Noong 2012, nagtrabaho ako para sa isa sa mga unang vendor na naghahatid ng security-as-a-service. Noong mga panahong iyon, ang pag-secure ng iyong kapaligiran mula sa cloud ay makabago, at maraming security team ang nag-aalangan na ipasok ang kanilang nakikitang isa pang punto ng pagkabigo sa kanilang security framework. Ngayon, ang pag-deploy ng SIEM, XDR, o ang platapormang SecOps na naka-bare metal ay tila luma na sa maraming lider ng seguridad ngayon.
Sa katunayan, may mga wastong dahilan ang mga security team na tumitingin sa cloud bilang kanilang ginustong opsyon sa pag-deploy para sa mga produktong panseguridad, mula sa mabilis na pag-deploy hanggang sa pagpapababa ng mga gastos at ang kakayahang umangkop upang ma-access ang produkto mula sa anumang secure na web browser. Iyon ay, ang isang pangkat ng seguridad ay may parehong wastong mga dahilan upang mag-opt para sa isang on-premises na diskarte sa platform ng pagpapatakbo ng seguridad. Narito ang apat na dahilan kung bakit ang isang on-premise deployment ay maaaring ang tamang pagpipilian para sa iyong organisasyon.
Apat na Dahilan para I-deploy ang Nasa Nasasakupan
1. Napakasensitibong Data
Ang bawat pangkat ng seguridad ay inuuna ang pagiging kumpidensyal ng data ng kanilang kumpanya. Gayunpaman, kung ang iyong organisasyon ay nakikitungo sa classified na impormasyon, maaaring kailanganin mong tiyaking hindi kailanman aalis ang data sa iyong kapaligiran. Sa ganitong mga kaso, ang paggamit ng anumang cloud-based na mga produkto ng seguridad ay isang non-starter. Sa pamamagitan ng pag-deploy ng iyong SecOps platform on-premise, makatitiyak kang ang iyong mga sensitibong log at iba pang impormasyon sa seguridad ay mananatiling ligtas sa loob ng mga pader ng iyong kapaligiran, na nagbibigay ng karagdagang layer ng proteksyon.
2. Mga regulasyon
Ang antas kung saan sinusuri ng mga ahensya ng regulasyon ang isang industriya ay maaaring mag-iba-iba depende sa uri ng data na pinangangasiwaan ng organisasyon at ang potensyal para sa data na iyon, kung nakompromiso, na magdulot ng malaking pinsala sa mga customer. Halimbawa, dapat sumunod ang mga organisasyon sa pangangalagang pangkalusugan, pananalapi, at pamahalaan sa mga mahigpit na kinakailangan sa regulasyon, gaya ng GDPR, HIPAA, at iba pang mga batas sa proteksyon ng data sa rehiyon. Ipagpalagay na ang iyong organisasyon ay bahagi ng isa sa mga industriyang ito na lubos na kinokontrol. Sa ganoong sitwasyon, maaaring wala kang pagpipilian kundi i-deploy ang iyong SecOps platform on-premises upang alisin ang mga potensyal na paglabag sa regulasyon.
3. Pag-customize at Pagkontrol sa Bersyon
Depende sa mga kakayahan ng iyong security team at naka-target na mga kaso ng paggamit, maaaring kailanganin mong mag-deploy ng ilang custom na configuration at/o code sa itaas ng isang off-the-shelf na SecOps platform. Kapag nagtatrabaho sa isang cloud-based na platform ng SecOps, maaaring paghigpitan ng vendor ang iyong kakayahang gumawa ng mga ganitong uri ng mga pagpapasadya sa platform. Bukod pa rito, maaaring maglapat ang vendor ng mga update sa platform ng SecOps na may kaunti hanggang walang paunang abiso, na maaaring magdulot ng heartburn sa iyong security team. Sa isang on-premise deployment, ang iyong security team ay maaaring magpatupad ng mga pasadyang patakaran sa seguridad at/o automation na maaaring mahirap ipatupad sa isang cloud-based na platform. Ang antas ng kakayahang umangkop at kontrol na ito ay maaaring magbigay ng kapangyarihan sa iyong koponan, na nagbibigay-daan sa kanila na maiangkop ang platform sa kanilang mga partikular na pangangailangan at mapanatili ang kontrol ng bersyon nang walang anumang panlabas na paghihigpit.
4. Mga Pagsasaalang-alang sa Pagganap
Bagama't karamihan sa mga organisasyon ay nagtatrabaho sa mga high-speed network na may kakayahang bawasan ang latency, kahit na nag-a-upload o nagda-download ng malalaking dataset, maaaring mahirapan ang ilan sa pagiging maaasahan/katatagan ng network dahil sa lokasyon ng kanilang mga opisina. Bukod pa rito, may mga sitwasyon kung saan ang isang organisasyon o bahagi ng organisasyon ay walang koneksyon sa internet upang sumunod sa mga panloob o panlabas na patakaran. Kung ikaw ay nasa isang katulad na sitwasyon, ang on-premises deployment model ay ang iyong tunay na opsyon.
Pagpili ng Iyong Susunod na On-Premises SecOps Platform
Bagama't binalangkas ko ang apat na dahilan kung bakit ang isang on-premises na pag-deploy ng isang SIEM o plataporma para sa mga operasyon ng seguridad, marami pang iba. Anuman ang dahilan kung bakit kailangan mong mag-deploy on-premises, ang susunod na lohikal na tanong ay maaaring, "Paano ako pipili ng SIEM/Platform ng SecOps na nakakatugon sa aking mga pangangailangan sa pag-deploy?
Narito ang tatlong rekomendasyon kapag pumipili ng iyong on-premise na platform.
1. Mga kakayahan
Bagama't ito ay hindi dapat sabihin, ang mga platform ng pagpapatakbo ng seguridad na sumusuporta sa mga kakayahan sa pag-deploy sa nasasakupan ay malawak na nag-iiba. Sa mababang dulo ng spectrum ng mga kakayahan, maaaring mayroon kang mga vendor na nagpapakilala ng isang on-premise na deployable na platform na nagbibigay-daan sa iyong mag-ingest ng data ng log mula sa maraming iba't ibang source ngunit hinihiling sa iyong gumawa, pamahalaan, at panatilihin ang lahat ng mga panuntunan sa pag-detect at ugnayan. Ang produktong ito ay isang pinarangalan na tool sa pamamahala ng log na walang alinlangan na gagawing hindi gaanong epektibo ang iyong koponan sa katagalan.
Sa kabilang dulo ng spectrum ay ang mga produktong may madaling i-configure na mga integrasyon na may kakayahang kumuha ng mga alerto sa seguridad ng ikatlong partido, data ng log, trapiko sa network, at mga stream ng aktibidad ng gumagamit at asset. Pagkatapos, ang mga modelo ng machine learning at artificial intelligence, na sinamahan ng mga panuntunan sa pagtukoy na pinili ng vendor, ay awtomatikong magbubunyag ng mga advanced na banta nang walang interbensyon ng tao. Ang Stellar Cyber Open XDR Gumagana ang plataporma sa ganitong paraan.
Kapag sinusuri ang iyong mga opsyon, magtanong ng mga nagtatanong na tanong tungkol sa mga kakayahan at igiit ang isang patunay ng konsepto (PoC) sa iyong kapaligiran upang mapatunayan ang mga claim ng vendor.
2. Pagsasama
Gaya ng binanggit sa aking unang rekomendasyon, ang mga pagsasama ay mahalaga sa pagkuha ng halaga mula sa anumang platform ng mga pagpapatakbo ng seguridad. Ang sinumang nagtrabaho sa isang produkto na nangangailangan ng makabuluhang manual, custom-built integrations ay alam ang bangungot na mabilis itong mapunta. Para sa isa, hindi lahat ng pangkat ng seguridad ay may mga teknikal na kasanayan sa paggawa ng kanilang mga pagsasama, kaya dapat silang makipagkontrata sa isang panlabas na mapagkukunan upang lumikha at mapanatili ang mga pagsasama, magbayad ng karagdagang bayad sa vendor upang mabuo ang mga pagsasama, o umarkila ng isang nakatuong mapagkukunan upang magkaroon ng mga pagsasama. . Sa alinman sa mga kasong ito, ang resulta ay isang platform na nagkakahalaga ng higit sa inaasahan habang lumilipas ang oras.
Ang mas magandang opsyon ay ang pumili ng isang platform kung saan ibinibigay ng vendor ang kanilang pagsisikap at mga mapagkukunan sa paglikha ng mga integrasyon na madaling i-configure ng iyong security team. Halimbawa, ang aming platform ay may kasamang daan-daang pre-built na pagsasama na available sa lahat ng user nang walang karagdagang gastos. Bukod dito, kung ang isang customer ay nangangailangan ng mga karagdagang pagsasama, bubuo kami ng mga ito nang walang karagdagang gastos.
Kapag nakikipag-usap sa mga vendor, tiyaking nauunawaan nila ang mga produktong balak mong isama at kung sinusuportahan sila ng kanilang platform. Patunayan ang anumang sinasabi nila sa proseso ng PoC.
3. Roadmap
Ang pag-alam na ang isang produkto na iyong ipinuhunan at isinama bilang sentro ng iyong mga daloy ng trabaho sa seguridad ay walang hinaharap nang hindi inaasahan ay maaaring mabigo kahit na ang pinaka-napapanahong pinuno ng seguridad.
Halimbawa, ang kamakailang pagbili ng Palo Alto Networks ng IBM QRadar SIEM May iniwan si Cloud IBM QRadar On-premises mga customer sa lamig. Kung ang mga customer na ito ay dapat manatili sa lugar, kailangan nila ng isa pang vendor upang matugunan ang kanilang mga pangangailangan sa pag-deploy at tulungan silang ilipat ang kanilang kasalukuyang QRadar data, configuration, at mga panuntunan sa bagong platform nang mabilis.
Bagama't ang mga produkto na may mga roadmap ay maaaring ma-sweep up sa mga aksyong nauugnay sa shareholder, tulad ng mga pagsasanib o pagkuha, dahil nakikita na ang vendor ay may mga plano na lampas sa kasalukuyang bersyon ng platform, hindi bababa sa nagpapaalam sa iyo na ang platform ay patuloy na uunlad batay sa mga pagbabago sa landscape ng banta at mga pangangailangan ng user.
Halimbawa, dito sa Stellar Cyber, regular naming sinusuri ang aming roadmap kasama ng mga customer at prospect para sa aming platform, na maaaring i-deploy on-premises, sa cloud, o co-managed ng MSSP na iyong pinili. Kami ay transparent sa aming mga customer upang ipaalam sa kanila na kami ay nakatuon sa pagsuporta sa cloud at on-prem deployment na may parehong mga kakayahan sa hinaharap. Ang pangakong ito ay nagpapahintulot din sa aming mga customer na iakma ang kanilang diskarte sa seguridad habang nagbabago ang mga bagay para sa kanila. Halimbawa, kung ang organisasyon ay maaaring lumipat mula sa isang on-premise na deployment patungo sa cloud sa hinaharap, magagawa nitong maayos ang paglipat sa Stellar Cyber nang hindi natututo ng ganap na kakaibang produkto.
Pagsasara ng saloobin
Ang seguridad ay hindi isang sukat na angkop sa lahat na panukala.
Bagama't nag-aalok ang cloud ng kakayahang mabilis na palakihin ang isang negosyo at tinutulungan ang isang security team na pamahalaan ang mga gastos at mapagkukunan nito, may mga wastong dahilan para mag-deploy ng... SIEM/XDR/SecOps Platform on-premises. Ang pagsunod sa mga simpleng rekomendasyong aking tinalakay ay isang magandang panimulang punto sa iyong paghahanap para sa iyong susunod na platform. Upang makita kung paano ang Stellar Cyber Open XDR Kayang matugunan ng Security Operations Platform ang iyong mga pangangailangan sa pag-deploy on-premises, makipag-ugnayan sa amin ngayon para mag-set up ng personal na konsultasyon. Gayundin, kung isa kang aktibong customer ng IBM QRadar On-premises na naghahanap upang mabilis na lumipat, mayroon kaming espesyal na promosyon para lang sa iyo.
