Vi affidate al vostro SIEM per ottenere un rilevamento delle minacce efficace dal punto di vista dei costi, chiarezza dei segnali e regole e risposte personalizzate per i casi d'uso, anche se le superfici di minaccia si moltiplicano nel cloud e decine di attacchi crittografati cloud ibrido prendono di mira il vostro sistema ogni giorno?
Non farlo. Non funziona. Ma questo lo sapevi già.
Come tutti gli strumenti, il SIEM è più prezioso quando viene utilizzato correttamente e nel giusto contesto. Nell'odierno ambiente complesso e ibrido delle minacce, è importante riconoscere dove il SIEM eccelle e dove non eccelle. In breve, chiedere al vostro SIEM di operare al di là delle sue capacità non è saggio e vi impedisce di ottenere i vantaggi, i risultati e il ROI che desiderate dal vostro investimento nel SIEM.
L'ascesa della "angoscia da SIEM
C'è stata un'eccessiva dipendenza dal SIEM perché i team SOC sanno che manca la copertura e la visibilità, ma non si rendono conto che ci sono strumenti più adatti a risolvere i loro punti deboli nel rilevamento e nella risposta alle minacce. È probabile che abbiate più di una familiarità con lo stress che deriva da questa ambiguità della sicurezza. Noi chiamiamo questa eccessiva dipendenza dal SIEM nell'ambiente delle minacce ibride e guidate dall'intelligenza artificiale "angoscia da SIEM". Di seguito sono riportati 10 modi in cui i team SOC chiedono troppo al loro SIEM e, di conseguenza, vivono quotidianamente l'angoscia da SIEM.
1. Affidarsi esclusivamente al SIEM per rilevare, indagare e rispondere agli attacchi.
Il SIEM è basato su regole, ma gli attacchi avanzati spesso li eludono. Questo fattore, da solo, crea una cascata di lavoro costoso, ad alta intensità di manodopera e, in ultima analisi, che distrugge il talento e il morale, per identificare nuovi attacchi e scrivere nuove regole specifiche per affrontarli.
2. Aspettarsi che l'investimento nel SIEM generi un ROI positivo.
Con l'impennata dei costi di sviluppo dei casi d'uso del SIEM, il rapporto tempo/valore del SIEM si sta deteriorando. Ad esempio, Splunk costa in media 6000 dollari per caso d'uso, mentre il costo medio di QRadar è di circa 12.500 dollari. I costi medi annuali di manutenzione dei casi d'uso sono di circa 2.500 dollari all'anno, con costi totali che si aggirano sulle centinaia di migliaia. In altre parole, le possibilità che il vostro investimento nel SIEM produca un ROI positivo sono scarse e nulle... e Slim ha appena lasciato la città.
3. Il volume dei casi d'uso del SIEM è fuori controllo.
L'aumento del numero di attacchi informatici avanzati fa lievitare i costi di sviluppo e manutenzione dei casi.
4. Il carico di lavoro del SOC di livello 1 sta esplodendo (o è già esploso).
In relazione al punto 3, l'eccessiva dipendenza dal SIEM implica anche un'eccessiva dipendenza dal rilevamento delle minacce basato sugli analisti (cioè sull'uomo) per la categorizzazione dei veri positivi, dei benigni positivi e dei falsi positivi. Questo è costoso e rappresenta un uso improprio del talento del vostro team.
5. Affidarsi al SIEM per ottimizzare gli sforzi del team per perfezionare le regole di rilevamento e il triage degli avvisi.
In relazione al punto 4, con l'espansione della superficie di attacco aumenta anche il volume di dati da indicizzare, arricchire e analizzare. Ciò significa un maggior numero di ore manuali per creare e implementare casi d'uso e regole, complicando il processo.
6. Pensate che il SIEM vi aiuterà a risolvere la carenza di personale qualificato.
Il fatto che il team sia impegnato in processi ad alta intensità di lavoro, come la codifica manuale dei casi d'uso o l'analisi di migliaia di avvisi al giorno, riduce l'efficacia del SIEM e demoralizza il team SOC. Di conseguenza, dovete costantemente (ri)assumere e formare i team di sicurezza.
7. Aspettarsi chiarezza di segnale dal SIEM.
Nella maggior parte dei casi, il SIEM genera molto rumore di segnale. Perché? Perché non è stato costruito per fornire segnali accurati e integrati sulle superfici di attacco ibride, ma per raccogliere dati. Un SIEM può generare centinaia di avvisi al giorno e può riconoscere segnali o schemi di comportamento solo attraverso regole preesistenti. Non è in grado di rilevare TTP di attacco nuovi o sconosciuti o exploit zero-day . Tra il discernimento dei falsi allarmi e la scrittura di nuove regole, l'utilizzo del solo SIEM comporta una continua battaglia manuale per il vostro team.
8. Affidatevi al SIEM per individuare rapidamente i segni di un comportamento di un attaccante all'interno del vostro ambiente.
Con la crescita esponenziale delle impronte cloud , agli aggressori basta un'unica apertura per infiltrarsi negli ambienti e creare un mezzo per la persistenza. Gli aggressori ibridi sono veloci e agili, quindi per tenere il passo del SIEM i vostri ingegneri dovrebbero creare manualmente regole e correlazioni che prevedano ogni mossa dell'aggressore, e avere una regola per questo. Sembra impossibile? Perché lo è.
9. Speriamo che il vostro SIEM possa fornire rilevamenti personalizzati facili e veloci per la copertura post-exploitation.
Il SIEM svolge un ottimo lavoro di aggregazione dei log, ma il tentativo di configurare rilevamenti personalizzati all'interno del SIEM per la copertura post-exploitation non produce risultati favorevoli e, sì, aggiunge costi.
10. Affidarsi a tecnologie siloed nel SIEM per comunicare e migliorare la copertura.
I team SOC stanno combattendo una battaglia in salita contro un volume crescente di minacce, oltre a gestire segnali e avvisi provenienti da numerosi strumenti siloed che non si parlano tra loro. Questa è una formula per il disastro. La spirale crescente di più lavoro, più complessità, rischi e sforzi sprecati per il team SOC significa meno sicurezza per l'organizzazione.
Passare da SIEM a Signal con Vectra AI
Esiste un modo più intelligente per ottenere il massimo dal vostro SIEM e dal vostro team SOC in termini di efficacia, costi e ottimizzazione dei talenti. La piattaforma Vectra AI aumenta drasticamente le prestazioni del SIEM con un rilevamento guidato dall'analisi, invece dell'approccio manuale guidato dall'analisi, che costa tempo, denaro e perde opportunità per il team. Vectra AI aumenta la copertura, dà priorità alle minacce e fornisce indagini mirate utilizzando modelli comportamentali e di apprendimento automatico guidati dall'intelligenza artificiale che ampliano la copertura del rilevamento.
Vectra AI combina anche la telemetria dei log dal cloud, le informazioni sulle minacce e altre fonti con i metadati ad alta fedeltà disponibili dai pacchetti raccolti per individuare le risorse colpite. A differenza delle soluzioni basate su SIEM, si sposta da un ambiente all'altro con l'attacco, fornendo agli analisti informazioni di sicurezza utilizzabili basate sui comportamenti in tempo reale cloud e della rete. Queste capacità rendono Vectra AI perfettamente adatto a realizzare molti degli stessi casi d'uso (più un numero significativo di nuovi) precedentemente previsti per il SIEM, con maggiore efficacia e a costi inferiori.
Per ulteriori informazioni su come ottenere il massimo dal vostro SIEM, consultate i nostri metodi di ottimizzazione SIEM e SOAR e vi mostreremo come proteggiamo la vostra infrastruttura e ottimizziamo il rilevamento e la risposta.