Якщо говорити очевидно, то не існує такого поняття, як ідеальний продукт кібербезпеки.
Хоча фахівці з безпеки щодня використовують багато чудових продуктів для забезпечення безпеки своїх організацій, кожен із них має особливості, які можна покращити. Однак, оскільки стеки безпеки стають дедалі складнішими, всі ці «Не ідеально» разом узяті елементи можуть перетворитися на щоденний кошмар. Головне для керівників команд безпеки — усвідомити, коли біль, який завдає стек безпеки, перевищує те, що команда може впоратися.
Ми закінчилися 7,000 клієнтів користуються нашими Open XDR Платформа SecOpsПід час розмов з нашими клієнтами вони часто обговорюють, як вони могли б виключити зайві, менш цінні продукти зі свого стеку безпеки, головним чином через кількість можливостей, вбудованих у нашу платформуУ цих розмовах я неодноразово чув три випадки розчарування, що й наштовхнуло мене на ідею написати цей блог. Ось три ознаки того, що ви, можливо, готові змінити свій стек безпеки.
- Ви витрачаєте більше часу на переслідування свого постачальника, ніж на зловмисникаКожен розроблений продукт має дефекти. Однак, не всі дефекти однакові. Аналітики безпеки звикли обходити незначні проблеми в продукті, що, хоча й дратує, дозволяє їм завершити розслідування. Однак їхня здатність досягати результатів у сфері безпеки різко зупиняється, коли щось критично важливе виходить з ладу. Час від часу це може статися з будь-яким продуктом безпеки, але коли це стає регулярним явищем, це великий червоний миготливий попереджувальний знак. Якщо ваш постачальник постійно має випускати виправлення, які зрештою ламають інші речі, саме час почати зважувати свої варіанти, щоб сказати... щасливої дороги цьому продавцю та його несправному продукту.
- Список контактів ваших постачальників довший, ніж ваша телефонна книгаРоками раніше, коли кібербезпека була «простою» (тут вставте сміх), команди безпеки мали справу лише з кількома продуктами для виконання своєї роботи. Однак сьогодні багато команд безпеки працюють з понад п’ятдесятьма різними продуктами та постачальниками. Хоча завжди додавати найновіший та найкращий продукт до стеку безпеки може бути привабливо, ситуація може легко вийти з-під контролю.
Роки тому, коли я працював з однією компанією над потенційною угодою, директор з інформаційної безпеки цієї компанії поставив питання, яке я завжди пам'ятатиму. Ми презентували його команді нову технологію, яка об'єднувала кілька продуктів, з якими більшість команд безпеки були знайомі. Однак, оскільки наш продукт і категорія продуктів тільки з'являлися, йому не було чітко зрозуміло, що наш продукт може замінити деякі продукти його команди. Під час зустрічі він сказав: «Скажіть мені точно, від чого я можу позбутися, якщо принесу ваш продукт». Я пам'ятаю, як трохи подумав, здивований, що він цього не побачив, але щойно я оговтався від шоку, я розповів йому, яку технологію він міг би виключити, якби вибрав наш продукт. Справа в тому, що сучасні команди безпеки мають більш ніж достатньо технологій, навіть забагато, від занадто багатьох постачальників, що видно зі списку постачальників, з якими працюють лідери у сфері безпеки. Навіть якщо вони купують продукти через перевірену компанію-партнера з безпеки, все одно витрачається багато розумових зусиль і часу на відстеження того, хто вам що продав. Якщо це звучить знайомо, почніть шукати способи консолідації (тобто «очищення») вашого стеку безпеки від меншої кількості постачальників. - «FP» та «DA» трапляються занадто часто: Було б чудово, якби всі постачальники продуктів кібербезпеки працювали разом над створенням спільної моделі даних з можливістю обміну даними та обчислювальною потужністю, щоб гарантувати, що продукти кожного генерують мінімальну кількість хибнопозитивних спрацьовувань та дублікатів сповіщень, але цього просто не станеться. Типові постачальники не охоче співпрацюють з іншими постачальниками; якщо вони це роблять, то схильні робити лише найнеобхідніше. На додаток до цього факту, кібербезпека Продукти страждають від розтягування дії, що означає, що продукт, призначений для вирішення проблеми X, може зрештою мати деякі «шумні» функції, які нібито вирішують проблеми Y та Z. Тому аналітики безпеки регулярно витрачають зусилля на розслідування загрози, яка зрештою виявляється хибнопозитивним результатом або, що ще гірше, дублікатом сповіщення з іншого продукту, який вже досліджує якийсь інший аналітик. Якщо це звучить знайомо, зараз саме час внести зміни заради здорового глузду кожного.
Не існує універсального підходу до кібербезпеки. На ринку є так багато варіантів, але це не означає, що команди безпеки повинні складати свій комплекс засобів безпеки по частинах.
Ми регулярно допомагаємо організаціям усунути складність та витрати на їхній стек безпеки за допомогою наших Open XDR платформа. З Наступний ген SIEM, Платформа Threat Intel, Аналітика безпеки, UEBA, NDR, IDS, аналіз шкідливого програмного забезпечення та можливості SOAR, що входять до складу нашої платформи, а також наша здатність працювати з будь-якими іншими продуктами, які вони використовують, через наш архітектура інтеграції, що не залежить від даних, ці організації не лише оптимізували свій стек безпеки, але й тепер забезпечують кращі та стабільніші результати у сфері безпеки.
Суть: Ви можете змінити те, що використовуєте сьогодні. Зверніть увагу на ці три ознаки та зробіть крок, коли для цього настав час.
