Vi siete mai chiesti quanto tempo ci vorrà prima che i casi d'uso e i playbook sviluppati per le operazioni di sicurezza siano pronti e inizino a dimostrare il loro valore alla vostra organizzazione? In passato ho lavorato a lungo con i sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM), un punto focale per le operazioni di sicurezza di molte organizzazioni.
Nella mia esperienza ho scoperto che una delle sfide principali che devono affrontare le operazioni di sicurezza riguarda il tempo necessario per ottenere un ritorno sull'investimento (ROI). Domande come: quanto tempo occorre affinché l'investimento dimostri il proprio ritorno sull'investimento (ROI)? Perché l'implementazione richiede così tanto tempo? Quali fonti di log stiamo monitorando e ci stanno fornendo la giusta visibilità? Si tratta di un caso d'uso orientato alle minacce (minacce interne, ricerca delle minacce...), orientato al controllo (abuso di accessi privilegiati...), orientato alle risorse (programmi crown jewel...) o orientato alla conformità (HIPAA, GDPR, PCI ecc...)? Queste domande emergono spesso durante le discussioni con i team addetti alla sicurezza.
Sebbene un SIEM occupi un posto fondamentale in un team addetto alle operazioni di sicurezza come punto focale o archivio, avete mai pensato a come accelerare l'investimento già effettuato nel SIEM per renderlo ancora migliore? O a come accelerare e semplificare il numero di casi d'uso in un SIEM, riducendo al contempo i costi di sviluppo e manutenzione?
Per implementare un nuovo caso d'uso, un'organizzazione deve seguire diversi passaggi. Confermare lo strumento di monitoraggio che si desidera utilizzare (ad esempio, da quale fonte di log ottenere i dati); determinare i requisiti della fonte di dati; comprendere il contesto del caso d'uso e i requisiti dei dati; identificare i processi e le procedure operative nuovi o interessati dall'implementazione del caso d'uso; sviluppare, testare ed eseguire i contenuti in produzione; testare e rivedere le prestazioni; e ottimizzare continuamente il caso d'uso nel corso della sua durata.
Con tutti gli strumenti e i casi d'uso, il SIEM spesso genera molto rumore per il team addetto alle operazioni di sicurezza. Ciò si traduce in una discussione sulla carenza di competenze, sulle tecnologie isolate che non funzionano bene insieme, sul sovraccarico di informazioni e su un costo totale di proprietà elevato con assunzioni, formazione e abilitazione costanti dei team di sicurezza.
E se esistesse un modo per accelerare il time-to-value, aumentare gli investimenti già effettuati e semplificare il concetto di casi d'uso?
In un recente progetto con un cliente, quest'ultimo desiderava che 89 casi d'uso fossero sviluppati da un partner esterno che gestisce il SIEM. Il costo medio per lo sviluppo di un caso d'uso comporta un prezzo di listino di 10.000 dollari per il cliente. Il costo di manutenzione di quel singolo caso d'uso è di 2.500 dollari all'anno, per un costo totale di manutenzione annuale pari a 222.500 dollari in questo esempio (si noti che si tratta del costo della manodopera necessaria per eseguire continue convalide ecc. e non di alcun costo tecnologico).
Sfruttando il rilevamento e la risposta di rete (NDR) di Vectra per concentrarsi sul rilevamento dei comportamenti degli aggressori, combinando la ricerca sulla sicurezza e la scienza dei dati, molti di questi casi d'uso SIEM rientrano nelle famiglie di rilevamento Vectra con il seguente risultato:
- Supporto diretto per 66 degli 89 casi d'uso immediatamente disponibili, pari a 590.000 dollari in costi di sviluppo dei casi d'uso.
- Gran parte dell'investimento tecnologico in Vectra è immediatamente compensato dal risparmio nello sviluppo dei casi d'uso (un lavoro senza fine).
- Vectra semplifica l'approccio basato sui casi d'uso, passando dalle tecnologie ai comportamenti degli aggressori, e riduce ulteriormente la complessità minimizzando 59 casi d'uso a 22 famiglie di rilevamento, con una conseguente riduzione di 37 casi d'uso da mantenere, pari a un risparmio di quasi 100.000 dollari all'anno nella manutenzione dei casi d'uso.
- Inoltre, Vectra contribuisce a ridurre le inefficienze, l'inefficacia e il rumore nel centro operativo di sicurezza (SOC), sfruttando la prioritizzazione degli avvisi e accelerando l'aderenza ai requisiti di conformità.
Esempio di come i casi d'uso vengono semplificati nelle famiglie di rilevamento Vectra:
In breve, combinare SIEM con Vectra diventa rapidamente una conversazione sul tempo necessario per ottenere valore, su come aumentare il valore delle tecnologie esistenti e migliorare la vita di un analista delle operazioni di sicurezza e, in ultima analisi, aiuta la vostra installazione SIEM ad avere più successo.
Maggiori informazioni sui valori tecnici dell'NDR in relazione endpoint and response (EDR) e al SIEM sono disponibili qui. Guarda una demo dell'NDR.