Năm 2012, tôi làm việc cho một trong những nhà cung cấp đầu tiên cung cấp dịch vụ bảo mật (security-as-a-service). Vào thời điểm đó, việc bảo mật môi trường của bạn từ đám mây là công nghệ tiên tiến, và nhiều nhóm bảo mật còn e ngại việc đưa thêm một điểm yếu tiềm ẩn vào hệ thống bảo mật của họ. Ngày nay, việc triển khai một dịch vụ như vậy đã trở nên dễ dàng hơn nhiều. SIEM, XDRViệc triển khai nền tảng SecOps trên phần cứng vật lý dường như đã lỗi thời đối với nhiều nhà lãnh đạo an ninh hiện nay.
Thật vậy, có những lý do chính đáng khiến các nhóm bảo mật coi đám mây là lựa chọn triển khai ưa thích của họ cho các sản phẩm bảo mật, từ tăng tốc độ triển khai đến giảm chi phí và tính linh hoạt để truy cập sản phẩm từ bất kỳ trình duyệt web an toàn nào. Điều đó cho thấy, nhóm bảo mật có những lý do chính đáng như nhau để lựa chọn cách tiếp cận nền tảng hoạt động bảo mật tại chỗ. Dưới đây là bốn lý do tại sao việc triển khai tại chỗ có thể là lựa chọn phù hợp cho tổ chức của bạn.
Bốn lý do để triển khai tại chỗ
1. Dữ liệu có độ nhạy cao
Mọi nhóm bảo mật đều ưu tiên bảo mật dữ liệu của công ty họ. Tuy nhiên, nếu tổ chức của bạn xử lý thông tin mật, bạn có thể được yêu cầu đảm bảo rằng dữ liệu không bao giờ rời khỏi môi trường của bạn. Trong những trường hợp như vậy, việc sử dụng bất kỳ sản phẩm bảo mật dựa trên đám mây nào là điều không nên bắt đầu. Bằng cách triển khai nền tảng SecOps tại chỗ, bạn có thể yên tâm rằng nhật ký nhạy cảm và thông tin bảo mật khác của bạn vẫn được giữ an toàn trong các bức tường của môi trường, cung cấp thêm một lớp bảo vệ.
2. Quy định
Mức độ mà các cơ quan quản lý xem xét kỹ lưỡng một ngành có thể rất khác nhau tùy thuộc vào loại dữ liệu mà tổ chức xử lý và khả năng dữ liệu đó, nếu bị xâm phạm, sẽ gây ra tổn hại đáng kể cho khách hàng. Ví dụ: các tổ chức chăm sóc sức khỏe, tài chính và chính phủ phải tuân thủ các yêu cầu quy định nghiêm ngặt, chẳng hạn như GDPR, HIPAA và các luật bảo vệ dữ liệu khu vực khác. Giả sử tổ chức của bạn là một phần của một trong những ngành được quản lý chặt chẽ này. Trong trường hợp đó, bạn có thể không có lựa chọn nào khác ngoài việc triển khai nền tảng SecOps tại chỗ để loại bỏ các vi phạm quy định tiềm ẩn.
3. Tùy chỉnh và kiểm soát phiên bản
Tùy thuộc vào khả năng của nhóm bảo mật và các trường hợp sử dụng được nhắm mục tiêu, bạn có thể cần triển khai một số cấu hình và/hoặc mã tùy chỉnh trên nền tảng SecOps có sẵn. Khi làm việc với nền tảng SecOps dựa trên đám mây, nhà cung cấp có thể hạn chế khả năng thực hiện các loại tùy chỉnh này của bạn đối với nền tảng. Ngoài ra, nhà cung cấp có thể áp dụng các bản cập nhật cho nền tảng SecOps mà không cần thông báo trước, điều này có thể khiến nhóm bảo mật của bạn gặp khó khăn. Với việc triển khai tại chỗ, nhóm bảo mật của bạn có thể triển khai các chính sách bảo mật và/hoặc tự động hóa riêng biệt mà có thể khó triển khai trên nền tảng dựa trên đám mây. Mức độ linh hoạt và khả năng kiểm soát này có thể trao quyền cho nhóm của bạn, cho phép họ điều chỉnh nền tảng theo nhu cầu cụ thể của mình và duy trì quyền kiểm soát phiên bản mà không có bất kỳ hạn chế bên ngoài nào.
4. Cân nhắc về hiệu suất
Mặc dù hầu hết các tổ chức đều làm việc với mạng tốc độ cao có khả năng giảm thiểu độ trễ, ngay cả khi tải lên hoặc tải xuống các tập dữ liệu lớn, một số tổ chức có thể gặp khó khăn với độ tin cậy/ổn định của mạng do vị trí văn phòng của họ. Ngoài ra, có những trường hợp một tổ chức hoặc một bộ phận của tổ chức không có kết nối internet để tuân thủ các chính sách nội bộ hoặc bên ngoài. Nếu bạn đang ở trong tình huống tương tự, mô hình triển khai tại chỗ là lựa chọn thực sự duy nhất của bạn.
Chọn Nền tảng SecOps tại chỗ tiếp theo của bạn
Mặc dù tôi đã nêu ra bốn lý do tại sao việc triển khai tại chỗ lại cần thiết... SIEM Hoặc có thể cần đến một nền tảng vận hành an ninh, còn nhiều nền tảng khác nữa. Bất kể lý do tại sao bạn phải triển khai tại chỗ là gì, câu hỏi hợp lý tiếp theo có thể là, “Làm thế nào để tôi chọn một giải pháp?” SIEM"Nền tảng SecOps nào đáp ứng nhu cầu triển khai của tôi?"
Dưới đây là ba đề xuất khi chọn nền tảng tại chỗ của bạn.
1. Khả năng
Mặc dù điều này là hiển nhiên, nhưng các nền tảng vận hành bảo mật hỗ trợ khả năng triển khai tại chỗ rất khác nhau. Ở mức thấp nhất của phổ khả năng, bạn có thể được các nhà cung cấp giới thiệu một nền tảng có thể triển khai tại chỗ cho phép bạn nhập dữ liệu nhật ký từ nhiều nguồn khác nhau nhưng yêu cầu bạn tạo, quản lý và duy trì tất cả các quy tắc phát hiện và tương quan. Sản phẩm này là một công cụ quản lý nhật ký được tôn vinh, chắc chắn sẽ khiến nhóm của bạn hoạt động kém hiệu quả hơn về lâu dài.
Ở phía đối diện của phổ sản phẩm là các sản phẩm có khả năng tích hợp dễ dàng cấu hình, thu thập cảnh báo bảo mật từ bên thứ ba, dữ liệu nhật ký, lưu lượng mạng và luồng hoạt động của người dùng và tài sản. Sau đó, các mô hình học máy và trí tuệ nhân tạo, kết hợp với các quy tắc phát hiện do nhà cung cấp thiết lập, sẽ tự động phát hiện các mối đe dọa nâng cao mà không cần sự can thiệp của con người. Stellar Cyber Open XDR Nền tảng hoạt động theo cách này.
Khi đánh giá các lựa chọn của bạn, hãy đặt các câu hỏi thăm dò liên quan đến khả năng và nhấn mạnh vào bằng chứng về khái niệm (PoC) trong môi trường của bạn để xác thực các tuyên bố của nhà cung cấp.
2. Tích hợp
Như đã đề cập trong đề xuất đầu tiên của tôi, việc tích hợp là rất quan trọng để nhận được giá trị từ bất kỳ nền tảng hoạt động bảo mật nào. Bất kỳ ai đã từng làm việc với một sản phẩm yêu cầu tích hợp thủ công, tùy chỉnh đáng kể đều biết cơn ác mộng mà điều này có thể nhanh chóng trở thành. Thứ nhất, không phải tất cả các nhóm bảo mật đều có kỹ năng kỹ thuật để tạo ra các tiện ích tích hợp của mình, vì vậy họ phải ký hợp đồng với một nguồn lực bên ngoài để tạo và duy trì các tiện ích tích hợp, trả thêm phí cho nhà cung cấp để xây dựng các tiện ích tích hợp hoặc thuê một nguồn lực chuyên dụng để sở hữu các tiện ích tích hợp. . Trong bất kỳ trường hợp nào, kết quả là một nền tảng có giá cao hơn nhiều so với dự kiến theo thời gian.
Tùy chọn tốt hơn là chọn một nền tảng nơi nhà cung cấp đầu tư nỗ lực và nguồn lực của họ vào việc tạo ra các tích hợp mà nhóm bảo mật của bạn có thể dễ dàng định cấu hình. Ví dụ: nền tảng của chúng tôi bao gồm hàng trăm tiện ích tích hợp dựng sẵn dành cho tất cả người dùng mà không mất thêm phí. Hơn nữa, nếu khách hàng cần tích hợp bổ sung, chúng tôi sẽ phát triển chúng mà không mất thêm phí.
Khi nói chuyện với nhà cung cấp, hãy đảm bảo họ hiểu sản phẩm bạn định tích hợp và liệu nền tảng của họ có hỗ trợ chúng hay không. Xác thực bất cứ điều gì họ nói trong quá trình PoC.
3. Lộ trình
Việc phát hiện ra rằng một sản phẩm mà bạn đã đầu tư và kết hợp làm trung tâm cho quy trình bảo mật của mình không có tương lai ngoài dự kiến có thể khiến ngay cả nhà lãnh đạo bảo mật dày dạn kinh nghiệm nhất cũng phải thất vọng.
Ví dụ, việc Palo Alto Networks gần đây mua lại IBM QRadar. SIEM Mây đã rời đi IBM QRadar tại chỗ khách hàng trong cái lạnh. Nếu những khách hàng này phải duy trì hoạt động tại chỗ, họ cần một nhà cung cấp khác để đáp ứng nhu cầu triển khai và giúp họ di chuyển dữ liệu, cấu hình và quy tắc QRadar hiện có sang nền tảng mới một cách nhanh chóng.
Mặc dù các sản phẩm có lộ trình có thể bị cuốn vào các hành động liên quan đến cổ đông, chẳng hạn như sáp nhập hoặc mua lại, nhưng việc thấy rằng nhà cung cấp có các kế hoạch vượt xa phiên bản hiện tại của nền tảng ít nhất cũng cho bạn biết rằng nền tảng sẽ tiếp tục phát triển dựa trên những thay đổi trong bối cảnh mối đe dọa và nhu cầu của người dùng.
Ví dụ: tại Stellar Cyber, chúng tôi thường xuyên xem xét lộ trình của mình với khách hàng và khách hàng tiềm năng cho nền tảng của chúng tôi. Nền tảng này có thể được triển khai tại chỗ, trên đám mây hoặc được đồng quản lý bởi MSSP mà bạn chọn. Chúng tôi minh bạch với khách hàng để cho họ biết rằng chúng tôi cam kết hỗ trợ triển khai trên nền tảng đám mây và tại chỗ với các chức năng tương tự trong tương lai. Cam kết này cũng cho phép khách hàng của chúng tôi điều chỉnh phương pháp bảo mật của họ khi mọi thứ thay đổi đối với họ. Ví dụ: nếu tổ chức có thể chuyển từ triển khai tại chỗ sang đám mây trong tương lai, thì tổ chức đó có thể thực hiện quá trình di chuyển đó một cách liền mạch với Stellar Cyber mà không cần tìm hiểu một sản phẩm hoàn toàn khác.
Đóng cửa suy nghĩ
Bảo mật không phải là một đề xuất phù hợp cho tất cả.
Mặc dù điện toán đám mây mang lại khả năng mở rộng quy mô kinh doanh nhanh chóng và giúp đội ngũ bảo mật quản lý chi phí và nguồn lực, nhưng vẫn có những lý do chính đáng để triển khai một hệ thống riêng biệt. SIEM/XDRNền tảng /SecOps tại chỗ. Việc tuân theo những khuyến nghị đơn giản mà tôi đã thảo luận là một điểm khởi đầu tốt trong quá trình tìm kiếm nền tảng tiếp theo của bạn. Để xem Stellar Cyber hoạt động như thế nào Open XDR Nền tảng vận hành an ninh (Security Operations Platform) có thể đáp ứng nhu cầu triển khai tại chỗ của bạn. liên hệ với chúng tôi ngay hôm nay để thiết lập tư vấn cá nhân. Ngoài ra, nếu bạn là khách hàng tích cực của IBM QRadar On-Premise muốn phát triển nhanh chóng, chúng tôi có chương trình khuyến mãi đặc biệt dành riêng cho bạn.
