Чтобы констатировать очевидное, не существует идеального продукта в области кибербезопасности.
Хотя существует множество отличных продуктов, которые специалисты по безопасности ежедневно используют для обеспечения безопасности своих организаций, в каждом из них есть что-то, что могло бы быть лучше. Однако по мере того, как стеки безопасности становятся все более сложными, все эти «менее идеального» предметы, взятые вместе, могут превратиться в ежедневный кошмар. Ключевым моментом для руководителей групп безопасности является понимание того, что боль, которую причиняет стек безопасности, превышает возможности команды.
Нас уже 7,000 клиентов используют наш сервис. Open XDR Платформа безопасности. Разговаривая с нашими клиентами, они часто обсуждают, как можно исключить из своего стека безопасности лишние и менее ценные продукты, в основном из-за количество возможностей, встроенных в нашу платформу. В этих разговорах я неоднократно слышал три разочарования, которые натолкнули меня на идею написать этот блог. Вот три явных признака того, что вы, возможно, готовы изменить свой стек безопасности.
- Вы тратите больше времени на преследование своего поставщика, чем на злоумышленника.: Каждый разработанный продукт имеет дефекты. Тем не менее, не все дефекты одинаковы. Аналитики безопасности привыкли устранять незначительные проблемы в продукте, что, хоть и раздражает, но позволяет им проводить расследования. Однако их способность обеспечивать безопасность результатов резко прекращается, когда что-то критическое рушится. Время от времени это может случиться с любым продуктом безопасности, но когда это становится обычным явлением, это становится большим красным мигающим предупреждающим знаком. Если вашему поставщику постоянно приходится выпускать исправления, которые в конечном итоге нарушают другие функции, пришло время взвесить свои варианты и сказать: счастливого пути этому продавцу и его сломанному продукту.
- Список контактов вашего поставщика длиннее, чем ваша телефонная книга: Несколько лет назад, когда кибербезопасность была «простой» (вставьте сюда смех), команды безопасности имели дело лишь с несколькими продуктами для выполнения своей работы. Однако сегодня многие группы безопасности работают более чем с пятьюдесятью различными продуктами и поставщиками. Хотя может быть заманчиво всегда добавлять новейшие и лучшие продукты в стек безопасности, ситуация может легко выйти из-под контроля.
Несколько лет назад, когда я работал с компанией над потенциальной сделкой, директор по информационной безопасности этой компании задал вопрос, который я всегда помню. Мы рассказывали его команде о новой технологии, которая объединила несколько продуктов, с которыми было знакомо большинство команд безопасности. Однако, поскольку наш продукт и категория продуктов только появлялись, ему не было ясно, сможет ли наш продукт заменить некоторые продукты его команды. В ходе встречи он сказал: «Скажите мне, от чего я смогу избавиться, если принесу ваш продукт?» Я помню, как задумался, удивился, что он этого не заметил, но как только я преодолел шок, я рассказал ему о технологии, которую он мог бы устранить, если бы выбрал наш продукт. Дело в том, что современные группы безопасности имеют более чем достаточно технологий, даже слишком много от слишком большого количества поставщиков, что видно из списка поставщиков, с которыми работают руководители службы безопасности. Даже если они приобретают продукты через доверенную компанию-партнера по безопасности, им все равно потребуется много умственных усилий и времени, чтобы отслеживать, кто вам что продал. Если это звучит знакомо, начните искать способы консолидации (так называемого «чистого дома») вашего стека безопасности от меньшего количества поставщиков. - «FP» и «DA» встречаются слишком часто: Было бы здорово, если бы все поставщики продуктов кибербезопасности работали вместе над созданием общей модели данных с возможностью совместного использования данных и вычислительной мощности, чтобы гарантировать, что все продукты генерируют минимальное количество ложных срабатываний и дублирующих предупреждений, но этого просто не произойдет. Типичные поставщики не заинтересованы в сотрудничестве с другими поставщиками; если они это делают, то, как правило, делают минимум. Помимо этого факта, информационной безопасности продукты страдают от расползания объема, а это означает, что продукт, предназначенный для предоставления возможностей решения проблемы X, может в конечном итоге иметь некоторые шумные функции, которые утверждают, что решают проблемы Y и Z. Таким образом, аналитики безопасности регулярно тратят усилия на расследование угрозы, которая в конечном итоге оказывается ложным срабатыванием. или, что еще хуже, дубликат оповещения от другого продукта, который уже исследует какой-то другой аналитик. Если это звучит знакомо, сейчас самое время внести изменения во благо здравомыслия каждого.
Не существует универсального подхода к кибербезопасности. На рынке так много вариантов, но это не означает, что командам безопасности следует собирать свой стек безопасности по частям.
Мы регулярно помогаем организациям устранить сложность и стоимость их пакета безопасности с помощью наших Open XDR Платформа. С Следующий генерал SIEMПлатформа анализа угроз, аналитика безопасности. UEBA, NDR, IDS, анализа вредоносного ПО и возможностей SOAR, включенных в нашу платформу, а также нашу способность работать с любыми другими продуктами, которые они используют, через нашу независимая от данных архитектура интеграции, эти организации не только оптимизировали свой набор средств безопасности, но теперь обеспечивают более качественные и стабильные результаты в области безопасности.
Нижняя линия: Вы можете изменить то, что используете сегодня. Следите за этими тремя признаками и делайте шаг, когда придет время.
