2012年,我曾就职于一家率先提供安全即服务(Security-as-a-Service)的供应商。当时,从云端保护环境还是一项前沿技术,许多安全团队都对在安全框架中引入他们认为的又一个故障点持谨慎态度。如今,部署…… SIEM, XDR对于当今许多安全领导者来说,裸机上的 SecOps 平台似乎已经过时了。
确实,安全团队将云视为安全产品的首选部署方式是有充分理由的,从加快部署速度到降低成本,以及从任何安全的 Web 浏览器访问产品的灵活性。话虽如此,安全团队也有同样充分的理由选择本地安全运营平台方法。以下是四个原因,说明为什么本地部署可能是您的组织的正确选择。
本地部署的四个理由
1.高度敏感的数据
每个安全团队都优先考虑公司数据的机密性。但是,如果您的组织处理机密信息,则可能需要确保数据永远不会离开您的环境。在这种情况下,使用任何基于云的安全产品都是行不通的。通过在本地部署 SecOps 平台,您可以放心,您的敏感日志和其他安全信息安全地保留在您的环境内,从而提供额外的保护。
2。 条例
监管机构对某个行业的审查程度可能因组织处理的数据类型以及这些数据一旦被泄露对客户造成重大损害的可能性而有很大差异。例如,医疗保健、金融和政府组织必须遵守严格的监管要求,如 GDPR、HIPAA 和其他区域数据保护法。假设您的组织属于这些受到严格监管的行业之一。在这种情况下,您可能别无选择,只能在本地部署 SecOps 平台以消除潜在的监管违规行为。
3.定制和版本控制
根据您安全团队的能力和目标用例,您可能需要在现成的 SecOps 平台上部署一些自定义配置和/或代码。使用基于云的 SecOps 平台时,供应商可能会限制您对平台进行此类自定义的能力。此外,供应商可能会在几乎没有提前通知的情况下将更新应用于 SecOps 平台,这可能会给您的安全团队带来一些麻烦。通过本地部署,您的安全团队可以实施定制的安全策略和/或自动化,而这些策略和/或自动化可能难以在基于云的平台上实施。这种灵活性和控制水平可以增强您的团队的能力,使他们能够根据自己的特定需求定制平台并保持版本控制,而不受任何外部限制。
4. 性能考虑
虽然大多数组织都使用高速网络,即使在上传或下载大型数据集时也能最大限度地减少延迟,但有些组织可能会因为办公室的位置而难以应对网络可靠性/稳定性。此外,有些组织或组织的一部分没有互联网连接,无法遵守内部或外部政策。如果您处于类似情况,本地部署模型是您唯一的真正选择。
选择您的下一个本地 SecOps 平台
虽然我已经列出了本地部署的四个原因, SIEM 或者可能需要安全运营平台,还有很多其他选择。无论您出于何种原因必须在本地部署,下一个合乎逻辑的问题可能是:“我该如何选择一个……” SIEM有没有符合我部署需求的安全运维平台?
以下是选择内部部署平台时的三条建议。
1. 能力
虽然这不言而喻,但支持本地部署功能的安全操作平台差异很大。在功能范围的低端,您可能会看到供应商吹嘘一种可本地部署的平台,该平台使您能够从许多不同的来源提取日志数据,但需要您创建、管理和维护所有检测和关联规则。该产品是一种美化的日志管理工具,从长远来看,它无疑会降低您的团队效率。
另一方面,还有一些产品具备易于配置的集成功能,能够捕获第三方安全警报、日志数据、网络流量以及用户和资产活动流。然后,机器学习和人工智能模型,结合供应商精心设计的检测规则,无需人工干预即可自动发现高级威胁。Stellar Cyber Open XDR 平台的工作原理就是这样。
当评估您的选择时,请询问有关功能的探索性问题,并在您的环境中坚持进行概念验证(PoC)以验证供应商的声明。
2.整合
正如我在第一条建议中提到的,集成对于从任何安全运营平台获得价值都至关重要。任何使用过需要大量手动、定制集成的产品的人都知道,这很快就会变成一场噩梦。首先,并非所有安全团队都具备设计集成的技术技能,因此他们必须与外部资源签订合同来创建和维护集成,向供应商支付额外费用来构建集成,或者聘请专门的资源来拥有集成。在任何一种情况下,结果都是平台的成本随着时间的推移远远超出预期。
更好的选择是选择一个供应商投入精力和资源来创建您的安全团队可以轻松配置的集成的平台。例如,我们的平台包含数百个预构建的集成,可供所有用户免费使用。此外,如果客户需要额外的集成,我们会免费开发它们。
与供应商交谈时,确保他们了解您打算集成的产品以及他们的平台是否支持这些产品。在 PoC 过程中验证他们所说的一切。
3. 路线图
当你发现自己投资并作为安全工作流程中心的产品竟然没有未来时,即使是最有经验的安全领导者也会感到沮丧。
例如,Palo Alto Networks 最近收购了 IBM QRadar。 SIEM 云端已留下任何 IBM QRadar 本地部署 冷漠的客户。如果这些客户必须留在本地,他们需要另一个供应商来满足他们的部署需求,并帮助他们快速将现有的 QRadar 数据、配置和规则迁移到新平台。
虽然具有路线图的产品可能会被股东相关的行动(例如合并或收购)所影响,但看到供应商有超越平台当前版本的计划至少可以让您知道该平台将根据威胁形势和用户需求的变化而不断发展。
例如,在 Stellar Cyber,我们会定期与客户和潜在客户一起审查我们平台的路线图,该平台可以部署在本地、云端或由您选择的 MSSP 共同管理。我们对客户保持透明,让他们知道我们致力于在未来以相同的功能支持云端和本地部署。这一承诺还使我们的客户能够根据情况的变化调整他们的安全方法。例如,如果组织将来可以从本地部署迁移到云端,它可以通过 Stellar Cyber 无缝地进行迁移,而无需学习完全不同的产品。
关闭的思考
安全并不是一个放之四海而皆准的主张。
虽然云计算能够帮助企业快速扩展规模,并帮助安全团队管理成本和资源,但部署实体服务器也有其合理之处。 SIEM/XDR/本地部署的安全运营平台。遵循我之前提到的简单建议,是您寻找下一个平台的良好开端。要了解 Stellar Cyber 如何运作,请继续阅读。 Open XDR 安全运营平台可以满足您的本地部署需求, 立即联系我们,进行个人咨询。此外,如果您是一位活跃的 IBM QRadar On-Premium 客户并希望快速行动,我们还为您提供了特别促销活动。
