Gartner gần đây tìm thấy Trung bình mỗi tổ chức sử dụng 45 sản phẩm bảo mật khác nhau trên các lĩnh vực thiết bị đầu cuối, mạng, đám mây, định danh, email và cơ sở hạ tầng.
Mỗi công cụ đều hứa hẹn phạm vi bao phủ tốt hơn, khả năng phát hiện nhanh hơn hoặc giảm thiểu rủi ro, và nhiều công cụ trong số đó thực sự đáp ứng được lời hứa đó khi được xem xét riêng lẻ. Nhưng khi kết hợp tất cả chúng lại với nhau, kết quả là một hệ thống khó vận hành hơn, phản hồi chậm hơn và dễ bị tổn thương hơn cả những mối đe dọa mà nó được thiết kế để ngăn chặn.
Về lý thuyết, càng nhiều công cụ thì bảo mật càng mạnh, nhưng trên thực tế, mỗi nền tảng lại bổ sung thêm một mô hình dữ liệu, một bảng điều khiển, một luồng cảnh báo và một quy trình làm việc mà các nhà phân tích phải xử lý dưới áp lực.
Những công cụ này thường không tích hợp liền mạch, dữ liệu không được truyền tải trơn tru và các cảnh báo không tự động được ưu tiên. Theo thời gian, sự phức tạp không còn là tác dụng phụ mà trở thành rủi ro chính.
Nguồn gốc của sự phân tán công cụ
Sự gia tăng số lượng công cụ thường phát sinh từ các quyết định được đưa ra trong một thời gian dài:
Một loại mối đe dọa mới xuất hiện, vì vậy một giải pháp chuyên biệt được bổ sung. Một yêu cầu tuân thủ thay đổi, nên một nền tảng khác được giới thiệu. Một nhóm kế thừa các công cụ thông qua một thương vụ mua lại, v.v. Các chức năng bảo mật khác nhau lựa chọn các sản phẩm tốt nhất được tối ưu hóa cho lĩnh vực riêng của họ. Mỗi quyết định đều hợp lý khi xét riêng lẻ, nhưng vấn đề là các công cụ này không được thiết kế để hoạt động như một hệ thống duy nhất.
Hầu hết các nền tảng bảo mật thu thập dữ liệu đo từ xa ở nhiều định dạng khác nhau, áp dụng các lược đồ riêng và hiển thị cảnh báo thông qua các bảng điều khiển riêng biệt. Ngay cả khi có sự tích hợp, chúng thường nông cạn, dễ hỏng hoặc chỉ hoạt động một chiều. Kết quả cuối cùng là một mớ hỗn độn các tín hiệu rời rạc mà các nhà phân tích phải tự tay ghép nối lại với nhau.
Khi mỗi công cụ sử dụng một ngôn ngữ khác nhau, các nhóm bảo mật sẽ mất khả năng nhìn nhận các cuộc tấn công như một chuỗi liên kết duy nhất. Sự phân mảnh đó dẫn đến ba lỗi chồng chất làm suy yếu khả năng phát hiện và phản hồi:
- Dữ liệu im lặng: Các tín hiệu bị mắc kẹt trong các hệ thống riêng biệt, vì vậy rất khó để kết nối các điểm giữa việc đăng nhập bằng danh tính đáng ngờ, lưu lượng mạng bất thường và quy trình điểm cuối bị gắn cờ, ngay cả khi chúng là một phần của cùng một chuỗi tấn công.
- Thông báo quá tải: Các nhà phân tích phải chuyển đổi liên tục giữa các bảng điều khiển và hàng đợi, bị nhấn chìm trong vô số cảnh báo ồn ào, không có cùng ngữ cảnh hoặc cùng ngôn ngữ.
- Lực cản hoạt động: Mỗi công cụ đều đòi hỏi việc đào tạo, tinh chỉnh, bảo trì, cấp phép và quản lý nhà cung cấp riêng. Vì vậy, độ phức tạp không tăng theo cấp số nhân mà tăng theo cấp số nhân.
Những chi phí ẩn mà bạn đã phải trả
Những vấn đề về cấu trúc này dẫn đến những hậu quả về tài chính và hoạt động, và hóa đơn từ các nhà cung cấp bảo mật chỉ nói lên một phần câu chuyện. Chi phí thực sự của việc sử dụng quá nhiều công cụ nằm ở những khoản mục mà ngân sách của bạn không liệt kê, chẳng hạn như:
Các nhà phân tích đang kiệt sức vì công việc nhàm chán.
Các nhiệm vụ mang tính chiến thuật như phân loại cảnh báo và đối chiếu thủ công chiếm phần lớn thời gian của họ, không còn thời gian cho các công việc chiến lược như săn lùng mối đe dọa hoặc tối ưu hóa phòng thủ. Mỗi công cụ bổ sung đều làm phân tán sự tập trung. Mỗi bảng điều khiển bổ sung đều gây ra mệt mỏi. Không có gì ngạc nhiên khi gần một nửa Nhiều chuyên gia an ninh cho biết họ cảm thấy quá tải.
Thời gian phản hồi chậm lại do sự phân mảnh.
Sự phân tán công cụ buộc các nhà phân tích phải tự tay đối chiếu dữ liệu trên nhiều nền tảng, chuyển đổi giữa các giao diện và ghép nối các dòng thời gian một cách thủ công. Khi một vụ vi phạm xảy ra, thời gian được tính bằng phút chứ không phải giờ. Tuy nhiên, trung bình các doanh nghiệp hiện nay đo thời gian phát hiện trung bình bằng ngày hoặc tuần, không phải vì dữ liệu không có sẵn, mà vì nó bị phân tán ở quá nhiều nơi khiến việc tìm kiếm kịp thời trở nên khó khăn.
Các lỗ hổng bảo mật tồn tại do tính phức tạp.
Càng quản lý nhiều sản phẩm, càng dễ xảy ra sai lệch cấu hình. Không nhóm nào có thể duy trì sự hoàn hảo trên hơn 45 công cụ bảo mật. Một quy tắc tường lửa được cập nhật trong bảng điều khiển này nhưng không được cập nhật trong bảng điều khiển khác, và đột nhiên xuất hiện một lỗ hổng mà không ai biết. Mỗi nhà cung cấp bạn thêm vào cũng làm tăng bề mặt tấn công, bởi vì hầu hết các sản phẩm bảo mật đều có đặc quyền cao và xử lý dữ liệu nhạy cảm.
Ngân sách bị hao hụt do sự trùng lặp công cụ.
Khi bạn chồng chất các giải pháp mà không kiểm tra lại những gì mình đã có, cuối cùng bạn sẽ phải trả tiền cho nhiều nhà cung cấp khác nhau về cơ bản là cùng một logic phát hiện. SIEM, EDR, và XDR Tất cả có thể đều báo cáo cùng một quy trình đáng ngờ, nhưng bạn phải trả phí gấp ba lần cho việc phát hiện đó.
Stellar Cyber giải quyết vấn đề phân tán công cụ như thế nào?
Tin tốt là có một con đường tốt hơn phía trước, đó là sự thống nhất mà không gây xáo trộn.
Stellar Cyber's Open XDR nền tảng áp dụng một cách tiếp cận khác. Truyền thống XDR Nó được xây dựng dựa trên giải pháp EDR của một nhà cung cấp duy nhất, điều này khiến bạn bị ràng buộc vào hệ sinh thái của họ. Open XDR hoạt động với bất kỳ BDUNhờ đó, bạn vẫn giữ nguyên các công cụ điểm cuối mà bạn đã chọn. Thay vì buộc bạn phải từ bỏ các khoản đầu tư hiện có, nó giúp kết hợp chúng lại với nhau. NG-SIEM, NDR, UEBA, ITDR, CDR, TIPvà Khả năng SOAR Tất cả được hợp nhất vào một bảng điều khiển duy nhất, với một mô hình dữ liệu duy nhất và một giao diện quản lý duy nhất cho toàn bộ hoạt động bảo mật của bạn.
Bạn có thể nhập dữ liệu từ bất kỳ đâu.
Kiến trúc mở của Stellar Cyber kết nối với hệ thống bảo mật hiện có của bạn thông qua hàng trăm giải pháp tích hợp sẵn. Giữ nguyên hệ thống của bạn. CrowdStrikeCủa bạn lính gác mộtMicrosoft Defender của bạn. Giữ nguyên các công cụ bảo mật đám mây và cơ sở hạ tầng tại chỗ của bạn. Nền tảng này tự động chuẩn hóa và làm phong phú dữ liệu từ mọi nguồn, với các nguồn dữ liệu được tích hợp chỉ trong vài giờ thay vì vài tuần. Cuối cùng, bạn đang làm việc với một tập dữ liệu thống nhất thay vì các nguồn dữ liệu rời rạc.
Trí tuệ nhân tạo có thể tự động liên kết các cảnh báo.
Sau khi dữ liệu được hợp nhất, trí tuệ nhân tạo (AI) tiên tiến sẽ bắt đầu hỗ trợ. Các cảnh báo riêng lẻ tự động trở thành các sự cố có liên quan, cung cấp cho các nhà phân tích bức tranh toàn cảnh về những gì đã xảy ra. Việc đăng nhập đáng ngờ, lưu lượng mạng bất thường và quy trình điểm cuối được gắn cờ đều hiển thị dưới dạng một trường hợp duy nhất, được ưu tiên, đầy đủ ngữ cảnh, sơ đồ chuỗi tấn công và các hành động phản hồi được đề xuất. Các nhà phân tích của bạn điều tra các sự cố, chứ không phải các hàng đợi cảnh báo vô tận, và khi họ xác nhận các phát hiện và cung cấp phản hồi, hệ thống sẽ xử lý các sự cố đó. Trí tuệ nhân tạo học hỏi và cải thiệnTrở nên thông minh hơn theo thời gian.
Việc phát hiện và phản hồi trở nên nhanh hơn.
Cách tiếp cận thống nhất này mang lại những cải tiến có thể đo lường được về tốc độ. Khách hàng báo cáo cải thiện gấp 8 lần về thời gian phát hiện trung bình và gấp 20 lần về thời gian phản hồi trung bình. Không phải vì họ có nhiều dữ liệu hơn, mà vì cuối cùng họ có thể xem tất cả dữ liệu ở một nơi và hành động ngay lập tức. Các nhóm báo cáo ít thời gian hơn dành cho việc phân loại lặp đi lặp lại, giúp các nhà phân tích tập trung vào những việc khác. săn lùng mối đe dọa chủ động và tối ưu hóa phòng thủ.
Các nhà phân tích có thêm thời gian cho công việc chiến lược.
Có lẽ điều hữu ích nhất là sự thống nhất các công cụ, thay đổi cách nhóm của bạn sử dụng thời gian. Sự phân tán công cụ khiến các nhà phân tích bị mắc kẹt trong chế độ phản ứng, liên tục phải giải quyết sự cố thay vì củng cố hệ thống phòng thủ. Stellar Cyber thay đổi điều đó. Thay vì mệt mỏi vì hàng tá cảnh báo từ các bảng điều khiển khác nhau, các nhà phân tích làm việc từ một hàng đợi ưu tiên duy nhất. Họ xác thực các phát hiện, huấn luyện hệ thống và chủ động săn lùng các mối đe dọa. Những công việc lặt vặt gây ra sự kiệt sức trở thành công việc chiến lược giúp giữ chân nhân viên.
Tóm lại và các bước tiếp theo
Khi bạn lùi lại và nhìn vào bức tranh toàn cảnh, sự lựa chọn sẽ trở nên rõ ràng. Sự phân tán công cụ là một vấn đề về khả năng hiển thị được ngụy trang dưới dạng một vấn đề công nghệ. Mỗi công cụ mới bạn thêm vào đều hứa hẹn bảo mật tốt hơn, nhưng nếu thiếu sự thống nhất, bạn chỉ đang thêm nhiễu vào một tín hiệu vốn đã quá lớn.
Mục tiêu cần đạt được là giải phóng các nhà phân tích của bạn khỏi những công việc lặp đi lặp lại để họ có thể tập trung vào những gì con người làm tốt nhất: tư duy chiến lược, săn lùng mối đe dọa và làm cho tổ chức của bạn khó bị tấn công hơn. Trí tuệ nhân tạo (AI) sẽ xử lý việc phân loại với tốc độ máy móc; các chuyên gia của bạn sẽ xác thực, hướng dẫn và cải thiện hệ thống.
Gần 75% các tổ chức hiện nay cho biết họ muốn hợp nhất các nhà cung cấp bảo mật của mình. Những tổ chức nào hợp nhất một cách chiến lược, bằng cách chọn một nền tảng phù hợp với các khoản đầu tư hiện có, sẽ tránh được việc phải trả những chi phí ẩn do sự phân mảnh gây ra.
Việc sử dụng nhiều công cụ khác nhau không làm cho bạn an toàn hơn – điều quan trọng là phải có khả năng giám sát toàn diện, và điều đó bắt đầu bằng việc tập hợp mọi thứ vào một nơi duy nhất.
Bạn muốn xem hệ thống bảo mật thống nhất hoạt động như thế nào?
Nếu bạn tham dự RSAC 2026, hãy ghé thăm gian hàng 327. Đăng ký để dùng thử bản demo hoặc lấy một Vé vào cửa miễn phí với mã 52E1069XP.
