В сегодняшней ультраконкурентной рынок МССП, владельцы бизнеса ищут способы сделать свои предложения более привлекательными для клиентов и их SOCs более эффективно. С этой целью ППГЧ добавить новые технологии в свой набор предложений по обеспечению безопасности в надежде, что потенциальные клиенты увидят в этом добавлении возможность передать часть или все функции мониторинга безопасности на аутсорсинг. В этой стратегии есть некоторая обоснованность; К сожалению, новые технологии часто не обеспечивают заявленных преимуществ, что приводит к увеличению оттока клиентов. Поэтому, несмотря на то, что ваша команда по технологиям и безопасности должна быть в курсе новейших и лучших технологий безопасности, иногда вы должны смотреть на то, что уже есть в вашем стеке безопасности.
Единственная технология, о которой я говорю конкретно, это ваша SIEM. В зависимости от того, с кем вы говорите, мы в настоящее время находимся в третьем или четвертом поколении SIEM Технология; однако, когда я разговариваю с практикующими, их неудовлетворенность SIEM есть на Дефкон.
1. MSSP продолжают использовать SIEM Это не удовлетворяет их потребностям из-за времени и ресурсов, необходимых для того, чтобы демонтировать и заменить это чем-то, что, вероятно, вызовет у них аналогичное разочарование.
Позвольте мне рассказать о трех способах этого старого SIEM (или даже не такие уж и старые) SIEM) причиняет больше вреда, чем вы думаете.
SIEMленивы
Там, я сказал это, но мы все знаем, что SIEMs, до недавнего времени не работали умнее, они заставляли вас работать усерднее. Хотя они и позволяли вам собирать всевозможные журналы и сопоставлять оповещения от различных элементов управления безопасностью, результат, который вы могли бы получить, был не хуже, чем у вашего самого изобретательного аналитика безопасности. Если бы они были ниндзя в области безопасности с обширным пониманием ландшафта угроз и знали, как писать интеллектуальные правила корреляции, вы, вероятно, любили бы свою работу. SIEM.
Если ваша команда похожа на большинство, где компании пытаются переманить ваших лучших игроков, вы увидите резкий сдвиг в вашем SIEMs эффективность, если они уйдут. Да, НГ-SIEM поставщики пытаются решить эту проблему, предоставляя больше стандартного контента (присяжные все еще не уверены в его эффективности). Тем не менее, как и в случае с пакетом Oreo, который ваши дети открыли и забыли правильно закрыть, этот контент быстро устаревает, оставляя вас с задачей создания новых правил или поиска в сообществах контента, который вы можете импортировать. Итог, SIEM, Даже НГ-SIEMs, возлагают тяжелую работу на вашу команду, препятствуя вашей возможности увеличить количество клиентов, с которыми ваша команда могла бы справиться без этой нагрузки.
SIEMs — это пожиратели данных
Кибербезопасность сегодня — это проблема данных, зачеркните это, это БОЛЬШАЯ проблема с большими данными. С таким количеством продуктов, которые используются ежедневно, объем журналов, которые генерирует типичная компания среднего размера, смехотворен. В то время как определенные отрасли требуют полного сбора и проверки журналов для соблюдения того или иного правила, многие клиенты, которые могут ознакомиться с MSSP, не пытаются решить проблему соответствия. Вместо этого многие стремятся лучше выявлять и устранять угрозы, прежде чем они смогут нанести ущерб их бизнесу. SIEMsВ силу своей внутренней, заложенной склонности к полному сбору данных, это означает, что команда безопасности, стремящаяся выявить угрозы, будет пробираться сквозь океаны нерелевантных данных журналов в надежде обнаружить опасность. Это не невыполнимая задача, поскольку вы, вероятно, делаете это и сегодня, но представьте, что вы золотоискатель 1840-х годов, промывающий золото. Вместо того чтобы использовать лоток для просеивания небольшого количества ила в поисках золота, вы решаете использовать огромное ведро в надежде увидеть этот ценный минерал. Как вы думаете, что займет больше времени? Конечно, я понимаю, что это не совсем корректное сравнение, и наши передовые вычислительные возможности могут ускорить процесс. Однако экономия нескольких минут в день суммируется, особенно в долгосрочной перспективе. SOC с десятью, двадцатью или пятьюдесятью аналитиками по безопасности. Итог – SIEMs отлично подходят для решения случаев использования с чистым соблюдением требований, поскольку они собирают все данные журналов, но для сценариев использования безопасности, которые вы обычно продаете, вам нужна технология, которая понимает разницу между релевантными журналами безопасности и нерелевантными и собирает только то, что ему нужно .
SIEMНе все любят
Когда я руководил маркетингом продукта для другого поставщика (чье имя останется неназванным), одним из наиболее частых вопросов был: «Поддерживаете ли вы продукт XYZ?» или «Могу ли я использовать данные из продукта ABC?» Сообразительные покупатели систем безопасности, которые раз или два побывали в кругу поставщиков, понимают, как поставщики систем безопасности будут преуменьшать отсутствие встроенных интеграций с вашими продуктами. Они скажут что-то вроде: «Я могу достать это для вас, без проблем» или «Я уверен, что это уже в пути; позвольте мне вернуться к вам», в то время как на самом деле им придется вернуться к своей команде по интеграции и просить и умолять о новой интеграции, особенно если им нужно закрыть вашу сделку, чтобы достичь своего числа за квартал. Теперь кто-то из группы интеграции придумывает одноразовый сценарий, показывающий, как данные передаются из вашего продукта в SIEM backend, надеясь, что никто не примет то, что было доставлено. Опять же, если вы задержались на минутку, я уверен, что это звучит знакомо.
Печальная реальность такова, что большинство SIEMs сложны для интеграции, учитывая базовую сложность их моделей данных. Возможно, вы сможете написать свои интеграции, и если это так, отлично, но что происходит, когда SIEM поставщик выкатывает новую версию и ломает вашу интеграцию? Вернемся к чертежной доске. Итог – готовые интеграции с SIEM эта работа - это то, что вы должны ожидать от своего SIEM поставщику. Если сегодня вы получаете не это, время, затрачиваемое на подключение клиентов, сократится, и, в худшем случае, вы потеряете клиентов, ожидая своего заказа. SIEM Поставщик должен обеспечить интеграцию, которая, как вы надеетесь, будет работать.
Мы помогли многим MSSP увидеть преимущества удаления старых или не очень старых SIEM и заменить его на наш Звездный кибер Open XDR Платформа. С нашей платформой вы получаете:
– Правильная автоматизация там, где она вам нужна: Цель Stellar Cyber — максимально автоматизировать обнаружение, расследование и устранение угроз. Когда вы переходите на Stellar Cyber, ваши дни, беспокоящиеся об устаревании правил корреляции, заканчиваются. Stellar Cyber делает тяжелую работу, позволяя быстрее привлекать клиентов.
– Интеллектуальный сбор данных: мы собираем данные, относящиеся к безопасности, что позволяет нам AI / ML Механизм обнаружения угроз для максимально быстрой идентификации угроз. Когда секунды имеют значение, Stellar Cyber позаботится о том, чтобы у вас было столько секунд, сколько вы можете получить.
- Приглашаются все: Если ваш SIEM и Stellar Cyber устраивали вечеринки, наша вечеринка выглядела бы как воссоединение класса, где все отлично проводили время; в SIEM вечеринка может выглядеть как собрание людей, которые никогда не встречались. Другими словами, архитектура Stellar Cyber является открытой, с интеграцией практически со всеми популярными инструментами безопасности, ИТ и повышения производительности, что ускоряет адаптацию клиентов и рост вашего бизнеса.
Мы многим обязаны SIEMs. Они открыли нам глаза на важность анализа данных, но сегодня вы можете добиться большего, чем SIEM ты используешь. Чтобы узнать больше о Stellar Cyber, ознакомьтесь с нашим специально для MSSP пятиминутная экскурсия.
