En un blog anterior, escribimos sobre las ventajas de los metadatos con formato Zeek. Este blog se basa en ese hilo discutiendo por qué nuestros clientes vienen a nosotros como una solución empresarial para apoyar sus despliegues Zeek.
La mejor forma de explicarlo es a través de la experiencia de uno de nuestros clientes gubernamentales, que inicialmente optó por implantar y mantener su propia implantación de Zeek/Bro. En aquel momento, el razonamiento era razonable: Utilizar los recursos internos para un despliegue único a pequeña escala y mantenerlo gradualmente con el resto de la infraestructura, al tiempo que se proporcionaba un valor significativo a su equipo de seguridad.
Sin embargo, con el tiempo, se hizo cada vez más insostenible:
- Era difícil mantenerlo a punto. Cada parche o nueva versión exigía que el administrador recompilara un binario y lo volviera a desplegar.
- Se volvió difícil de escalar. Aunque en parte se trata de una decisión arquitectónica, los sensores rara vez pueden ampliarse por defecto, especialmente los que trasladan gran parte del análisis y el procesamiento al sensor. No vemos muchas implantaciones que puedan funcionar siquiera a 3 Gbps por sensor. Con el tiempo, los sensores empezaron a perder paquetes. El cliente tuvo que crear clústeres de repente para soportar el procesamiento necesario.
- Resultaba penosamente difícil gestionar legiones de sensores distribuidos por múltiples ubicaciones geográficas, especialmente cuando las configuraciones de los sensores eran heterogéneas. Cuando los administradores familiarizados con el sistema se marchaban, una parte crítica de su infraestructura de seguridad quedaba sin gestionar.
Esta disyuntiva hace que muchos de nuestros clientes nos pregunten cómo pueden emplear mejor su tiempo sus equipos de seguridad. ¿Administrando herramientas manualmente (es decir, manteniéndose a flote a duras penas) de forma autogestionada o siendo expertos en seguridad y cazadores de amenazas? Considere la siguiente comparación entre un escenario autogestionado y un despliegue de Vectra .
Además de los retos de implantación compartidos por este cliente, los requisitos operativos cotidianos, como la supervisión del sistema, el registro del sistema e incluso la autenticación del front-end, suponen una pesada carga. La mayoría opta por encontrar un socio que pueda simplificar la complejidad de una implantación de este tipo: Acelerar el tiempo de implantación, permitir actualizaciones automáticas que eliminen la necesidad de aplicar parches y realizar tareas de mantenimiento con regularidad, y llevar a cabo una supervisión continua del sistema.
Se trata de capacidades predeterminadas que le permiten centrarse en la misión original de su equipo de seguridad. Piense en su arquitectura y despliegue de captura y análisis de datos. Le invitamos a que se ponga en contacto con un representante de Vectra para que le asesore sobre su implantación o con los autores de este estudio de Gartner para obtener más información sobre estas cuestiones.