Враховуючи an XDR Купуєте? Ось наші висновки.

Уроки, отримані в результаті пошуку та інтеграції наших XDR

Довірений Інтернет зараз розгортається Зоряний кібер XDR – як SOC-моніторингове рішення або як інфраструктура як послуга.

Маркетинговий ажіотаж навколо XDR оглушливо для тих із вас, хто розглядає XDRВажко розібратися серед вишуканих вебсайтів та маркетингового шуму, щоб зрозуміти, що насправді є реальністю. Тож я подумав, що поділюся кількома отриманими уроками – з точки зору генерального директора самофінансованої компанії. MSSP, Сподіваюся, це допоможе вам у прийнятті рішень щодо покупки.

Протягом останніх чотирьох років ми були бездоганним постачальником послуг безпеки Fortinet. Ми любимо наші брандмауери Fortinet, наші фахівці, сертифіковані за стандартом NSE7, наполегливо працюють над налаштуванням високошвидкісних машин з багатьма функціями відповідно до наших потреб. З різних причин близько двох років тому ми вирішили почати пошук способу задовольнити прохання потенційних клієнтів не розбирати та не замінювати свої існуючі системи безпеки.

Також, SOC, НОК, EDR, МДР, НДР, MSSPЧому б комусь не об’єднати їх усі в одну систему, яка розуміє ВСІ їхні журнали та використовує трохи машинного навчання для навчання ШІ кращому наданню допомоги? SOC аналітики? У мене є старий друг, який називав це «Божою скринькою». Вона знає все.

XDR це початок Скриньки Бога.
Наші вимоги:

• Він повинен інтегрувати всіх цих інших постачальників у середовище клієнта, не вимагаючи від них копіювання та заміни існуючої інфраструктури.

  Ми не хотіли розгортати агента на кожному комп'ютері. У них вже є антивірус та захист від ухилення. Ми не хотіли завантажувати ще одну кінцеву систему.

  Нам потрібна можливість інтеграції аналізу мережевого потоку для виявлення аномалій, але вона може знадобитися не завжди. Потік створює великі обсяги даних, які ми хотіли б мати можливість вмикати та вимикати за потреби на основі інших показників.

• Він повинен відповідати всім вимогам NIST 800-171 щодо збору/аналізу журналів.

  Хоча ISO, CIS, HIPAA або PCI вимагають агрегації та аналізу всіх цих журналів, NIST 800-171 вимагає моніторингу записів журналів практично з кожного пристрою для кожної події – інфраструктури, кінцевих точок та безпеки.

  Нам потрібно знайти кращий спосіб отримати доступ до цих журналів і зробити це так, щоб наша клієнтська база, орієнтована на малий та середній бізнес, могла собі це дозволити. Для цього нам потрібно мати можливість об'єднати їх в одну систему, яка розуміє кожен із необхідних журналів.

• Це має бути багатоорендарне.

  Тоді я й гадки не мав, наскільки сумніватисямуся щодо ШІ, доки не перегляну різні XDRбіг. Будьте готові з розумною командою.

  Ми порівняли один з одним, провівши A|B-тестування, використовуючи FortiAnalyzer та необроблені дані журналів з нашого стеку Lucene як базові показники.

• В ідеалі XDR має враховувати будь-якого постачальника, а не лише тих, що були створені XDR постачальник.

  Дещо XDR Постачальники, яких ми розглядали, створювали власні антивірусні системи, системи IPS тощо. Інші виробники оригінального обладнання використовували чужі, але не обговорювали це.

  У будь-якому разі, я хочу знати, що інструменти, вбудовані в XDR є зрілими та перевіреними.

• Якщо є хмарний компонент, я хочу доказів того, що їхнє хмарне середовище безпечне.

  Усі дані про вразливості наших клієнтів зрештою будуть там. Я не хочу, щоб у нас стався витік даних. XDR постачальник витік інформації про вразливості клієнтів. З точки зору шпигунства, це НАДЗВИЧАЙНО багата ціль. Вона ПОВИННА бути безпечною.

  Ми оцінюємо безпеку серверної частини всіх наших постачальників. Коли ми робили це під час нашого пошуку, один XDR Постачальник мав чудовий продукт, але пропоновані послуги в хмарному середовищі ніколи не проходили перевірку безпеки!

  Відповідність вимогам – це добре, але що ще важливіше? Розкажіть мені, як ви захищаєте дані. Запевніть мене, що ви вжили заходів для захисту даних. Я був здивований, що багато хто не зміг цього зробити.

• Структура цін має бути на 100% передбачуваною.Змінні витрати вбивають. Я хотів переконатися, що у нас не буде жодних сюрпризів. Якщо XDR Постачальник запитує вас: «Скільки у вас кінцевих точок?» ВИКОНАТИ. Структура ціноутворення повинна враховувати нашу здатність включати її у вартість підписки з розумною націнкою. У світі MSSP, SOC Витрати можуть призвести до нашої невдачі швидше, ніж будь-що інше. Як постачальник послуг з управління безпекою (MSSP) може масштабуватися, не витрачаючи багато коштів на дедалі дорожчі витрати на робочу силу в галузі інформаційної безпеки?

Наші пошуки Попелюшки XDR (той, що нам ідеально підходить!):

Ми розглянули десятки постачальників – ви вже чули їхні імена, після майже двох років конкурентного аналізу, демонстрацій та випробувань майже десятка... XDR компанії, ми звузили нашу увагу до двох, обидві проходять випробування, і Stellar Cyber ​​підкорила нас.

Це була для нас значна капіталовкладення. Ми хотіли переконатися, що зробили все правильно та зможемо окупити наші інвестиції за рахунок збільшення обсягу та ефективності. Замість їхньої хмарної версії ми придбали 88-ядерний сервер ємністю 20 ТБ. Система призначена для розбору та аналізу величезних обсягів даних з десятків інфраструктурних пристроїв, журналів кінцевих точок та систем безпеки. Ми хотіли, щоб вона була захищена, тому ми розмістили її в нашому захищеному приміщенні в центрі обробки даних Iron Mountain та провели наше перше випробування «їжте власний корм для собак» на початку літа минулого року.

Ми засвоїли БАГАТО уроків. Я не зможу поділитися ними всіма в одній короткій статті, але подумав, що було б добре поділитися кількома найважливішими.

• XDR пропонує чудове рішення для об'єднання практично будь-якої інформації, яку ви тільки можете собі уявити, на одній скляній панелі. Ми вважали це приголомшливим.

• Це не інструмент початкового рівня. XDR може внести неоднозначність там, де її не повинно бути. Вам знадобиться розумна команда, щоб оцінити кожну XDR ударити перед активацією SOAR. Поки ШІ навчається з XDR більша клієнтська база постачальника, він також навчається через дії, що виконуються ваш аналітики. Їм потрібно бути розумними.

• міст XDR Рішення хочуть встановлювати ціну за кінцевою точкою. Це руйнує угоду. Якщо продавець запитає: «Скільки у вас кінцевих точок?»… БІЖІТЬ.

XDR пропонує чудове рішення для об'єднання практично будь-якої інформації, яку ви тільки можете собі уявити, на одній скляній панелі. Ми вважали це приголомшливим.

XDR — це фантастична ідея, але погане виконання зіпсує вам день. Айтішники хочуть негайно кинути все (і кухонну раковину) в цю чарівну скриньку. І хоча я повністю розумію бажання гіків «більше даних — це добре», це зробило криву навчання для нашого... SOC аналітики жорстоко жорстко.

Ці пристрої споживатимуть практично будь-яку кількість даних, яку ви зможете в них вмістити. Ми рекомендуємо не додавати до них більше одного потоку одночасно; принаймні, доки ви не звикнете до того, що машина видаватиме назад. Чому? Машина видаватиме результати самостійно, на основі попередньо встановлених правил. Ви побачите, що деякі з них хороші, але не всі — і їх буде багато. Ваш SOC аналітики повинні знати краще. Спочатку їм доведеться ретельно перевіряти кожне сповіщення, щоб перевірити та підтвердити... XDR Як це назвати? Чи було це неправильно? Які дії потрібно вжити? Штучний інтелект, автоматизація? Чарівна скринька? Все це добре, але без ґрунтовного знання того, що машина називає хорошим, а що поганим, ви можете опинитися приголомшеними. Ми опинилися в розгубленості. У чорній скриньці приховано багато чого. Не поспішайте. Нехай ваші аналітики навчаються. Вводьте по одному потоку даних за раз.

Рекомендація ШтуцманаШвидкість вбиває. Робіть це повільно. Почніть з одного потоку даних. Нормалізуйте його, а потім додайте наступний.

Знай це. XDR не є інструментом початкового рівня.

Я беру кілька SOC змінюється щокварталу, щоб підтримувати свої навички в тонусі. Це дозволяє мені залишатися на зв'язку з моїм SOC, і, можливо, я роблю це, бо це одна з моїх улюблених робіт! У будь-якому разі, під час моєї першої зміни з новим оперативним співробітником Stellar у нашому першому XDR клієнта, я опинився (близько 2-ї години ночі) на внутрішньому екрані мережі, де спостерігав за активністю за брандмауерами, але явно в мережі, і з'явилося сповіщення про те, що паролі у відкритому вигляді передаються у великій кількості до п'ятнадцяти різних систем. Цей банк не працював о 2-й годині ночі.

Я думав, що існує лише два можливих пояснення: компрометація або сканування на вразливості. Виявилося, що клієнт запускав OpenVAS для перевірки нашої відповіді (ми пройшли!), але… як ми це побачили? Я дивлюся на внутрішні дані з місць, яких ми раніше не бачили! Тепер ми фіксували журнали Windows, журнали інфраструктури, журнали автентифікації та мережевий потік з банку на 60 осіб. Ми отримували майже 40 ГБ журналів на день. Я почувався як містер Магу, який нарешті отримав хороші окуляри та вперше побачив кольори!

У процесі повної інтеграції ми зберегли наші FortiAnalyzer та Lucene Stack, щоб наші аналітики могли відійти від... XDR середовище та бачити дані, представлені у звичному для них форматі. Ми зробимо паралельний перехід у певний момент, коли термін дії старих ліцензій закінчиться. Однак, у міру переходу, наші аналітики першого рівня (аналітики сортування) змушені вивчати глибші навички. Сортування, ймовірно, залишиться в минулому, оскільки XDR виконує автоматизовані дії для більш буденних завдань, таких як блокування нового сканера або перевірка результатів роботи інструментів перед ескалацією їх для подальших дій.

Рекомендація ШтуцманаВаші аналітики повинні бути достатньо розумними, щоб зрозуміти, що відбувається з даними, перш ніж штучний інтелект та автоматизація візьмуть гору, а нова машина впровадить помилки. Мені шістдесят років, і я займаюся цим вже давно, але мені все одно хотілося мати ще одну пару очей. Це не інструмент початкового рівня. Це інструмент експертного рівня.

міст XDR Рішення хочуть встановлювати ціну за кінцевою точкою. Це руйнує угоду.

Якщо XDR Постачальник запитує: «Скільки у вас кінцевих точок?» ВИКОНУЙТЕ!! Підрахунок кінцевих точок не працює в XDR ціноутворення. Вам не сподобається сюрприз. Я не можу цього достатньо наголосити.

Ми зрозуміли це на власному гіркому досвіді. Нірвана для постачальника послуг з управління бізнесом (MSSP) — це мати дані з кількох пристроїв на одному склі. Минулого літа ми встановили Stellar Cyber ​​для власних внутрішніх операцій. Ми віримо в принцип «з’їж свій власний корм», перш ніж розпочинати продажі (ми використовуємо все, що продаємо).

Я попросив свого ІТ-директора діяти крок за кроком. Ввести один інформаційний потік у систему, і подивимося, як він нормалізується. На жаль, наслідуючи приклад нашого постачальника, він встановив порт SPA у наш основний комутатор і перекинув усе, що в нас було, у Stellar. Пожежний шланг ожив. XDR згенерував псевдопотік для понад 40 000 пристроїв. Кожен Інтернет речей, мобільний телефон, комп'ютер, сервер, кожен пристрій з IP-адресою, що знаходиться за одним із наших брандмауерів, будь-де в нашому клієнтському портфоліо, тепер враховувався як кінцева точка. Наша команда з продажу працювала чудово. З нас не стягували плату, поки ми з'ясовували, як нормалізувати, тому ми вимкнули пожежний шланг і почали працювати з одним клієнтом за раз, починаючи з власної інфраструктури. Ми не хотіли втрачати точність, тому зрештою ми запровадили корпоративну ліцензію на основі обсягів даних, а не кількості кінцевих точок.

Рекомендація ШтуцманаПопросіть про це заздалегідь, а потім викладайте на цьому скільки завгодно.

Ми використовуємо нашу систему вже майже рік, спочатку як доказ цінності з березня минулого року, потім вона запрацювала влітку, а тепер повністю функціонує, розгортаючи її для підтримки багатьох проектів, пов'язаних з NIST 800-171, у яких ми брали участь, і де у нас є клієнти з неоднорідним середовищем. Вона чудово спрацювала. Чи ми на 100% впевнені? Ні. Нам все ще потрібно писати парсери для інструментів, які ще недоступні. Ми ще не повністю ввімкнули SOAR, і, чесно кажучи, я вагаюся робити це в деяких наших більш вразливих клієнтських регіонах, де ми не знаємо, який хвильовий ефект можуть мати автоматизовані дії.

Чи раді ми, що купилися? XDR? Абсолютно. Система коштує приблизно стільки ж, скільки й пара хороших аналітиків, але я впевнений, що вона дозволить нам масштабуватися до клієнтів, до яких ми раніше не мали б доступу.

Ділитися – значить турбуватися. Ми засвоїли кілька важких уроків і пережили кілька лякаючих бюджетних моментів, коли я думав, що нам доведеться виписати великі чеки, щоб оплатити цю річ – більше грошей, ніж у мене буде на рахунку за рік. Наша команда Stellar була чудова, хоча ми – дрібні рибки у більшому ставку. Сподіваюся, це було корисно, коли ви обмірковуєте свої власні XDR придбання. Або, якщо бажаєте, зв'яжіться з нами. Ми будемо раді створити ваш XDR у нашому новому багатокористувацькому середовищі Stellar Cyber.