Vi siete mai chiesti quanto tempo ci vorrà prima che i casi d'uso e i playbook sviluppati per le operazioni di sicurezza siano pronti e inizino a dimostrare il loro valore per la vostra organizzazione? In passato ho lavorato molto con i sistemi SIEM (Security Information and Event Management), un punto focale per le operazioni di sicurezza di molte organizzazioni.
Nella mia esperienza ho riscontrato che una delle sfide principali per le operazioni di sicurezza riguarda il time to value. Domande come: "In quanto tempo l'investimento può dimostrare un ritorno sull'investimento (ROI)? Perché ci vuole così tanto tempo per l'implementazione? Quali fonti di log stiamo monitorando e ci forniscono la giusta visibilità? Si tratta di un caso d'uso orientato alle minacce (insider threat, threat hunting...), di casi d'uso orientati al controllo (abuso di accessi privilegiati...), di casi d'uso orientati alle risorse (programmi per i gioielli della corona...) o di casi d'uso orientati alla conformità (HIPAA, GDPR, PCI ecc. ....)?
Sebbene un SIEM abbia un posto fondamentale in un team operativo di sicurezza come punto focale o repository, avete mai pensato a come accelerare l'investimento SIEM che avete già fatto per renderlo ancora migliore? Oppure come accelerare e semplificare il numero di casi d'uso di un SIEM, riducendo al contempo i costi di sviluppo e manutenzione?
Per implementare un nuovo caso d'uso, un'organizzazione deve affrontare diverse fasi. Confermare lo strumento di monitoraggio che si desidera utilizzare (ad esempio, da quale fonte di log ottenere i dati); determinare i requisiti della fonte di dati; comprendere il contesto del caso d'uso e i requisiti dei dati; identificare i processi e le procedure operative nuovi o interessati dall'implementazione del caso d'uso; sviluppare, testare ed eseguire i contenuti in produzione; testare e rivedere le prestazioni; mettere a punto continuamente il caso d'uso nel corso del tempo.
Con tutti gli strumenti e i casi d'uso, il SIEM spesso genera molto rumore per il team operativo di sicurezza. Questo si traduce in una conversazione sulla carenza di competenze, su tecnologie siloed che non lavorano bene insieme, sul sovraccarico di informazioni e su un elevato costo totale di proprietà con la costante (ri)assunzione, formazione e abilitazione dei team di sicurezza.
E se ci fosse un modo per accelerare il time to value, aumentare gli investimenti già effettuati e semplificare la nozione di casi d'uso?
In un recente impegno con un cliente, quest'ultimo ha voluto far sviluppare 89 casi d'uso da un partner esterno che gestisce il SIEM. Il costo medio per lo sviluppo di un caso d'uso si traduce in un prezzo di listino di 10.000 dollari per il cliente. Il costo di manutenzione di un caso d'uso è di 2.500 dollari all'anno, per un costo di manutenzione annuale totale di 222.500 dollari in questo esempio (si noti che si tratta del costo della manodopera per le convalide continue e così via, non di costi tecnologici).
Sfruttando il rilevamento e la risposta di rete (NDR) di Vectra per concentrarsi sul rilevamento del comportamento degli aggressori, combinando la ricerca sulla sicurezza e la scienza dei dati, molti di questi casi d'uso SIEM rientrano nelle famiglie di rilevamento di Vectra con il seguente risultato:
- Supporto diretto per 66 degli 89 casi d'uso, pari a 590.000 dollari di costi di sviluppo dei casi d'uso.
- Gran parte dell'investimento tecnologico in Vectra è immediatamente compensato dal risparmio nello sviluppo dei casi d'uso (un lavoro senza fine).
- Vectra ha semplificato l'approccio ai casi d'uso basato sulle tecnologie e sui comportamenti degli aggressori e ha ridotto ulteriormente la complessità riducendo i 59 casi d'uso a 22 famiglie di rilevamento, con il risultato di 37 casi d'uso in meno da mantenere, con un risparmio di circa 100.000 dollari all'anno sulla manutenzione dei casi d'uso.
- Inoltre, Vectra aiuta a ridurre le inefficienze, l'inefficacia e il rumore nel centro operativo di sicurezza (SOC), sfruttando la prioritizzazione degli avvisi e accelerando l'adesione alle esigenze di conformità.
Esempio di semplificazione dei casi d'uso nelle famiglie di rilevamento Vectra:
In breve, la combinazione del SIEM con Vectra diventa rapidamente una conversazione sul time to value, su come aumentare il valore delle tecnologie esistenti e migliorare la vita di un analista delle operazioni di sicurezza e, in definitiva, aiuta l'installazione del SIEM ad avere più successo.
Per saperne di più sui valori tecnici dell'NDR in relazione al rilevamento e alla risposta endpoint (EDR) e al SIEM, si veda qui.