan ng fidelity, kaya nauwi kami sa paggawa ng volume license batay sa dami ng data, hindi sa bilang ng mga endpoint.
Rekomendasyon ni Stutzman: Hingin ito sa harap, pagkatapos ay ihagis mo ito hangga't gusto mo.
Nasa loob na namin ang aming system sa loob ng halos isang taon, una bilang patunay ng halaga simula noong nakaraang Marso, pagkatapos ay magpapatakbo sa panahon ng tag-araw, at ngayon ay ganap na gumagana, na ginagamit ito bilang suporta sa maraming proyektong nauugnay sa NIST 800-171 na aming Kasangkot sa, at kung saan mayroon kaming mga kliyente na may magkakaibang mga kapaligiran. Ito ay tapos na isang mahusay na trabaho. 100% ba tayo? Hindi. Hinihiling pa rin namin na maisulat ang mga parser para sa mga tool na hindi pa available. Hindi pa namin ganap na na-on ang SOAR, at sa totoo lang, nag-aalangan akong gawin ito sa ilan sa aming mas marupok na lokasyon ng customer kung saan hindi namin alam kung anong uri ng ripple effect ang maaaring gawin ng (mga) awtomatikong pagkilos.
Masaya ba tayo na bumili tayo sa XDR? Oo naman. Ang sistema ay halos kapareho ng halaga ng ilang magagaling na analyst, ngunit tiwala ako na magbibigay-daan ito sa amin na mapalawak ang aming mga kliyente na dati ay hindi namin ma-access.
Ang pagbabahagi ay pagmamalasakit. Nagkaroon kami ng ilang mahihirap na aral na natutunan at ilang nakakatakot na sandali sa badyet nang akala ko kakailanganin naming magsulat ng ilang malalaking tseke para mabayaran ito—mas malaking pera kaysa sa magiging pera ko sa aming account sa loob ng isang taon. Ang aming Stellar team ay kahanga-hanga, kahit na kami ay isang maliit na isda sa kanilang mas malaking lawa. Sana ay nakatulong ito habang isinasaalang-alang mo ang iyong sarili XDR pagbili. O, kung gusto mo, makipag-ugnayan sa amin. Ikalulugod naming gumawa iyong XDR sa aming bagong multi-tenant na Stellar Cyber environment.
