Ti affidi al tuo SIEM per ottenere un rilevamento delle minacce efficiente in termini di costi, chiarezza dei segnali e regole e risposte personalizzate per i casi d'uso, anche se le superfici di minaccia si moltiplicano nel cloud ogni giorno il tuo sistema è bersaglio di decine di cloud crittografati e ibridi?
Non farlo. Non funziona. Ma questo lo sapevi già.
Come tutti gli strumenti, il SIEM è più efficace quando viene utilizzato correttamente e nel contesto giusto. Nell'odierno ambiente complesso e caratterizzato da minacce ibride, è importante riconoscere i punti di forza e i limiti del proprio SIEM. In breve, chiedere al proprio SIEM di andare oltre le sue capacità non è saggio e impedisce di ottenere i vantaggi, i risultati e il ROI necessari dall'investimento nel SIEM.
L'ascesa della "paura del SIEM"
C'è stata un'eccessiva dipendenza dal SIEM perché i team SOC sanno che manca di copertura e visibilità, ma non si rendono conto che esistono strumenti più adatti a risolvere i loro punti deboli nel rilevamento e nella risposta alle minacce. Probabilmente, conosci bene lo stress che deriva da tale ambiguità in materia di sicurezza. Chiamiamo questo eccessivo affidamento al SIEM in un ambiente di minacce ibride basato sull'intelligenza artificiale "ansia da SIEM". Di seguito sono riportati 10 modi in cui i team SOC chiedono troppo al loro SIEM e, di conseguenza, vivono quotidianamente l'ansia da SIEM.
1. Affidarsi esclusivamente al proprio SIEM per rilevare, indagare e rispondere agli attacchi.
Il SIEM si basa su regole, ma gli attacchi avanzati spesso le aggirano. Questo fattore da solo crea una cascata di lavori pesanti, costosi, laboriosi e, in definitiva, demoralizzanti per il personale, volti a identificare nuovi attacchi e scrivere nuove regole specifiche per affrontarli.
2. Aspettarsi che l'investimento nel SIEM generi un ROI positivo.
Con l'aumento vertiginoso dei costi di sviluppo dei casi d'uso SIEM (gioco di parole intenzionale), il rapporto tempo-valore del vostro SIEM sta peggiorando. Ad esempio, in media, Splunk costa 6000 dollari per caso d'uso, mentre il costo medio di QRadar è di circa 12.500 dollari. I costi medi annuali di manutenzione dei casi d'uso sono di circa 2.500 dollari all'anno, con costi totali che raggiungono centinaia di migliaia di dollari. In altre parole, le possibilità di vedere il vostro investimento SIEM produrre un ROI positivo sono scarse e inesistenti... e Slim ha appena lasciato la città.
3. Il volume dei casi d'uso SIEM è fuori controllo.
L'aumento del numero di attacchi informatici avanzati fa lievitare i costi di sviluppo e manutenzione dei casi.
4. Il carico di lavoro SOC di livello 1 sta aumentando in modo esponenziale (o lo ha già fatto).
In relazione al punto 3, l'eccessiva dipendenza dal SIEM comporta anche un'eccessiva dipendenza dall'analisi umana per l'individuazione delle minacce e la classificazione dei risultati in veri positivi, falsi positivi e falsi negativi. Ciò comporta costi elevati e un uso improprio delle competenze del team.
5. Affidarsi al SIEM per ottimizzare gli sforzi del team nella messa a punto delle regole di rilevamento e nella classificazione degli avvisi.
In relazione al punto 4, con l'espansione della superficie di attacco aumenta anche il volume dei dati che è necessario indicizzare, arricchire e analizzare. Ciò comporta un aumento delle ore di lavoro manuale necessarie per creare e implementare casi d'uso e regole, complicando il processo.
6. Pensare che il SIEM possa aiutare a risolvere la carenza di personale qualificato.
Coinvolgere il proprio team in processi laboriosi come la codifica manuale dei casi d'uso o l'analisi quotidiana di migliaia di avvisi riduce l'efficacia del SIEM e demoralizza il team SOC. Di conseguenza, è necessario assumere e formare continuamente nuovi membri del team di sicurezza.
7. Aspettarsi chiarezza dei segnali dal proprio SIEM.
Nella maggior parte dei casi, il SIEM genera un elevato livello di rumore di segnale. Perché? Perché non è progettato per fornire segnali accurati e integrati su tutte le superfici di attacco ibride, ma per raccogliere dati. Un SIEM può generare centinaia di avvisi al giorno e può riconoscere solo segnali o modelli di comportamento attraverso regole di casi d'uso preesistenti. Non è in grado di rilevare TTP di attacco nuovi o sconosciuti o zero-day . Tra il discernimento dei falsi allarmi e la scrittura di nuove regole, l'utilizzo del solo SIEM comporta una battaglia manuale continua per il vostro team.
8. Affidarsi al proprio SIEM per individuare rapidamente i segnali di comportamenti sospetti all'interno del proprio ambiente.
Con la crescita esponenziale cloud , agli aggressori basta una sola apertura per infiltrarsi negli ambienti e creare un mezzo per persistere. Gli aggressori ibridi sono veloci e agili, quindi affinché il SIEM riesca a stare al passo, i vostri ingegneri dovrebbero creare manualmente regole e correlazioni che prevedano ogni mossa dell'aggressore e abbiano una regola per essa. Sembra impossibile? È perché lo è.
9. Speriamo che il tuo SIEM sia in grado di fornire rilevamenti personalizzati facili e veloci per la copertura post-sfruttamento.
Il SIEM svolge un ottimo lavoro nell'aggregazione dei log, ma tentare di configurare rilevamenti personalizzati all'interno del SIEM per la copertura post-sfruttamento non produce risultati favorevoli e, sì, aggiunge costi.
10. Affidarsi a tecnologie isolate nel proprio SIEM per comunicare e migliorare la copertura.
I team SOC stanno combattendo una battaglia in salita contro un volume crescente di minacce, oltre a gestire segnali e avvisi provenienti da numerosi strumenti isolati che non comunicano tra loro. È una ricetta per il disastro. La spirale crescente di lavoro, complessità, rischi e sforzi inutili per il team SOC si traduce in una minore sicurezza per l'organizzazione.
Passa da SIEM a Signal con Vectra AI
Esiste un modo più intelligente per ottenere il massimo dal tuo SIEM e dal tuo team SOC in termini di efficacia, costi e ottimizzazione dei talenti. La Vectra AI aumenta notevolmente le prestazioni del tuo SIEM grazie al rilevamento basato sull'analisi, anziché all'approccio manuale basato sull'analisi, che comporta costi in termini di tempo, denaro e opportunità perse per il tuo team. Vectra AI la copertura, assegna priorità alle minacce e fornisce indagini mirate utilizzando modelli comportamentali basati sull'intelligenza artificiale e l'apprendimento automatico che ampliano la copertura del rilevamento.
Vectra AI combina Vectra AI la telemetria dei log dal cloud, le informazioni sulle minacce e altre fonti con metadati ad alta fedeltà disponibili dai pacchetti raccolti per individuare le risorse interessate. A differenza delle soluzioni basate su SIEM, si muove attraverso gli ambienti con l'attacco, fornendo agli analisti informazioni di sicurezza utilizzabili basate sui comportamenti in tempo reale cloud della rete. Queste capacità rendono Vectra AI adatta a realizzare molti degli stessi casi d'uso (oltre a un numero significativo di nuovi) precedentemente previsti per il SIEM, con maggiore efficacia e a costi inferiori.
Per ulteriori informazioni su come ottenere il massimo dal tuo SIEM, consulta i nostri metodi di ottimizzazione SIEM e SOAR: ti mostreremo come proteggiamo la tua infrastruttura e ottimizziamo il rilevamento e la risposta.