Уроки, извлеченные из нашего поиска и интеграции наших XDR
Надежный Интернет сейчас развертывается Звездный кибер XDR –как SOC- контролируемое решение или инфраструктура как услуга.
Маркетинговый ажиотаж вокруг XDR Это оглушительно для тех из вас, кто рассматривает возможность XDRСложно разобраться в броских сайтах и маркетинговом шуме, чтобы понять, что действительно реально. Поэтому я решил поделиться несколькими уроками, которые я усвоил, — с точки зрения генерального директора компании, финансируемой за счет собственных средств. ППГЧ, Надеюсь, это поможет вам принять решение о покупке.
Последние четыре года мы являемся закоренелым MSSP Fortinet. Нам нравятся наши брандмауэры Fortinet, а наши сотрудники сертифицированы NSE7 и усердно работают над настройкой многофункциональных высокоскоростных машин, чтобы они подчинялись нашей воле. По разным причинам около двух лет назад мы решили начать поиск способа удовлетворить запросы потенциальных клиентов, чтобы не копировать и не заменять существующие системы безопасности.
Также, SOC, НОК, EDR, МЛУ, НДР, ППГЧПочему бы не объединить их все в один блок, который понимает ВСЕ их журналы и использует немного машинного обучения для обучения ИИ более эффективной помощи? SOC Аналитики? У меня есть старый друг, который раньше называл это «Божественной коробкой». Она всё знает.
XDR Это начало Божественной Коробки.
Наши требования:
- Он должен интегрировать всех других поставщиков в среду клиента, не требуя от них копирования и замены существующей инфраструктуры.
Мы не хотели, чтобы агент был развернут на каждом компьютере. У них уже есть AV и Anti-Evasion. Мы не хотели загружать другую конечную систему.
Нам нужна возможность интегрировать анализ сетевых потоков для обнаружения аномалий, но мы можем не захотеть этого в 100% случаев. Flow генерирует большие объемы данных, которые мы хотели иметь возможность включать и выключать по мере необходимости на основе других индикаторов.
- Он должен соответствовать всем требованиям NIST 800-171 к сбору/анализу журналов.
В то время как ISO, CIS, HIPAA или PCI требуют агрегирования и анализа всех этих журналов, NIST 800-171 требует отслеживаемых записей журналов практически с каждого устройства для каждого события – инфраструктуры, конечных точек и безопасности.
Нам нужно найти лучший способ получать доступ к этим журналам и делать это так, как это может себе позволить наша клиентская база, ориентированная на малый и средний бизнес. Для этого нам нужно иметь возможность объединить их в одну систему, которая понимает каждый из необходимых журналов.
-
Он должен быть мультитенантным.
В то время я и представить не мог, насколько сильно буду сомневаться в искусственном интеллекте, пока не посмотрел различные видеоролики на эту тему. XDRзабег. Будьте готовы, собрав грамотную команду.
Мы сравнили одно с другим, выполнив A|B-тестирование, используя FortiAnalyzer и необработанные данные журналов в нашем стеке Lucene в качестве базовых показателей.
-
В идеале XDR необходимо учитывать интересы любых поставщиков, а не только тех, чьи товары производятся компанией... XDR поставщик.
Некоторые XDR Некоторые из рассмотренных нами поставщиков разрабатывали собственные антивирусные системы, системы предотвращения вторжений и т.д. Другие же производили OEM-продукты для сторонних компаний, но отказывались это обсуждать.
В любом случае, я хочу знать, что инструменты, встроенные в систему, работают. XDR являются зрелыми и проверенными.
- Если есть облачный компонент, мне нужны доказательства того, что их облачная среда безопасна.
Все данные об уязвимостях наших клиентов в конечном итоге окажутся там. Я не хочу утечки данных в нашей системе. XDR Поставщик допускает утечку информации об уязвимостях клиентов. С точки зрения шпионажа, это невероятно выгодная цель. Она ДОЛЖНА быть безопасной.
Мы оцениваем безопасность серверной части всех наших поставщиков. В ходе поиска одного из них мы провели такую оценку. XDR У поставщика был потрясающий продукт, но предлагаемые им услуги в облачной среде никогда не проходили проверку безопасности!
Соответствие – это хорошо, но что еще важнее? Расскажите мне, как вы защищаете данные. Порадуйте меня тем, что вы приняли меры для защиты данных. Меня удивило немало людей, которые не смогли этого сделать.
- Структура цен должна быть на 100% предсказуемой.Переменные издержки губительны. Я хотел убедиться, что у нас не будет никаких неожиданностей. Если... XDR Если поставщик спрашивает вас: «Сколько у вас конечных точек?», бегите. Структура ценообразования должна учитывать нашу возможность включить это в стоимость подписки с разумной наценкой. В мире MSSP... SOC Затраты могут привести к провалу быстрее, чем что-либо еще. Как масштабироваться компании, предоставляющей услуги управляемого сервиса безопасности (MSSP), не разорившись из-за постоянно растущих затрат на оплату труда специалистов по информационной безопасности?
Наши поиски Золушки XDR (тот, который идеально нам подходит!):
Мы изучили предложения десятков поставщиков — вы наверняка слышали их названия. После почти двух лет конкурентного анализа, демонстраций и испытаний продукции почти десятка компаний мы провели тщательное исследование. XDR Из компаний мы сузили круг поиска до двух, обе проходили тестирование, и в итоге нас покорила компания Stellar Cyber.
Для нас это были значительные капиталовложения. Мы хотели убедиться, что все сделали правильно и смогли окупить наши инвестиции в увеличение объема и эффективности. Вместо того, чтобы использовать их облачную версию, мы приобрели 88-ядерный сервер емкостью 20 ТБ. Система предназначена для анализа огромных объемов данных от десятков инфраструктурных устройств, журналов конечных точек и систем безопасности. Мы хотели защитить его, поэтому разместили его на нашем охраняемом объекте в дата-центре Iron Mountain и провели первое испытание «ешьте свою собственную собачью еду» в начале лета прошлого года.
Мы извлекли МНОГО уроков. Я не смогу поделиться ими всеми в одной короткой статье, но подумал, что было бы неплохо поделиться несколькими более крупными.
-
XDR Предлагает замечательное решение для объединения практически любой информации, которую вы можете себе представить, в одном окне. Нам же показалось это слишком сложным.
-
Это не инструмент начального уровня. XDR Это может создать двусмысленность там, где её быть не должно. Вам понадобится грамотная команда для оценки каждого случая. XDR Удар нанесён до активации SOAR. Пока ИИ учится на основе полученных данных. XDR По мере расширения клиентской базы поставщика, он также учится на основе действий, совершаемых им. аналитики. Им нужно быть умными.
-
Лучшее XDR и решениями хотите установить цену по конечной точке. Это убийца сделки. Если продавец спрашивает: «Сколько у вас конечных точек?»… БЕГИТЕ.
XDR Предлагает замечательное решение для объединения практически любой информации, которую вы можете себе представить, в одном окне. Нам же показалось это слишком сложным.
XDR Это фантастическая идея, но плохая реализация испортит вам весь день. IT-специалисты сразу же захотят использовать для этой волшебной коробки всё, что только можно (и даже кухонную раковину). И хотя я полностью понимаю стремление гиков к «большему количеству данных — это хорошо», это значительно усложнило обучение наших сотрудников. SOC Аналитики очень жёстко к этому относятся.
Эти устройства способны обрабатывать практически любой объем данных, который вы в них загрузите. Мы не рекомендуем загружать более одного потока данных одновременно, по крайней мере, пока вы не привыкнете к тому, что машина будет выдавать в ответ. Почему? Машина будет выдавать результаты самостоятельно, на основе заданных правил. Вы обнаружите, что некоторые из них хороши, но не все — и их будет много. SOC Аналитики должны быть более осмотрительными. На начальном этапе им придётся тщательно проверять и подтверждать каждое оповещение — действительно ли оно сработало. XDR Как это назвать? Было ли это неправильно? Какие действия необходимо предпринять? Искусственный интеллект, автоматизация? Волшебный ящик? Все это хорошо, но без четкого понимания того, что машина называет хорошим и плохим, вы можете оказаться в растерянности. Мы оказались. В черном ящике скрыто много всего. Не торопитесь. Дайте вашим аналитикам учиться. Обрабатывайте данные по одному потоку за раз.
Рекомендация Штуцмана: Скорость убивает. Двигайся медленнее. Начните с одного канала данных. Нормализуйте его, затем добавьте следующий.
Знаю это. XDR Это не инструмент начального уровня.
Я беру несколько SOC Меняют обязанности каждый квартал, чтобы поддерживать свои навыки на высоком уровне. Это помогает мне оставаться в курсе событий. SOCВозможно, я делаю это потому, что это одна из моих любимых работ! В любом случае, во время моей первой смены с новым рабочим аппаратом Stellar в нашей первой смене XDR Клиент, я обнаружил (примерно в 2 часа ночи), что наблюдаю за внутренней активностью за брандмауэрами, но явно в сети, и получил оповещение о том, что пароли в открытом виде передаются в большом объеме на пятнадцать различных систем. Этот банк был закрыт в 2 часа ночи.
Я думал, что есть только два возможных объяснения: компрометация или сканирование уязвимостей. Как выяснилось, клиент использовал OpenVAS для проверки нашего ответа (мы прошли!), но… как мы это увидели? Я просматриваю внутренние данные из мест, которые мы раньше не видели! Теперь мы собирали журналы Windows, журналы инфраструктуры, журналы аутентификации и сетевой поток из банка, состоящего из 60 человек. Мы собирали около 40 ГБ логов в день. Я чувствовал себя мистером Магу, который наконец-то получил хорошие очки и впервые увидел цвет!
В процессе полной интеграции мы сохранили наши системы FortiAnalyzer и Lucene Stack, чтобы позволить нашим аналитикам отойти от рутинной работы. XDR Они смогут работать в привычной для себя среде и видеть данные, представленные в удобном для них формате. Параллельный переход будет осуществлен в какой-то момент, когда истечет срок действия старых лицензий. Однако в процессе перехода наши аналитики первого уровня (аналитики по сортировке обращений) будут вынуждены осваивать более глубокие навыки. Сортировка обращений, скорее всего, останется в прошлом, поскольку XDR автоматизирует действия для более рутинных задач, таких как блокировка нового сканера или проверка результатов работы инструментов перед передачей их на дальнейшее рассмотрение.
Рекомендация Штуцмана: Ваши аналитики должны быть достаточно умными, чтобы понять, что происходит с данными, прежде чем ИИ и автоматизация возьмут верх и новая машина внесет ошибки. Мне шестьдесят лет, и я занимаюсь этим уже давно, но мне все равно хотелось иметь вторую пару глаз. Это не инструмент начального уровня. Это инструмент экспертного уровня.
Лучшее XDR Предлагаемые решения предполагают ценообразование в зависимости от конечной точки. Это сводит на нет все усилия.
Если XDR Поставщик спрашивает: «Сколько у вас конечных точек?» БЕГИТЕ!! Подсчет конечных точек не работает в XDR Цены. Вас не обрадует сюрприз. Не могу это достаточно подчеркнуть.
Мы усвоили это на собственном горьком опыте. Нирвана для MSSP — это хранение данных с нескольких устройств на одной панели. Прошлым летом мы внедрили Stellar Cyber для наших внутренних операций. Мы верим в необходимость «съесть свой собственный корм для собак», прежде чем приступать к продажам (мы используем все, что продаем).
Я попросил своего IT-директора действовать шаг за шагом. Ввести в систему один информационный поток, и посмотрим, как всё нормализуется. К сожалению, следуя указаниям нашего поставщика, он установил порт SPAN на наш основной коммутатор и перенёс всё, что у нас было, в Stellar. Поток информации ожил. XDR Была сгенерирована псевдопотоковая обработка данных для более чем 40 000 устройств. Каждое устройство IoT, мобильное устройство, компьютер, сервер, каждое устройство с IP-адресом, находящееся за одним из наших межсетевых экранов, в любом месте нашего клиентского портфеля, теперь учитывалось как конечная точка. Наша команда продаж отлично справилась. С нас не брали плату, пока мы разбирались с нормализацией, поэтому мы отключили поток данных и начали с одного клиента за раз, начиная с нашей собственной инфраструктуры. Мы не хотели терять точность, поэтому в итоге выбрали корпоративное лицензирование, основанное на объеме данных, а не на количестве конечных точек.
Рекомендация Штуцмана: Попросите об этом заранее, а затем потратьте на это столько, сколько захотите.
Наша система используется уже почти год: сначала в качестве доказательства эффективности, начиная с марта прошлого года, затем вводится в эксплуатацию летом, а теперь полностью работоспособна, развертывая ее для поддержки многих проектов, связанных с NIST 800-171, которые мы реализуем. мы принимали участие и у нас есть клиенты с гетерогенной средой. Проделана большая работа. Мы на 100%? Нет. Мы по-прежнему требуем, чтобы парсеры были написаны для инструментов, которые еще не доступны. Мы еще не полностью включили SOAR, и, честно говоря, я не решаюсь сделать это в некоторых из наших наиболее уязвимых клиентских офисов, где мы не знаем, какой волновой эффект могут иметь автоматизированные действия.
Довольны ли мы тем, что вложили деньги в это? XDRАбсолютно. Система стоит примерно столько же, сколько пара хороших аналитиков, но я уверен, что она позволит нам расширить охват клиентов, к которым раньше у нас не было доступа.
Делиться — значит заботиться. Нам пришлось усвоить несколько трудных уроков и пережить несколько пугающих моментов, связанных с бюджетом, когда я думала, что нам придётся выписать огромные чеки, чтобы оплатить это — больше денег, чем у меня было бы на счету за год. Наша команда Stellar была просто потрясающей, несмотря на то, что мы — маленькая рыбка в их большом пруду. Надеюсь, это было полезно, когда вы будете обдумывать свой собственный проект. XDR Купить. Или, если хотите, свяжитесь с нами. Мы будем рады создать. XDR в нашей новой многопользовательской среде Stellar Cyber.
