В 2012 году я работал в одной из первых компаний, предлагавших безопасность как услугу. В те времена защита среды из облака была передовой технологией, и многие команды безопасности опасались внедрять то, что они считали еще одной точкой отказа в свою систему безопасности. Сегодня развертывание SIEM, XDRПлатформа SecOps на физическом оборудовании кажется многим современным лидерам в сфере безопасности устаревшей.
Действительно, есть веские причины, по которым группы безопасности рассматривают облако как предпочтительный вариант развертывания продуктов безопасности: от ускорения развертывания до снижения затрат и гибкости доступа к продукту из любого защищенного веб-браузера. Тем не менее, у команды безопасности есть столь же веские причины выбрать подход к локальной платформе операций безопасности. Вот четыре причины, по которым локальное развертывание может быть правильным выбором для вашей организации.
Четыре причины для локального развертывания
1. Высокочувствительные данные
Каждая команда безопасности уделяет приоритетное внимание конфиденциальности данных своей компании. Однако если ваша организация имеет дело с секретной информацией, вам может потребоваться обеспечить, чтобы данные никогда не покидали вашу среду. В таких случаях использование любых облачных продуктов безопасности бесполезно. Развернув локальную платформу SecOps, вы можете быть уверены, что ваши конфиденциальные журналы и другая информация о безопасности останутся в безопасности в стенах вашей среды, обеспечивая дополнительный уровень защиты.
2. Нормативно-правовые акты
Степень, с которой регулирующие органы проверяют отрасль, может широко варьироваться в зависимости от типа данных, с которыми работает организация, и от возможности того, что эти данные в случае компрометации могут нанести клиентам значительный вред. Например, медицинские, финансовые и правительственные организации должны соблюдать строгие нормативные требования, такие как GDPR, HIPAA и другие региональные законы о защите данных. Предположим, ваша организация является частью одной из этих строго регулируемых отраслей. В этом случае у вас может не остаться другого выбора, кроме как развернуть платформу SecOps локально, чтобы исключить потенциальные нарушения нормативных требований.
3. Настройка и контроль версий
В зависимости от возможностей вашей команды безопасности и целевых вариантов использования вам может потребоваться развернуть некоторые пользовательские конфигурации и/или код поверх готовой платформы SecOps. При работе с облачной платформой SecOps поставщик может ограничить вашу возможность вносить подобные настройки в платформу. Кроме того, поставщик может устанавливать обновления для платформы SecOps практически без предварительного уведомления, что может вызвать у вашей службы безопасности изжогу. При локальном развертывании ваша команда безопасности может реализовать индивидуальные политики безопасности и/или автоматизацию, которые может быть сложно реализовать на облачной платформе. Такой уровень гибкости и контроля может расширить возможности вашей команды, позволяя им адаптировать платформу к своим конкретным потребностям и поддерживать контроль версий без каких-либо внешних ограничений.
4. Вопросы производительности
Хотя большинство организаций работают с высокоскоростными сетями, способными минимизировать задержку даже при загрузке или скачивании больших наборов данных, у некоторых могут возникнуть проблемы с надежностью/стабильностью сети из-за расположения их офисов. Кроме того, бывают ситуации, когда организация или часть организации не имеет подключения к Интернету для соблюдения внутренних или внешних политик. Если вы находитесь в аналогичной ситуации, модель развертывания на территории — ваш единственный реальный вариант.
Выбор следующей локальной платформы SecOps
Хотя я изложил четыре причины, по которым развертывание локального решения может быть целесообразным. SIEM Возможно, потребуется платформа для обеспечения безопасности или операционная платформа, но есть и много других вариантов. Независимо от причины развертывания локальной системы, следующий логичный вопрос может быть: «Как выбрать подходящую платформу?» SIEM/Платформа SecOps, которая отвечает моим потребностям в развертывании?
Вот три рекомендации по выбору локальной платформы.
1. Возможности
Хотя это само собой разумеется, платформы обеспечения безопасности, поддерживающие возможности локального развертывания, сильно различаются. На нижнем уровне спектра возможностей у вас могут быть поставщики, рекламирующие локальную развертываемую платформу, которая позволяет вам получать данные журналов из множества различных источников, но требует от вас создания, управления и поддержки всех правил обнаружения и корреляции. Этот продукт представляет собой прославленный инструмент управления журналами, который, несомненно, снизит эффективность вашей команды в долгосрочной перспективе.
На другом конце спектра находятся продукты с легко настраиваемыми интеграциями, способные собирать оповещения о безопасности от сторонних поставщиков, данные журналов, сетевой трафик, а также потоки активности пользователей и активов. В этом случае модели машинного обучения и искусственного интеллекта в сочетании с правилами обнаружения, разработанными поставщиком, будут автоматически выявлять сложные угрозы без участия человека. Stellar Cyber Open XDR Платформа работает следующим образом.
Оценивая свои варианты, задавайте уточняющие вопросы относительно возможностей и настаивайте на проверке концепции (PoC) в вашей среде для подтверждения утверждений поставщика.
2. Интеграции
Как упоминалось в моей первой рекомендации, интеграция имеет решающее значение для получения пользы от любой платформы обеспечения безопасности. Любой, кто работал с продуктом, требующим значительной ручной и индивидуальной интеграции, знает, в какой кошмар это может быстро превратиться. Во-первых, не все группы безопасности обладают техническими навыками для создания интеграций, поэтому им приходится либо заключать контракт с внешним ресурсом для создания и поддержки интеграций, либо платить поставщику дополнительные сборы за создание интеграций, либо нанимать выделенный ресурс для владения интеграциями. . В любом из этих случаев в результате получается платформа, которая со временем стоит намного дороже, чем ожидалось.
Лучшим вариантом является выбор платформы, поставщик которой вкладывает свои усилия и ресурсы в создание интеграций, которые ваша команда безопасности сможет легко настроить. Например, наша платформа включает в себя сотни готовых интеграций, доступных всем пользователям без дополнительной оплаты. Более того, если заказчику потребуются дополнительные интеграции, мы разрабатываем их без дополнительных затрат.
Разговаривая с поставщиками, убедитесь, что они понимают продукты, которые вы собираетесь интегрировать, и поддерживает ли их платформа. Подтверждайте все, что они говорят в процессе PoC.
3. Дорожная карта
Обнаружение того, что продукт, в который вы вложили деньги и который стал центром ваших рабочих процессов в области безопасности, не имеет будущего, неожиданно может расстроить даже самого опытного руководителя в области безопасности.
Например, недавнее приобретение компанией Palo Alto Networks компании IBM QRadar. SIEM Облачные технологии оставили все IBM QRadar Локальная версия клиенты в холоде. Если этим клиентам необходимо оставаться локально, им нужен другой поставщик, который удовлетворит их потребности в развертывании и поможет им быстро перенести существующие данные, конфигурацию и правила QRadar на новую платформу.
Хотя продукты с дорожными картами могут быть задействованы в действиях, связанных с акционерами, таких как слияния или поглощения, наличие у поставщика планов, выходящих за рамки текущей версии платформы, по крайней мере, позволяет вам знать, что платформа будет продолжать развиваться на основе изменений в ландшафт угроз и потребности пользователей.
Например, здесь, в Stellar Cyber, мы регулярно обсуждаем с клиентами и потенциальными клиентами наш план развития нашей платформы, которую можно развернуть локально, в облаке или совместно управлять MSSP по вашему выбору. Мы открыты для наших клиентов, давая им понять, что мы стремимся поддерживать облачные и локальные развертывания с теми же возможностями в будущем. Это обязательство также позволяет нашим клиентам адаптировать свой подход к обеспечению безопасности по мере того, как в их жизни что-то меняется. Например, если в будущем организация сможет перейти от локального развертывания к облаку, она сможет легко осуществить этот переход с помощью Stellar Cyber, не изучая совершенно другой продукт.
Заключительные мысли
Безопасность не является универсальным предложением.
Хотя облачные технологии позволяют быстро масштабировать бизнес и помогают команде безопасности управлять своими затратами и ресурсами, существуют веские причины для развертывания облачных решений. SIEM/XDR/Платформа SecOps для локальной установки. Следование простым рекомендациям, которые я описал, — хорошая отправная точка в поиске вашей следующей платформы. Чтобы узнать больше о Stellar Cyber Open XDR Платформа управления безопасностью может удовлетворить ваши потребности в развертывании в локальной среде. свяжитесь с нами сегодня, чтобы назначить личную консультацию. Кроме того, если вы являетесь активным клиентом IBM QRadar On-premises и хотите быстро развиваться, у нас есть специальное предложение специально для вас.
