In un blog precedente, abbiamo scritto dei vantaggi che derivano dai metadati in formato Zeek. Questo blog riprende questo filo conduttore e spiega perché i nostri clienti si rivolgono a noi come soluzione aziendale per supportare le loro implementazioni Zeek.
Il motivo è meglio spiegato dall'esperienza di uno dei nostri clienti governativi, che inizialmente ha scelto di implementare e mantenere la propria distribuzione di Zeek/Bro. All'epoca, la logica era ragionevole: Utilizzare le risorse interne per un'implementazione unica e su piccola scala e mantenerla in modo incrementale con il resto dell'infrastruttura, fornendo al contempo un valore significativo al team di sicurezza.
Tuttavia, con il tempo, è diventata sempre più insostenibile:
- Era difficile mantenerlo sintonizzato. Ogni patch o nuova versione rilasciata richiedeva all'amministratore la ricompilazione di un binario e la nuova distribuzione.
- È diventato difficile da scalare. Anche se in parte si tratta di una decisione architettonica, raramente i sensori sono scalabili per impostazione predefinita, soprattutto quelli che spingono gran parte dell'analisi e dell'elaborazione al sensore. Non sono molte le implementazioni in grado di operare a 3 Gbps per sensore. Con il tempo, i sensori hanno iniziato a perdere pacchetti. Il cliente ha dovuto improvvisamente progettare dei cluster per supportare l'elaborazione richiesta.
- Era dolorosamente difficile gestire legioni di sensori distribuiti su più sedi geografiche, soprattutto quando le configurazioni dei sensori erano eterogenee. Quando gli amministratori che avevano familiarità con il sistema se ne sono andati, una parte critica dell'infrastruttura di sicurezza è rimasta non gestita.
Questo compromesso non vantaggioso spinge molti dei nostri clienti a chiederci come i loro team di sicurezza possano impiegare meglio il loro tempo. Amministrare manualmente gli strumenti (ovvero tenersi a malapena a galla) in modalità di autogestione o essere esperti di sicurezza e cacciatori di minacce? Considerate il seguente confronto tra uno scenario di autogestione e una distribuzione di Vectra.
Oltre alle sfide di implementazione condivise da questo cliente, i requisiti operativi quotidiani come il monitoraggio del sistema, la registrazione del sistema e persino l'autenticazione front-end rappresentano un onere pesante. La maggior parte dei clienti sceglie di trovare un partner in grado di semplificare la complessità di un'implementazione di questo tipo: Accelerare i tempi di implementazione, attivare aggiornamenti automatici che eliminino la necessità di applicare regolarmente patch e manutenzione ed eseguire un monitoraggio continuo del sistema.
Si tratta di funzionalità predefinite che consentono di concentrarsi sull'obiettivo originario del team di sicurezza. Pensate all'architettura e all'implementazione dell'acquisizione e dell'analisi dei dati. Vi invitiamo a contattare un rappresentante di Vectra per una discussione consultiva sulla vostra implementazione o gli autori di questa ricerca Gartner per approfondire questi temi.