У сучасному ультраконкурентному середовищі Ринок MSSP, власники бізнесу шукають способи зробити свої пропозиції більш привабливими для клієнтів та їхніх SOCs ефективніше. З цією метою MSSP додають нову технологію до свого стеку пропозицій щодо безпеки в надії, що потенційні клієнти побачать у цьому можливість передати на аутсорсинг частину або весь моніторинг безпеки. У цій стратегії є певна обґрунтованість; на жаль, нові технології часто не забезпечують заявлених переваг, що призводить до більшого відтоку клієнтів. Тож, хоча важливо тримати вашу команду з технологій та безпеки в курсі найновіших і найкращих технологій безпеки, іноді вам слід звернути увагу на те, що вже є у вашому стеку безпеки.
Єдина технологія, про яку я маю на увазі, це ваша SIEMЗалежно від того, з ким ви розмовляєте, ми зараз перебуваємо в третьому чи четвертому поколінні... SIEM technologyоднак, коли я розмовляю з практиками, їхнє розчарування відповідає їхньому SIEM знаходиться на Defcon.
1. MSSP продовжують використовувати SIEM це не забезпечує того, що їм потрібно, через час та ресурси, необхідні для того, щоб зняти це та замінити чимось, що, ймовірно, призведе до подібного розчарування.
Дозвольте мені розповісти про три способи, якими цей старий SIEM (або навіть не такий вже й старий SIEM) завдає більше шкоди, ніж ви думаєте.
SIEMліниві
Ну, я це сказав, але ми всі це знаємо. SIEMs, донедавна, не працювали розумніше, вони змушували вас працювати старанніше. Хоча вони й дозволяли збирати всілякі журнали та співвідносити сповіщення з різних елементів керування безпекою, результат, який ви отримували, був настільки ж добрим, наскільки здатний ваш найвинахідливіший аналітик безпеки. Якби вони були ніндзя безпеки з глибоким розумінням ландшафту загроз і знали, як писати інтелектуальні правила кореляції, ви, ймовірно, насолоджувалися своїм SIEM.
Якщо ваша команда схожа на більшість, де компанії намагаються переманити ваших найкращих гравців, ви побачите разючі зміни у своїй SIEMs ефективність, якщо вони все ж таки пішли. Так, NG-SIEM Постачальники намагаються вирішити цю проблему, пропонуючи більше готового контенту (ефективність цього ще не визначена). Тим не менш, як і та упаковка Oreo, яку ваші діти відкривають і забувають правильно закрити, цей контент швидко застаріває, залишаючи вам завдання створювати нові правила або шукати контент у спільнотах, який можна імпортувати. Підсумок: SIEM, Навіть NG-SIEMs, перекладають важку роботу на вашу команду, що обмежує вашу здатність збільшувати кількість клієнтів, яку ваша команда могла б обробляти без цього тягаря.
SIEMє пожирачами даних
Кібербезпека сьогодні — це проблема даних, забудьте про це, це... ВЕЛИКА ВЕЛИКА проблема з данимиЗ огляду на таку велику кількість продуктів, що використовуються щодня, обсяг журналів, який генерує типова компанія середнього розміру, просто абсурдний. Хоча певні галузі вимагають повного збору та перевірки журналів для дотримання того чи іншого нормативного акту, багато клієнтів, які можуть звернутися до MSSP, не намагаються вирішити проблему відповідності. Натомість багато хто прагне краще виявляти та пом’якшувати загрози, перш ніж вони зможуть зашкодити їхньому бізнесу. SIEMs, через свою властиву, вбудовану упередженість до повного збору даних, означає, що команда безпеки, яка прагне виявити загрози, пробиратиметься крізь океани нерелевантних даних журналів у надії виявити небезпеку. Це не неможливе завдання, оскільки ви, ймовірно, робите це сьогодні, але уявіть, що ви були б 49-річним промивальником золота в 1840-х роках. Замість того, щоб використовувати просіювач для просіювання невеликої кількості мулу в пошуках золота, ви вирішуєте використовувати гігантське відро в надії знайти цей цінний мінерал. Як ви думаєте, що займе більше часу? Звичайно, я знаю, що це не порівняння яблука з яблуком, і наші передові обчислювальні можливості можуть пришвидшити процес. Однак, економія кількох хвилин на день має значення, особливо в SOC з десятьма, двадцятьма чи п'ятдесятьма аналітиками з безпеки. Підсумок – SIEMs чудово підходять для вирішення суто випадків використання, пов'язаних з дотриманням вимог, оскільки вони збирають усі дані журналів, але для випадків використання в сфері безпеки, які ви зазвичай продаєте, вам потрібна технологія, яка розуміє різницю між релевантними журналами безпеки та нерелевантними, і збирає лише те, що їй потрібно.
SIEMне подобається всім
Коли я займався маркетингом продукту для іншого постачальника (ім'я якого я не називатиму), одним із найпоширеніших запитань було: «Чи підтримуєте ви продукт XYZ?» або «Чи можу я імпортувати дані з продукту ABC?». Досвідчені покупці засобів безпеки, які не раз побували в цьому цирку постачальників, розуміють, як постачальники засобів безпеки применшують відсутність попередньо вбудованих інтеграцій з вашими продуктами. Вони кажуть щось на кшталт: «Я можу це зробити для вас, без проблем» або «Я впевнений, що це в дорозі; дозвольте мені повернутися», тоді як насправді їм доведеться повернутися до своєї команди інтеграції та благати і благати про нову інтеграцію, особливо якщо їм потрібно закрити вашу угоду, щоб досягти свого показника за квартал. Тепер хтось із команди інтеграції створює одноразовий сценарій, який показує дані, що надходять з вашого продукту в... SIEM бекенд, сподіваючись, що ніхто не прискіпується до того, що було доставлено. Знову ж таки, якщо ви тут вже деякий час, я впевнений, що це звучить знайомо.
Сумна реальність полягає в тому, що більшість SIEMs складно інтегрувати, враховуючи складність їхніх моделей даних. Можливо, ви зможете написати власні інтеграції, і якщо це так, чудово, але що станеться, коли SIEM постачальник випускає нову версію та порушує вашу інтеграцію? Повернення до початкового стану. Підсумок – готові інтеграції до SIEM що робота – це те, чого ви повинні очікувати від свого SIEM постачальника. Якщо ви цього не отримаєте сьогодні, час адаптації вашого клієнта постраждає, а в гіршому випадку ви втратите клієнтів, які чекають на вашу SIEM постачальника, щоб забезпечити інтеграцію, яка, на вашу думку, працюватиме.
Ми допомогли багатьом постачальникам послуг з управління нерухомістю (MSSP) побачити переваги позбавлення від старих або не дуже старих SIEM і замінюючи його нашим Зоряний кібер Open XDR платформаЗ нашою платформою ви отримуєте:
– Правильна автоматизація там, де вона потрібна: Мета Stellar Cyber — максимально автоматизувати виявлення, розслідування та усунення загроз. Коли ви переходите на Stellar Cyber, ваші дні турбот про те, що правила кореляції застаріють, закінчилися. Stellar Cyber виконує всю важку роботу, забезпечуючи швидше залучення клієнтів.
– Інтелектуальний збір даних: ми збираємо дані, що стосуються безпеки, що дозволяють нашим AI / ML механізм виявлення загроз для якомога швидшего виявлення загроз. Коли секунди мають значення, Stellar Cyber гарантує, що у вас є всі можливі секунди.
– Ласкаво просимо всіх: Якщо ти SIEM і Stellar Cyber влаштовували вечірки, наша вечірка виглядала б як зустріч випускників, де всі чудово проводили час; SIEM Вечірка може виглядати як зібрання людей, які ніколи не зустрічалися. Іншими словами, архітектура Stellar Cyber є відкритою, з інтеграцією практично з усіма популярними інструментами безпеки, ІТ та продуктивності, що пришвидшує адаптацію клієнтів та зростання вашого бізнесу.
Ми багато чому зобов'язані SIEMsВони відкрили нам очі на важливість аналізу даних, але сьогодні ви можете зробити краще, ніж SIEM ви використовуєте. Щоб дізнатися більше про Stellar Cyber, перегляньте наш Специфічний для MSSP п'ятихвилинна екскурсія.
