Mediana empresa Una organización de seguridad gasta $ 18 millones al año, pero es en gran medida ineficaz para prevenir violaciones, robo de IP y pérdida de datos. ¿Por qué? El enfoque fragmentado que usamos actualmente en el Centro de operaciones de seguridad (SOC) no funciona.

Aquí hay un recordatorio rápido de las operaciones de seguridad y cómo llegamos allí hoy: hace diez años, estábamos protegiendo nuestras aplicaciones y sitios web mediante el monitoreo de registros de eventos, registros digitales de cada actividad que ha ocurrido en nuestro entorno cibernético, desde inicios de sesión hasta correos electrónicos y configuración. . cambios. Se auditaron los registros, se emitieron banderas, se investigó la actividad sospechosa y se almacenaron los datos para garantizar el cumplimiento.

Los datos seguros almacenados en un lago de datos pueden estar en su formato nativo, estructurados o no estructurados y, por lo tanto, dimensionales, dinámicos y heterogéneos, lo que otorga a los lagos de datos su distinción y ventaja sobre los almacenes de datos.

A medida que los actores y adversarios malintencionados se han vuelto más activos y sus tácticas, técnicas y procedimientos (o TTP, en la jerga de seguridad) se han vuelto más sofisticados, el registro simple se ha convertido en un enfoque llamado “Gestión de eventos e información de seguridad” (SIEM), que implica el uso de software. para proporcionar un análisis en tiempo real de las alertas de seguridad generadas por las aplicaciones y el hardware de red. El software SIEM utiliza correlación y análisis basados ​​en reglas para convertir los datos de eventos sin procesar en información potencialmente valiosa.

LEER  Cómo un fundador identificó un gran déficit de atención médica y aprendió las habilidades para abordarlo - TechCrunch

Si bien no es una solución rápida (es difícil de implementar y operar correctamente), la capacidad de encontrar la llamada ‘aguja en el pajar’ e identificar los ataques en curso fue un gran paso adelante.

Hoy en día, los SIEM todavía existen y el mercado está dominado en gran medida por Splunk e IBM QRadar. Por supuesto, la tecnología ha avanzado considerablemente a medida que surgen constantemente nuevos casos de uso. Muchas empresas finalmente se han movido a implementaciones nativas de la nube y están aprovechando el aprendizaje automático y el análisis de comportamiento sofisticado. Sin embargo, las nuevas implementaciones de SIEM empresariales son menores, los costos son más altos y, lo que es más importante, las necesidades generales del CISO y del equipo de trabajo de SOC han cambiado.

Los nuevos requisitos de seguridad exigen demasiado de SIEM

Primero, los datos explotaron y SIEM tiene un enfoque demasiado estrecho. La simple recopilación de eventos de seguridad ya no es suficiente porque la apertura a este conjunto de datos es demasiado limitada. Si bien es probable que haya una gran cantidad de datos de eventos para capturar y procesar de sus eventos, se está perdiendo una gran cantidad de información adicional como OSINT (información de inteligencia de código abierto), amenazas alimentan consumibles externos e información valiosa como malware e IP. bases de datos de reputación, así como informes de actividad de la web oscura. Las fuentes de inteligencia son infinitas, demasiado numerosas para la arquitectura anticuada de un SIEM.

LEER  Stride VC de Londres recaudó un segundo fondo semilla de $ 138.6 millones y busca un tercer socio - TechCrunch

Además, los datos se han disparado junto con los costos. Explosión de datos + hardware + costos de licencia = costo total de propiedad en espiral. Con tanta infraestructura, tanto física como virtual, la cantidad de información capturada se ha disparado. Los datos generados por máquinas se han multiplicado por 50, mientras que el presupuesto de seguridad promedio crece un 14% año tras año.

El costo de almacenar toda esta información hace que SIEM sea prohibitivo. El costo promedio de un SIEM se ha disparado a casi $ 1 millón por año, que es solo para costos de licencia y hardware. La economía obliga a los equipos de SOC a capturar y / o mantener menos información en un intento por controlar los costos. Esto reduce aún más la eficiencia de SIEM. Recientemente hablé con un equipo de SOC que quería consultar grandes conjuntos de datos en busca de evidencia de fraude, pero hacerlo en Splunk era costoso y un proceso lento y arduo, lo que llevó al equipo a explorar alternativas.

LEER  B Capital, cofundador de Facebook, Saverin, duplica su oferta de SaaS en China

Las deficiencias del enfoque SIEM hoy en día son peligrosas y aterradoras. Una encuesta reciente del Ponemon Institute entrevistó a casi 600 funcionarios de seguridad de TI y descubrió que, a pesar de gastar un promedio de $ 18,4 millones por año y usar un promedio de 47 productos, el 53% de los profesionales de seguridad de TI responsables “no sabían si sus productos funcionaban igual ”. Claramente, es hora de un cambio.