Trong thời kỳ cực kỳ cạnh tranh ngày nay Thị trường MSSP, chủ doanh nghiệp đang tìm cách làm cho dịch vụ của họ hấp dẫn hơn đối với khách hàng và SOCs Hiệu quả hơn. Để kết thúc MSSP thêm công nghệ mới vào ngăn xếp cung cấp bảo mật của họ với hy vọng rằng các khách hàng tiềm năng sẽ xem việc bổ sung này như một cơ hội để thuê ngoài một số hoặc tất cả, giám sát bảo mật của họ. Có một số giá trị đối với chiến lược đó; Thật không may, công nghệ mới thường không mang lại những lợi ích đã nêu của chúng, dẫn đến tình trạng khách hàng bỏ trốn cao hơn. Vì vậy, mặc dù công nghệ và nhóm bảo mật của bạn luôn cập nhật công nghệ bảo mật mới nhất và tốt nhất là điều cần thiết, nhưng đôi khi bạn phải xem xét những gì đã có trong ngăn xếp bảo mật của mình.
Một công nghệ mà tôi đang đề cập cụ thể là SIEM. Tùy thuộc vào người bạn nói chuyện với, chúng tôi hiện đang ở thế hệ thứ ba hoặc thứ tư của SIEM công nghệ; tuy nhiên, khi tôi nói chuyện với các học viên, mức độ thất vọng của họ với SIEM là tại Defcon.
1. Các nhà cung cấp dịch vụ bảo mật được quản lý (MSSP) tiếp tục sử dụng SIEM Điều đó không đáp ứng được nhu cầu của họ vì tốn quá nhiều thời gian và nguồn lực để tháo dỡ và thay thế bằng thứ khác, mà có lẽ cũng sẽ khiến họ thất vọng tương tự.
Hãy để tôi nói về ba cách cũ này SIEM (hoặc thậm chí không quá cũ) SIEMNó đang gây ra nhiều tác hại hơn bạn nghĩ.
SIEMngười lười biếng
Ở đó, tôi đã nói điều đó, nhưng tất cả chúng ta đều biết rằng SIEMs, cho đến gần đây, không làm việc thông minh hơn, chúng khiến bạn làm việc chăm chỉ hơn. Mặc dù họ đã cho phép bạn thu thập tất cả các loại nhật ký và cảnh báo tương quan từ các biện pháp kiểm soát bảo mật khác nhau, nhưng kết quả bạn nhận được chỉ tốt như nhà phân tích bảo mật khéo léo nhất của bạn. Nếu họ là một ninja bảo mật với sự hiểu biết sâu rộng về cảnh quan mối đe dọa và biết cách viết các quy tắc tương quan thông minh, bạn có thể yêu thích SIEM.
Nếu đội của bạn giống hầu hết, nơi các công ty cố gắng và thu hút những người chơi giỏi nhất của bạn, bạn sẽ thấy một sự thay đổi đáng kể trong SIEMs hiệu quả nếu họ đã rời đi. Đúng, NG-SIEM các nhà cung cấp đang cố gắng giải quyết vấn đề này bằng cách cung cấp nhiều nội dung độc đáo hơn (ban giám khảo vẫn chưa đánh giá cao tính hiệu quả của nó). Tuy nhiên, giống như gói Oreo mà con bạn mở và quên đóng đúng cách, nội dung đó nhanh chóng trở nên cũ, khiến bạn phải tạo ra các quy tắc mới hoặc tìm kiếm các cộng đồng để tìm nội dung mà bạn có thể nhập. Điểm mấu chốt, SIEM, Thậm chí NG-SIEMs, đang để lại gánh nặng cho nhóm của bạn, cản trở khả năng thêm số lượng khách hàng mà nhóm của bạn có thể xử lý mà không gặp phải gánh nặng này.
SIEMlà những kẻ ngốn dữ liệu
An ninh mạng ngày nay là một vấn đề về dữ liệu, hãy nhớ rằng, đó là Vấn đề dữ liệu LỚN LỚN. Với rất nhiều sản phẩm được sử dụng hàng ngày, khối lượng nhật ký mà một công ty quy mô vừa phải tạo ra là vô lý. Trong khi các ngành cụ thể yêu cầu thu thập và xem xét nhật ký đầy đủ để tuân thủ quy định này hoặc quy định đó, nhiều khách hàng có thể xem xét MSSP không cố gắng giải quyết vấn đề tuân thủ. Thay vào đó, nhiều người đang tìm cách thực hiện tốt hơn việc xác định và giảm thiểu các mối đe dọa trước khi chúng có thể gây hại cho doanh nghiệp của họ. SIEMsDo bản chất thiên về việc thu thập dữ liệu đầy đủ, các hệ thống này có nghĩa là một nhóm bảo mật muốn xác định các mối đe dọa sẽ phải lội qua hàng biển dữ liệu nhật ký không liên quan với hy vọng tìm ra mối nguy hiểm. Đây không phải là nhiệm vụ bất khả thi vì có lẽ bạn cũng đang làm điều này ngày nay, nhưng hãy tưởng tượng nếu bạn là một người tìm vàng vào những năm 1840. Thay vì dùng chảo để sàng lọc lượng bùn nhỏ tìm vàng, bạn quyết định dùng một cái xô khổng lồ với hy vọng tìm được khoáng chất quý giá đó. Bạn nghĩ cách nào sẽ mất nhiều thời gian hơn? Tất nhiên, tôi biết đây không phải là sự so sánh tương đương, và khả năng tính toán tiên tiến của chúng ta có thể tăng tốc quá trình này. Tuy nhiên, tiết kiệm vài phút mỗi ngày sẽ tích lũy dần, đặc biệt là trong thời gian dài. SOC Với mười, hai mươi hoặc năm mươi chuyên gia phân tích an ninh. Tóm lại – SIEMs rất giỏi trong việc giải quyết các trường hợp sử dụng tuân thủ thuần túy vì chúng thu thập tất cả dữ liệu nhật ký, nhưng đối với các trường hợp sử dụng bảo mật, đó là thứ bạn thường bán, bạn cần công nghệ hiểu được sự khác biệt giữa nhật ký bảo mật có liên quan và nhật ký không liên quan và chỉ thu thập những gì nó cần .
SIEMKhông phải ai cũng thích mọi người.
Khi tôi đang thực hiện tiếp thị sản phẩm cho một nhà cung cấp khác (người sẽ không có tên tuổi), một trong những câu hỏi phổ biến nhất là "Bạn có ủng hộ sản phẩm XYZ không?" hoặc "Tôi có thể cung cấp dữ liệu từ sản phẩm ABC không?" Những người mua hiểu biết về bảo mật đã từng tham gia vòng tuần hoàn của nhà cung cấp một hoặc hai lần hiểu cách các nhà cung cấp bảo mật sẽ hạ thấp việc thiếu tích hợp được xây dựng trước cho sản phẩm của bạn. Họ sẽ nói những điều như, “Tôi có thể lấy cái đó cho bạn, không sao cả,” hoặc “Tôi chắc là nó đang được chuyển đến; để tôi quay lại với bạn, ”trong khi thực tế, họ sẽ phải quay lại nhóm tích hợp của họ và cầu xin và cầu xin một sự tích hợp mới, đặc biệt nếu họ cần chốt giao dịch của bạn để đạt được số của họ trong quý. Giờ đây, một người nào đó trong nhóm tích hợp sử dụng tập lệnh một lần hiển thị dữ liệu chuyển từ sản phẩm của bạn vào SIEM phụ trợ, hy vọng không ai lấy một chiếc lược răng tốt đến những gì đã được giao. Một lần nữa, nếu bạn đã ở đây một phút, tôi chắc chắn rằng điều này nghe có vẻ quen thuộc.
Thực tế đáng buồn là hầu hết SIEMs đang gặp khó khăn trong việc tích hợp, do sự phức tạp cơ bản của các mô hình dữ liệu của chúng. Bạn có thể viết các tích hợp của mình và nếu đúng như vậy, thật tuyệt, nhưng điều gì sẽ xảy ra khi SIEM nhà cung cấp tung ra một phiên bản mới và phá vỡ sự tích hợp của bạn? Nó trở lại bảng vẽ. Điểm mấu chốt - tích hợp ngoài hộp cho một SIEM công việc đó là những gì bạn nên mong đợi từ SIEM nhà cung cấp. Nếu bạn không nhận được điều đó hôm nay, thời gian tiếp nhận khách hàng của bạn sẽ bị ảnh hưởng, và tệ hơn nữa, bạn sẽ mất đi cơ hội kinh doanh trong khi chờ đợi bạn. SIEM Nhà cung cấp sẽ thực hiện việc tích hợp mà bạn hy vọng sẽ hoạt động tốt.
Chúng tôi đã giúp nhiều MSSP thấy được lợi ích của việc loại bỏ SIEM và thay thế nó bằng sao điện tử Open XDR Nền tảng. Với nền tảng của chúng tôi, bạn nhận được:
- Tự động hóa phù hợp, nơi bạn cần: Mục tiêu của Stellar Cyber là làm cho việc phát hiện, điều tra và khắc phục mối đe dọa trở nên tự động nhất có thể. Khi bạn chuyển đến Stellar Cyber, những ngày lo lắng về các quy tắc tương quan sẽ cũ đã qua đi. Stellar Cyber thực hiện công việc nặng nhọc cho phép thu hút khách hàng nhanh hơn.
- Thu thập dữ liệu thông minh: chúng tôi thu thập dữ liệu liên quan đến bảo mật cho phép AI / ML công cụ phát hiện mối đe dọa để xác định các mối đe dọa nhanh nhất có thể. Khi vài giây quan trọng, Stellar Cyber đảm bảo bạn có tất cả những giây mà bạn có thể nhận được.
- Mọi người đều được chào đón: Nếu là của bạn SIEM và Stellar Cyber đều là những bữa tiệc ném đá, bữa tiệc của chúng tôi sẽ giống như một buổi họp mặt đẳng cấp với tất cả mọi người đều có khoảng thời gian trong đời; các SIEM bữa tiệc có thể trông giống như một cuộc tụ họp của những người chưa bao giờ gặp mặt. Nói cách khác, kiến trúc của Stellar Cyber là mở, với sự tích hợp cho mọi công cụ bảo mật, CNTT và năng suất phổ biến xung quanh, giúp cho việc tiếp cận khách hàng và tăng trưởng doanh nghiệp của bạn nhanh hơn bao giờ hết.
Chúng tôi nợ rất nhiều SIEMs. Họ đã giúp chúng ta thấy được tầm quan trọng của việc phân tích dữ liệu, nhưng ngày nay bạn có thể làm tốt hơn SIEM bạn đang sử dụng. Để tìm hiểu thêm về Stellar Cyber, hãy xem MSSP cụ thể chuyến tham quan năm phút.
