Những bài học kinh nghiệm từ quá trình tìm kiếm và tích hợp của chúng tôi XDR
Internet đáng tin cậy hiện đang triển khai sao điện tử XDR –như một SOC- Giải pháp được giám sát hoặc dưới dạng Cơ sở hạ tầng như một dịch vụ (Infrastructure as a Service).
Sự thổi phồng tiếp thị xung quanh XDR Âm thanh này quá chói tai đối với những ai đang cân nhắc điều đó. XDRThật khó để phân biệt đâu là thật giữa những trang web bóng bẩy và những lời quảng cáo hào nhoáng. Vì vậy, tôi muốn chia sẻ một vài bài học kinh nghiệm – từ góc nhìn của CEO một công ty tự huy động vốn. MSSP, Tôi hy vọng điều này sẽ giúp ích cho quyết định mua hàng của bạn.
Trong bốn năm qua, chúng tôi đã trở thành một MSSP Fortinet hoàn hảo. Chúng tôi yêu thích tường lửa Fortinet của chúng tôi, với những người của chúng tôi được chứng nhận thông qua NSE7, làm việc chăm chỉ để điều chỉnh các cỗ máy tốc độ cao được tích hợp đầy đủ tính năng để hoạt động theo ý muốn của chúng tôi. Vì nhiều lý do, khoảng hai năm trước, chúng tôi đã quyết định bắt đầu tìm kiếm một cách để đáp ứng các yêu cầu từ những khách hàng tiềm năng để không phải trích xuất và thay thế các hệ thống bảo mật hiện có của họ.
Cũng, SOC, NOC, BDU, MDR, NDR, MSSPTại sao người ta không kết hợp tất cả chúng vào một hộp duy nhất, hộp đó hiểu TẤT CẢ các nhật ký của chúng và sử dụng một chút máy học để huấn luyện AI nhằm hỗ trợ tốt hơn? SOC Các nhà phân tích? Tôi có một người bạn cũ từng gọi thứ này là "Hộp Thần". Nó biết tất cả mọi thứ.
XDR Đây là phần mở đầu của Hộp Thần.
Yêu cầu của chúng tôi:
- Nó phải tích hợp tất cả các nhà cung cấp khác trong môi trường của khách hàng mà không yêu cầu họ tách và thay thế cơ sở hạ tầng hiện có của họ.
Chúng tôi không muốn triển khai một tác nhân cho mọi máy tính. Họ đã có AV và Anti-Evasion. Chúng tôi không muốn tải trên một hệ thống điểm cuối khác.
Chúng tôi muốn khả năng tích hợp phân tích luồng mạng để phát hiện sự bất thường nhưng có thể không muốn nó 100% thời gian. Flow tạo ra khối lượng lớn dữ liệu mà chúng tôi muốn có thể bật và tắt khi cần dựa trên các chỉ báo khác.
- Nó phải đáp ứng tất cả các yêu cầu về thu thập/phân tích nhật ký NIST 800-171.
Mặc dù ISO, CIS, HIPAA hoặc PCI yêu cầu tổng hợp và phân tích tất cả các nhật ký này, nhưng NIST 800-171 yêu cầu các mục nhập nhật ký được giám sát từ gần như mọi thiết bị cho mọi sự kiện – cơ sở hạ tầng, điểm cuối và bảo mật.
Chúng tôi cần tìm một cách tốt hơn để theo dõi các nhật ký này và thực hiện theo cách mà cơ sở khách hàng tập trung vào SMB của chúng tôi có thể chi trả được. Để làm được điều đó, chúng tôi cần có khả năng đưa chúng vào một hệ thống hiểu được từng nhật ký cần thiết.
-
Nó phải là nhiều người thuê.
Vào thời điểm đó, tôi không hề biết mình sẽ có nhiều nghi ngờ về trí tuệ nhân tạo đến vậy cho đến khi xem xong các video khác nhau. XDRHãy chuẩn bị sẵn sàng với một đội ngũ thông minh.
Chúng tôi đã so sánh cái này với cái khác, thực hiện thử nghiệm A|B trong khi sử dụng FortiAnalyzer và dữ liệu nhật ký thô trong ngăn xếp Lucene của chúng tôi làm đường cơ sở
-
Lý tưởng nhất là XDR phải đáp ứng nhu cầu của mọi nhà cung cấp, không chỉ những nhà cung cấp do chính họ xây dựng. XDR nhà cung cấp.
Một số XDR Các nhà cung cấp mà chúng tôi đã xem xét tự xây dựng hệ thống AV, IPS, v.v. của riêng họ. Một số khác thì sản xuất theo đơn đặt hàng của bên thứ ba nhưng không muốn thảo luận về điều đó.
Dù sao đi nữa, tôi vẫn muốn biết các công cụ được tích hợp sẵn trong... XDR đã trưởng thành và được kiểm nghiệm.
- Nếu có một thành phần đám mây, tôi muốn có bằng chứng rằng môi trường đám mây của họ là an toàn.
Tất cả dữ liệu về lỗ hổng bảo mật của khách hàng chúng tôi sẽ được lưu trữ ở đó. Tôi không muốn xảy ra vi phạm dữ liệu nào trong hệ thống của chúng tôi. XDR Nhà cung cấp làm rò rỉ thông tin về lỗ hổng bảo mật của khách hàng. Từ góc độ tình báo, đây là một mục tiêu cực kỳ béo bở. Chắc chắn là phải an toàn.
Chúng tôi đánh giá bảo mật hệ thống phụ trợ của tất cả các nhà cung cấp. Trong quá trình tìm kiếm nhà cung cấp, khi thực hiện việc này, chúng tôi nhận thấy một vấn đề. XDR Nhà cung cấp có một sản phẩm tuyệt vời nhưng các dịch vụ được cung cấp trên môi trường điện toán đám mây chưa từng được kiểm tra bảo mật!
Tuân thủ là tốt, nhưng quan trọng hơn? Hướng dẫn tôi cách bạn bảo vệ dữ liệu. Làm cho tôi cảm thấy thoải mái rằng bạn đã thực hiện các biện pháp để bảo vệ dữ liệu. Tôi đã rất ngạc nhiên bởi nhiều hơn một người không thể làm điều này.
- Cấu trúc giá phải có thể dự đoán được 100%.Chi phí biến đổi là yếu tố gây hại. Tôi muốn đảm bảo rằng chúng ta sẽ không gặp phải bất kỳ sự cố bất ngờ nào. Nếu một XDR Nhà cung cấp hỏi bạn, “Bạn có bao nhiêu thiết bị đầu cuối?” CHẠY NGAY. Cấu trúc giá phải phù hợp với khả năng của chúng ta để tích hợp nó vào chi phí đăng ký, với biên lợi nhuận hợp lý. Trong thế giới MSSP, SOC Chi phí có thể khiến chúng ta thất bại nhanh hơn bất cứ điều gì khác. Làm thế nào để một nhà cung cấp dịch vụ bảo mật được quản lý (MSSP) có thể mở rộng quy mô mà không gây tốn kém quá nhiều chi phí nhân công bảo mật thông tin ngày càng đắt đỏ?
Cuộc tìm kiếm nàng Lọ Lem của chúng ta XDR (Cái phù hợp với chúng ta một cách hoàn hảo!):
Chúng tôi đã xem xét hàng chục nhà cung cấp - chắc hẳn bạn đã từng nghe đến tên của họ. Sau gần hai năm phân tích cạnh tranh, trình diễn sản phẩm và dùng thử từ gần một chục nhà cung cấp khác nhau. XDR Sau khi xem xét các công ty khác nhau, chúng tôi thu hẹp phạm vi xuống còn hai công ty đang trong giai đoạn thử nghiệm, và Stellar Cyber đã thuyết phục được chúng tôi.
Đây là một khoản đầu tư vốn đáng kể đối với chúng tôi. Chúng tôi muốn đảm bảo rằng chúng tôi đã làm điều này đúng và có thể thu lại khoản đầu tư của mình với khối lượng và hiệu quả tăng thêm. Thay vì sử dụng phiên bản đám mây của họ, chúng tôi đã mua máy chủ 88 nhân, 20Tb. Hệ thống này được thiết kế để phân tích cú pháp và phân tích lượng dữ liệu khổng lồ từ hàng chục thiết bị cơ sở hạ tầng, nhật ký điểm cuối và hệ thống bảo mật. Chúng tôi muốn nó được bảo vệ, vì vậy chúng tôi đã đặt nó trong cơ sở an toàn của mình ở Trung tâm dữ liệu Iron Mountain và thực hiện thử nghiệm 'ăn thức ăn cho chó của bạn' đầu tiên vào đầu mùa hè năm ngoái.
Chúng tôi có NHIỀU bài học kinh nghiệm. Tôi sẽ không thể chia sẻ tất cả chúng trong một bài báo ngắn, nhưng tôi nghĩ sẽ tốt hơn nếu chia sẻ một số bài viết lớn hơn.
-
XDR Nó cung cấp một giải pháp tuyệt vời để tập hợp hầu hết mọi thông tin mà bạn có thể tưởng tượng vào một màn hình duy nhất. Chúng tôi thấy nó quá sức tưởng tượng.
-
Đây không phải là công cụ dành cho người mới bắt đầu. XDR có thể gây ra sự mơ hồ không đáng có. Bạn sẽ cần một đội ngũ thông minh để đánh giá mọi thứ. XDR va chạm trước khi kích hoạt SOAR. Trong khi AI học hỏi từ... XDR Với lượng khách hàng lớn hơn của nhà cung cấp, họ cũng học hỏi được nhiều điều thông qua các hành động được thực hiện bởi... qua một vài thao tác đơn giản về các nhà phân tích. Họ cần phải thông minh.
-
Hầu hết XDR giải pháp muốn định giá theo điểm cuối. Đây là một kẻ giết người thỏa thuận. Nếu nhân viên bán hàng hỏi: “Bạn có bao nhiêu điểm cuối?”… CHẠY.
XDR Nó cung cấp một giải pháp tuyệt vời để tập hợp hầu hết mọi thông tin mà bạn có thể tưởng tượng vào một màn hình duy nhất. Chúng tôi thấy nó quá sức tưởng tượng.
XDR Đó là một ý tưởng tuyệt vời, nhưng thực hiện kém sẽ phá hỏng cả ngày của bạn. Các chuyên gia CNTT muốn ngay lập tức áp dụng mọi thứ (kể cả những thứ không cần thiết) vào chiếc hộp thần kỳ này. Và mặc dù tôi hoàn toàn hiểu mong muốn của dân công nghệ về "càng nhiều dữ liệu càng tốt", điều đó đã khiến quá trình đào tạo của chúng tôi trở nên khó khăn hơn. SOC Các nhà phân tích cực kỳ khắt khe.
Những thiết bị này có thể xử lý hầu hết mọi lượng dữ liệu mà bạn đưa vào. Chúng tôi khuyên bạn không nên đưa nhiều hơn một luồng dữ liệu vào cùng một lúc; ít nhất là cho đến khi bạn quen với kết quả mà máy sẽ trả về. Tại sao? Máy sẽ tự động tạo ra kết quả dựa trên các quy tắc đã được thiết lập sẵn. Bạn sẽ thấy rằng một số kết quả tốt, nhưng không phải tất cả - và sẽ có rất nhiều kết quả như vậy. SOC Các nhà phân tích cần phải hiểu rõ hơn. Ban đầu, họ sẽ phải vất vả xem xét từng cảnh báo một để xác minh và kiểm chứng - liệu... XDR Gọi nó là gì? Có sai không? Cần phải thực hiện những hành động nào? Trí tuệ nhân tạo, tự động hóa? Chiếc hộp thần kỳ? Tất cả đều tốt, nhưng nếu không có kiến thức nền tảng vững chắc về những gì máy móc gọi là tốt và xấu, bạn có thể thấy mình bị choáng ngợp. Chúng tôi đã từng. Có rất nhiều điều ẩn giấu trong chiếc hộp đen. Hãy đi chậm. Hãy để các nhà phân tích của bạn học hỏi. Chỉ đưa vào một luồng dữ liệu mỗi lần.
Khuyến nghị của Stutzman: Tốc độ giết chết. Đi chậm. Bắt đầu với một nguồn cấp dữ liệu. Làm cho nó được chuẩn hóa, sau đó thêm phần tiếp theo.
Biết điều này. XDR Đây không phải là công cụ dành cho người mới bắt đầu.
Tôi lấy một vài cái SOC Tôi thay đổi lịch làm việc mỗi quý để duy trì kỹ năng của mình. Điều đó giúp tôi luôn cập nhật kiến thức. SOCVà có lẽ tôi làm việc này vì nó là một trong những công việc yêu thích của tôi! Dù sao thì, trong ca làm việc đầu tiên của tôi với một chiếc Stellar vận hành mới trong dự án đầu tiên của chúng tôi... XDR Khách hàng, vào khoảng 2 giờ sáng, tôi phát hiện mình đang theo dõi hoạt động nội bộ phía sau tường lửa nhưng rõ ràng là trên mạng, với một cảnh báo cho biết mật khẩu dạng văn bản thuần đang được truyền đi với số lượng lớn đến mười lăm hệ thống khác nhau. Ngân hàng này không mở cửa lúc 2 giờ sáng.
Tôi nghĩ rằng chỉ có hai cách giải thích: thỏa hiệp hoặc quét lỗ hổng. Hóa ra khách hàng đang chạy OpenVAS để kiểm tra phản hồi của chúng tôi (chúng tôi đã vượt qua!), nhưng… chúng tôi thấy nó như thế nào? Tôi đang xem dữ liệu nội bộ từ những nơi chúng tôi chưa từng thấy trước đây! Chúng tôi hiện đang ghi nhật ký Windows, nhật ký cơ sở hạ tầng, nhật ký xác thực và luồng mạng từ ngân hàng 60 người. Chúng tôi đã thu được gần 40 GB nhật ký mỗi ngày. Tôi cảm thấy mình giống như ông Magoo, người cuối cùng cũng có được cặp kính tốt và lần đầu tiên nhìn thấy màu sắc!
Trong quá trình tích hợp hoàn toàn, chúng tôi vẫn giữ lại FortiAnalyzer và Lucene Stack để cho phép các nhà phân tích của chúng tôi không cần phải can thiệp vào hệ thống cũ nữa. XDR môi trường và xem dữ liệu được trình bày theo cách mà họ quen thuộc. Chúng tôi sẽ thực hiện chuyển đổi song song vào một thời điểm nào đó khi các giấy phép cũ hết hạn. Tuy nhiên, trong quá trình chuyển đổi, các nhà phân tích cấp 1 (nhà phân tích phân loại) của chúng tôi buộc phải học các kỹ năng chuyên sâu hơn. Phân loại có thể sẽ trở thành dĩ vãng khi... XDR Thực hiện các thao tác tự động cho những công việc thường ngày hơn, chẳng hạn như chặn một máy quét mới hoặc xác thực kết quả của các công cụ trước khi chuyển tiếp chúng để xử lý.
Khuyến nghị của Stutzman: Các nhà phân tích của bạn cần đủ thông minh để hiểu điều gì đang xảy ra trong dữ liệu trước khi Trí tuệ nhân tạo và Tự động hóa tiếp quản và máy móc mới sẽ mắc lỗi. Tôi đã sáu mươi tuổi và đã làm công việc này trong một thời gian dài, nhưng tôi vẫn muốn có một đôi mắt thứ hai. Đây không phải là một công cụ cấp nhập cảnh. Đó là một công cụ cấp chuyên gia.
Hầu hết XDR Các giải pháp này thường tính giá theo điểm cuối. Đây là một yếu tố cản trở lớn.
Nếu một XDR Nhà cung cấp hỏi, “Bạn có bao nhiêu thiết bị đầu cuối?” CHẠY NGAY!! Việc đếm số thiết bị đầu cuối không hiệu quả trong XDR Giá cả. Bạn sẽ không thích sự bất ngờ này đâu. Tôi không thể nhấn mạnh điều này hơn nữa.
Chúng tôi đã học được điều này một cách khó khăn. Nirvana cho MSSP có dữ liệu từ nhiều thiết bị trên một ô kính. Chúng tôi đã cài đặt Stellar Cyber vào hoạt động vào mùa hè năm ngoái cho các hoạt động nội bộ của chính chúng tôi. Chúng tôi tin vào việc “ăn thức ăn cho chó của riêng bạn” trước khi bắt đầu bán hàng (chúng tôi sử dụng mọi thứ chúng tôi bán).
Tôi đã yêu cầu Giám đốc CNTT của mình thực hiện từng bước một. Đưa một luồng thông tin vào hệ thống và xem nó hoạt động bình thường như thế nào. Thật không may, theo hướng dẫn của nhà cung cấp, ông ấy đã lắp đặt một cổng span vào bộ chuyển mạch lõi của chúng tôi và đẩy tất cả dữ liệu vào Stellar. Hệ thống trở nên hỗn loạn. XDR Hệ thống đã tạo ra luồng dữ liệu giả cho hơn 40,000 thiết bị. Mọi thiết bị IoT, thiết bị di động, máy tính, máy chủ, mọi thiết bị có địa chỉ IP nằm sau tường lửa của chúng tôi, ở bất cứ đâu trong danh mục khách hàng của chúng tôi, giờ đây đều được tính là một điểm cuối. Đội ngũ bán hàng của chúng tôi rất tuyệt vời. Chúng tôi không bị tính phí trong khi tìm cách chuẩn hóa, vì vậy chúng tôi đã tắt hệ thống tự động và bắt đầu với từng khách hàng một, bắt đầu từ cơ sở hạ tầng của chính chúng tôi. Chúng tôi không muốn mất độ chính xác, vì vậy cuối cùng chúng tôi đã sử dụng giấy phép số lượng lớn dựa trên lượng dữ liệu, chứ không phải số lượng điểm cuối.
Khuyến nghị của Stutzman: Yêu cầu trả trước, sau đó ném bao nhiêu tùy thích vào nó.
Chúng tôi đã có hệ thống của mình gần một năm nay, đầu tiên là bằng chứng về giá trị bắt đầu từ tháng 800 năm ngoái, sau đó đi vào hoạt động trong mùa hè và hiện đã hoạt động đầy đủ, triển khai hệ thống để hỗ trợ nhiều dự án liên quan đến NIST 171-100 mà chúng tôi 'đã tham gia và nơi chúng tôi có những khách hàng có môi trường không đồng nhất. Nó đã làm một công việc tuyệt vời. Có phải chúng ta XNUMX%? Không. Chúng tôi vẫn yêu cầu viết trình phân tích cú pháp cho các công cụ chưa có sẵn. Chúng tôi vẫn chưa bật SOAR hoàn toàn và thành thật mà nói, tôi do dự khi làm như vậy ở một số địa điểm khách hàng mong manh hơn của chúng tôi, nơi chúng tôi không biết (các) hành động tự động có thể gây ra loại hiệu ứng gợn sóng nào.
Chúng ta có hài lòng vì đã mua sản phẩm này không? XDRChắc chắn rồi. Hệ thống này có giá tương đương với việc thuê một vài nhà phân tích giỏi, nhưng tôi tin tưởng rằng nó sẽ cho phép chúng tôi mở rộng quy mô sang các khách hàng mà trước đây chúng tôi không thể tiếp cận được.
Chia sẻ là quan tâm. Chúng tôi đã trải qua một số bài học khó khăn và những khoảnh khắc đáng sợ về ngân sách, khi tôi nghĩ rằng chúng tôi sẽ phải chi những khoản tiền lớn để trả cho thứ này — nhiều hơn số tiền tôi có trong tài khoản cả năm. Nhóm Stellar của chúng tôi thật tuyệt vời, mặc dù chúng tôi chỉ là một "cá nhỏ" trong "ao lớn" của họ. Tôi hy vọng điều này sẽ hữu ích khi bạn cân nhắc việc tự mình thực hiện. XDR mua hàng. Hoặc, nếu bạn muốn, hãy liên hệ với chúng tôi. Chúng tôi rất sẵn lòng tạo ra sản phẩm cho bạn. qua một vài thao tác đơn giản về XDR trong môi trường Stellar Cyber đa người dùng mới của chúng tôi.
