Находятся Симс фундамент, на котором можно строить, или это пустые обещания?
С более сложным кибератаки на подъеме и с Covid-19, добавляя дополнительные проблемы для защиты предприятия, является SIEM перспективное ядро а безопасность нового поколения оперативный центр (SOC), или пора рассмотреть новые идеи?
Мы ежедневно обсуждаем информационной безопасности проблемы с глобальными лидерами мнений, но мы хотели получить более полное представление об этом сложном вопросе, чтобы лучше понять рынок. С этой целью мы заключили договор ЛидтоМаркет провести исследование с клиентами, у которых есть ведущие в отрасли платформы SIEM, чтобы понять, что нужно клиентам, чтобы переосмыслить свои методы SOC и рассмотреть средства для радикального сокращения затрат и значительного повышения производительности за счет уменьшения сложности повседневных задач. информационной безопасности операции. Опрос предполагает SIEM сегодня является основой SOC организации.
Были установлены контакты почти с 50 компаниями в США и Канаде, включая организации из сферы высшего образования, финансов, здравоохранения, сферы услуг и государственных/местных органов власти. Были опрошены лица, принимающие решения в области безопасности. Что касается установленной базы, 54% раскрытых ответов использовали QRadar в качестве своей SIEM; 46% были клиентами Splunk.
Изменения возможны, когда…
Клиенты всегда говорят нам, что удаление поставщика может занять до 2 лет, добавляя реальные и нематериальные затраты на обучение и передачу лучших практик. Неудивительно, что 52% респондентов рассмотрят возможность замены своих SIEM если новая платформа снизит затраты более чем на 50% И значительно уменьшит сложность.
Пробел в навыках?
Одной из предпосылок, которые мы пытались проверить, была идея информационной безопасности пробел в навыках. Мы все говорим о том, как сложно найти квалифицированных аналитиков по безопасности для управления SOC, проведения вдумчивых и своевременных расследований и предотвращения действительно серьезных нарушений безопасности.
Только с тремя выбросами средний балл текущего SIEM общая удовлетворенность на основе пяти критериев колеблется от 7.6 до 8.5 или в переводе на шкалу оценок: C+/B-. Эти данные рассказывают интересную историю о том, что «достаточно хорошо», но в сочетании с вышеприведенными ответами об Изменениях вы можете почесать затылок и спросить: «Почему?» Мы считаем, что изменения обходятся дорого, и даже «достаточно хорошо» — это именно то, что достаточно хорошо. Изменения могут улучшить ситуацию, а могут и нет. Вот почему ответ на получение как более низких затрат, так и меньшей сложности с информационной безопасности инструменты имеет смысл. Предприятия хотят видеть гораздо лучшее улучшение, чем просто стоимость или сложность.
Упомянутые внешние данные также говорят о многом. Было несколько 10-х, а также несколько 4-х и 5-х. Мы сопоставили различия с доступностью SIEM таланты, крупные штаты и метрополитены без проблем находили квалифицированных специалистов. информационной безопасности аналитики, в то время как у небольших городов и сельских штатов было больше проблем.
Путь к интеллектуальному SOC
Мы обнаружили, что никакие два SOC одинаковы, а степень доп. информационной безопасности инструменты или предполагаемые будущие потребности не коррелировали с какой-либо конкретной переменной, такой как размер организации или вертикаль. Финансы действительно выделялись тем, что располагали наибольшим количеством инструментов, и было легко увидеть, что они намного продвинулись по пути определения SOC как SIEM + NTA + анализ поведения пользователя/сущности (УЭБА) + автоматизация управления безопасностью и реагирование (SOAR), а также поиск угроз.
В частности, 24% респондентов готовы изучить дополнительные инструменты, дополняющие их SIEM, такие как анализ сетевого трафика (NTA), UEBA, Threat Hunting и SOAR.
Хотя данные ясно показывают установленные информационной безопасности инфраструктура работает адекватно, большинство респондентов рассмотрят новые идеи, которые приносят ощутимую пользу. Особый интерес представляют идеи, которые уменьшают сложность и разрушают структуру затрат традиционных поставщиков.
Одна из новых идей, которую следует рассмотреть, — это Stellar Cyber. Открытая платформа безопасности XDR. Это может сократить сложность и затраты при одновременном улучшении информационной безопасности защиты. Независимо от того, как выглядит ваш текущий SOC, Stellar Cyber вставляется, чтобы улучшить ваши существующие инструменты и потоки данных, а также предоставляет дополнительные приложения для ускорения вашего перехода к интеллектуальному SOC — все с одной платформой, одним механизмом искусственного интеллекта, одним озером данных и одним лицензия.
SIEM - ПУСТЫЕ ОБЕЩАНИЯ?
SIEM были основой операций по обеспечению безопасности на протяжении десятилетий, и это следует признать. Однако SIEM дали много больших обещаний и по сей день не выполнили многие из них ...
