Haben Sie sich schon einmal gefragt, wie lange es dauern wird, bis die für den Sicherheitsbetrieb entwickelten Anwendungsfälle und Playbooks fertig sind und sich für Ihr Unternehmen als wertvoll erweisen? In meiner Vergangenheit habe ich viel mit SIEM-Systemen (Security Information and Event Management) gearbeitet, die in vielen Unternehmen im Mittelpunkt der Sicherheitsaktivitäten stehen.
Meiner Erfahrung nach besteht eine der größten Herausforderungen bei Sicherheitsoperationen in der Zeit bis zur Wertschöpfung. Fragen wie: Wie schnell kann die Investition einen Return-on-Investment (ROI) nachweisen? Warum dauert die Implementierung so lange? Welche Protokollquellen überwachen wir und bieten sie uns den richtigen Einblick? Handelt es sich um einen bedrohungsorientierten Anwendungsfall (Insider-Bedrohung, Bedrohungsjagd...), kontrollorientierte Anwendungsfälle (Missbrauch von privilegierten Zugängen...), anlagenorientierte Anwendungsfälle (Kronjuwelenprogramme...) oder konformitätsorientierte Anwendungsfälle (HIPAA, GDPR, PCI etc....)? kommen häufig bei Diskussionen mit Sicherheitsteams zur Sprache.
Obwohl ein SIEM einen grundlegenden Platz in einem Sicherheitsteam als Brennpunkt oder Repository hat, haben Sie jemals darüber nachgedacht, wie Sie Ihre bereits getätigte SIEM-Investition beschleunigen und noch besser machen können? Oder wie man die Anzahl der Anwendungsfälle in einem SIEM beschleunigen und vereinfachen und dabei gleichzeitig die Entwicklungs- und Wartungskosten senken kann?
Um einen neuen Anwendungsfall zu implementieren, muss eine Organisation mehrere Schritte durchlaufen. Bestätigen Sie das zu verwendende Überwachungstool (z. B. aus welcher Protokollquelle die Daten stammen sollen); bestimmen Sie die Anforderungen an die Datenquelle; verstehen Sie den Kontext des Anwendungsfalls und die Datenanforderungen; identifizieren Sie neue oder von der Anwendungsfallimplementierung betroffene Prozesse und Betriebsabläufe; entwickeln, testen und führen Sie den Inhalt für die Produktion aus; testen und überprüfen Sie die Leistung; und passen Sie den Anwendungsfall während der Lebensdauer kontinuierlich an.
Mit all den Tools und Anwendungsfällen erzeugt das SIEM oft eine Menge Lärm für das Sicherheitsteam. Dies führt zu Gesprächen über den Mangel an Fachkenntnissen, isolierte Technologien, die nicht gut zusammenarbeiten, Informationsüberlastung und hohe Gesamtbetriebskosten durch ständige (Neu-)Einstellung, Schulung und Befähigung von Sicherheitsteams.
Was wäre, wenn es eine Möglichkeit gäbe, die Zeit bis zur Wertschöpfung zu verkürzen, die bereits getätigten Investitionen zu erhöhen und das Konzept der Anwendungsfälle zu vereinfachen?
Bei einem kürzlich durchgeführten Kundenauftrag wollte der Kunde 89 Anwendungsfälle von einem externen Partner entwickeln lassen, der das SIEM verwaltet. Die durchschnittlichen Kosten für die Entwicklung eines Anwendungsfalls belaufen sich für den Kunden auf 10.000 US-Dollar. Die Kosten für die Wartung dieses einen Anwendungsfalls belaufen sich auf 2.500 $/Jahr, was in diesem Beispiel zu jährlichen Wartungskosten von insgesamt 222.500 $ führt (dies sind die Personalkosten für die kontinuierlichen Validierungen usw., nicht die Technologiekosten).
Durch die Nutzung der Netzwerkerkennung und -reaktion (NDR) von Vectra , um sich auf die Erkennung von Angreiferverhalten zu konzentrieren, und die Kombination von Sicherheitsforschung und Datenwissenschaft, fallen viele dieser SIEM-Anwendungsfälle in Vectra Erkennungsfamilien mit folgendem Ergebnis:
- Direkte Unterstützung für 66 von 89 Anwendungsfällen, was 590.000 $ an Entwicklungskosten für Anwendungsfälle entspricht
- Ein großer Teil der Technologieinvestitionen in Vectra wird sofort durch die Einsparungen bei der Entwicklung von Anwendungsfällen ausgeglichen (eine nie endende Arbeit).
- Vectra Vereinfachung des Ansatzes von Anwendungsfällen auf der Grundlage von Technologien zu Verhaltensweisen von Angreifern und weitere Reduzierung der Komplexität durch Minimierung von 59 Anwendungsfällen auf 22 Erkennungsfamilien, was zu 37 weniger zu wartenden Anwendungsfällen führt - eine Einsparung von fast 100.000 US-Dollar pro Jahr bei der Wartung von Anwendungsfällen
- Darüber hinaus trägt Vectra dazu bei, ineffiziente, ineffektive und störende Sicherheitsprozesse im Security Operations Center (SOC) zu reduzieren, indem es die Priorisierung von Warnmeldungen fördert und die Einhaltung von Compliance-Anforderungen beschleunigt.
Beispiel für die Vereinfachung von Anwendungsfällen in Vectra Erkennungsfamilien:
Kurz gesagt, die Kombination von SIEM mit Vectra wird schnell zu einem Gespräch über die Zeit bis zur Wertschöpfung, darüber, wie man den Wert bestehender Technologien erhöhen und das Leben eines Sicherheitsanalysten verbessern kann, und hilft letztendlich Ihrer SIEM-Installation, erfolgreicher zu werden.
Mehr zu den technischen Werten von NDR im Verhältnis zu endpoint detection and response (EDR) und SIEM finden Sie hier.