Sa ultra-competitive ngayon merkado ng MSSP, ang mga may-ari ng negosyo ay naghahanap ng mga paraan upang gawing mas kaakit-akit ang kanilang mga alay sa mga customer at sa kanilang SOCs mas epektibo. Sa layuning iyon Ang mga MSSP magdagdag ng bagong teknolohiya sa kanilang stack na nag-aalok ng seguridad na may pag-asa na makikita ng mga prospective na customer ang karagdagan na ito bilang isang pagkakataon na i-outsource ang ilan, o lahat, ng kanilang pagsubaybay sa seguridad. Mayroong ilang bisa sa diskarte na iyon; Sa kasamaang palad, ang bagong teknolohiya ay madalas na nabigo upang maihatid ang kanilang mga nakasaad na benepisyo na humahantong sa mas mataas na pagbabago ng customer. Kaya't habang pinapanatili ang iyong teknolohiya at pangkat ng seguridad na naaayon sa pinakabago at pinakadakilang teknolohiya sa seguridad ay mahalaga, minsan dapat mong tingnan kung ano na ang nasa iyong stack ng seguridad.
Ang isang teknolohiyang partikular kong tinutukoy ay ang iyong SIEM. Depende sa kung sino ang iyong kausap, tayo ay kasalukuyang nasa ikatlo o ikaapat na henerasyon ng SIEM teknolohiya; gayunpaman, kapag nakikipag-usap ako sa mga practitioner, ang antas ng pagkadismaya nila sa kanila SIEM ay nasa Defcon.
1. Patuloy na gumagamit ang mga MSSP ng SIEM hindi iyon maihahatid ang kailangan nila dahil sa oras at mga mapagkukunang kailangan para palitan ito ng isang bagay na malamang na mag-iiwan sa kanila ng parehong pagkabigo.
Hayaan akong makipag-usap tungkol sa tatlong paraan na ito lumang SIEM (o kahit hindi pa gaanong katanda SIEM) ay nagdudulot ng mas maraming pinsala kaysa sa iyong iniisip.
SIEMTamad sila
Ayan, sinabi ko na, pero alam naman nating lahat iyon SIEMs, hanggang kamakailan, ay hindi gumana nang mas matalino, pinahirapan ka nila. Bagama't pinahintulutan ka nilang mangolekta ng lahat ng uri ng mga log at mag-ugnay ng mga alerto mula sa iba't ibang mga kontrol sa seguridad, ang resulta na makukuha mo ay kasing ganda ng iyong pinaka-mahusay na analyst ng seguridad. Kung sila ay isang security ninja na may malawak na pag-unawa sa landscape ng pagbabanta at alam kung paano magsulat ng matalinong mga panuntunan sa ugnayan, malamang na mahal mo ang iyong SIEM.
Kung ang iyong koponan ay tulad ng karamihan, kung saan sinusubukan ng mga kumpanya at akitin ang iyong pinakamahuhusay na manlalaro, makakakita ka ng malaking pagbabago sa iyong SIEMs pagiging epektibo kung umalis sila. Oo, NG-SIEM sinusubukan ng mga provider na tugunan ang isyung ito sa pamamagitan ng paghahatid ng higit pang nilalamang out-of-the-box (wala pa rin ang hurado sa pagiging epektibo nito). Gayunpaman, tulad ng package na iyon ng Oreo na binubuksan ng iyong mga anak at nakalimutang isara nang tama, ang content na iyon ay mabilis na nagiging lipas, na nag-iiwan sa iyo ng gawain ng paglikha ng mga bagong panuntunan o paglilinis ng mga komunidad para sa content na maaari mong i-import. Bottom line, ang SIEM, kahit na NG-SIEMs, ay ipinauubaya sa iyong koponan ang mabibigat na gawain, na humahadlang sa iyong kakayahang magdagdag ng bilang ng mga customer na kayang hawakan ng iyong koponan nang wala itong pasanin.
SIEMMga Data Hog sila
Ang cybersecurity ngayon ay isang data problem, scratch that, it's a MALAKING MALAKING problema sa data. Sa napakaraming produkto na ginagamit araw-araw, ang dami ng mga log na nabubuo ng karaniwang mid-size na kumpanya ay katawa-tawa. Bagama't ang mga partikular na industriya ay nangangailangan ng kumpletong pagkolekta at pagsusuri ng log upang sumunod dito o sa regulasyong iyon, maraming mga customer na maaaring tumingin sa isang MSSP ay hindi sinusubukang lutasin ang isang problema sa pagsunod. Sa halip, marami ang naghahanap na gumawa ng mas mahusay na trabaho sa pagtukoy at pagpapagaan ng mga banta bago nila mapinsala ang kanilang negosyo. SIEMs, sa kanilang likas at nakapaloob na pagkiling na kumpletuhin ang pangongolekta ng datos, ay nangangahulugan na ang isang pangkat ng seguridad na naghahanap upang matukoy ang mga banta ay maglalakbay sa mga karagatan ng mga hindi kaugnay na datos ng log sa pag-asang matuklasan ang isang panganib. Hindi ito isang imposibleng gawain dahil malamang na ginagawa mo ito ngayon, ngunit isipin kung ikaw ay isang 49er na nagha-pan para sa ginto noong 1840s. Sa halip na gumamit ng pan para salain ang maliliit na dami ng banlik para sa ginto, nagpasya kang gumamit ng isang higanteng balde na may pag-asang makita ang mahalagang mineral na iyon. Alin sa palagay mo ang mas matagal? Siyempre, alam kong hindi ito isang paghahambing ng apple-to-apple, at ang aming mga advanced na kakayahan sa pag-compute ay maaaring mapabilis ang proseso. Gayunpaman, ang pag-save ng ilang minuto sa isang araw ay nagdaragdag, lalo na sa isang SOC na may sampu, dalawampu, o limampung analyst ng seguridad. Ang konklusyon – SIEMs ay mahusay sa paglutas ng purong pagsunod sa mga kaso ng paggamit dahil kinokolekta nila ang lahat ng data ng log, ngunit para sa mga kaso ng paggamit ng seguridad, na karaniwan mong ibinebenta, kailangan mo ng tech na nakakaunawa sa pagkakaiba sa pagitan ng mga nauugnay na log ng seguridad at mga hindi nauugnay, at nangongolekta lamang ng kung ano ang kailangan nito. .
SIEMAyaw nila sa lahat
Noong nagpapatakbo ako ng marketing ng produkto para sa isa pang vendor (na mananatiling walang pangalan), isa sa mga pinakakaraniwang tanong ay, "Sinusuportahan mo ba ang XYZ na produkto?" o “Maaari ba akong magdala ng data mula sa produkto ng ABC?” Nauunawaan ng mga matatalinong mamimili ng seguridad na nakapaligid sa vendor circus minsan o dalawang beses kung paano mababawasan ng mga security vendor ang kakulangan ng mga pre-built na pagsasama sa iyong mga produkto. Sasabihin nila ang mga bagay tulad ng, "Makukuha ko iyan para sa iyo, walang problema," o "Sigurado akong malapit na; let me get back to you,” samantalang sa totoo lang, kailangan nilang bumalik sa kanilang integration team at magmakaawa at makiusap para sa isang bagong integration, lalo na kung kailangan nilang isara ang iyong deal para maabot ang kanilang numero para sa quarter. Ngayon, may isang tao sa integration team na gumagawa ng one-off na script na nagpapakita ng data na dumadaloy mula sa iyong produkto papunta sa SIEM backend, umaasang walang kukuha ng magandang suklay sa inihatid. Muli, kung nakapaligid ka nang isang minuto, sigurado akong pamilyar ito.
Ang malungkot na katotohanan ay ang karamihan SIEMs ay mapaghamong pagsamahin, dahil sa pinagbabatayan ng pagiging kumplikado ng kanilang mga modelo ng data. Maaari mong maisulat ang iyong mga pagsasama, at kung iyon ang kaso, mahusay, ngunit ano ang mangyayari kapag ang SIEM naglalabas ang vendor ng bagong bersyon at sinira ang iyong pagsasama? Bumalik ito sa drawing board. Bottom line – out-of-the-box na pagsasama sa a SIEM na trabaho ang dapat mong asahan mula sa iyong SIEM vendor. Kung hindi iyan ang makukuha mo ngayon, maaapektuhan ang oras ng iyong customer onboarding, at, pinakamasamang kaso, mawawalan ka ng negosyong naghihintay para sa iyong SIEM vendor para maghatid ng integrasyon na sana ay gumana.
Natulungan namin ang maraming MSSP na makita ang mga benepisyo ng pagtanggal ng kanilang luma o hindi pa luma SIEM at pinapalitan ito ng aming Stellar Cyber Open XDR Platform. Sa aming platform, makakakuha ka ng:
– Ang tamang automation, kung saan mo ito kailangan: Ang layunin ng Stellar Cyber ay gawing awtomatiko hangga't maaari ang pagtuklas ng banta, pagsisiyasat, at remediation. Kapag lumipat ka sa Stellar Cyber, ang iyong mga araw na nag-aalala tungkol sa mga patakaran ng ugnayan na magiging lipas na ay tapos na. Ginagawa ng Stellar Cyber ang mabigat na pag-angat na nagbibigay-daan sa mas mabilis na pagkuha ng customer.
– Matalinong pagkolekta ng data: kinokolekta namin ang data na nauugnay sa seguridad na nagpapagana sa aming AI / ML threat detection engine upang matukoy ang mga banta sa lalong madaling panahon. Kapag mahalaga ang mga segundo, tinitiyak ng Stellar Cyber na mayroon ka ng lahat ng mga segundong makukuha mo.
- Lahat ay pwede: Kung ang iyong SIEM at Stellar Cyber ay parehong naghahagis ng mga party, ang aming party ay magmumukhang isang class reunion kung saan lahat ay may oras sa kanilang buhay; ang SIEM Ang party ay maaaring magmukhang isang pagtitipon ng mga tao na hindi pa nakikilala. Sa madaling salita, bukas ang arkitektura ng Stellar Cyber, na may mga pagsasanib sa halos lahat ng sikat na tool sa seguridad, IT, at pagiging produktibo, na ginagawang mas mabilis ang pag-onboard ng customer at paglago ng iyong negosyo kaysa dati.
Marami tayong utang SIEMs. Binuksan nila ang aming mga mata sa kahalagahan ng pagsusuri ng data, ngunit ngayon ay maaari kang gumawa ng mas mahusay kaysa sa SIEM ikaw ay gumagamit ng. Upang matuto nang higit pa tungkol sa Stellar Cyber, tingnan ang aming Partikular sa MSSP limang minutong paglilibot.
