¿Te has preguntado alguna vez cuánto tiempo pasará hasta que los casos de uso y los libros de jugadas desarrollados para las operaciones de seguridad estén listos y empiecen a demostrar su valor para tu organización? En el pasado, trabajé mucho con sistemas de gestión de eventos e información de seguridad (SIEM ), un punto central para las operaciones de seguridad de muchas organizaciones.
Según mi experiencia, uno de los principales retos a los que se enfrentan las operaciones de seguridad es el tiempo de obtención de valor. Preguntas como: ¿En cuánto tiempo se puede demostrar el retorno de la inversión (ROI)? ¿Por qué se tarda tanto en implantar? ¿Qué fuentes de registro estamos supervisando y nos ofrecen la visibilidad adecuada? ¿Se trata de un caso de uso orientado a las amenazas (amenazas internas, caza de amenazas...), casos de uso orientados al control (abuso de acceso privilegiado...), casos de uso orientados a los activos (programas de joyas de la corona...) o casos de uso orientados al cumplimiento (HIPAA, GDPR, PCI, etc. ....)? surgen con frecuencia durante las conversaciones con los equipos de operaciones de seguridad.
Aunque un SIEM ocupa un lugar fundamental en un equipo de operaciones de seguridad como punto focal o repositorio, ¿se ha planteado alguna vez cómo acelerar la inversión en SIEM que ya ha realizado para mejorarla aún más? ¿O cómo acelerar y simplificar el número de casos de uso de un SIEM, reduciendo al mismo tiempo los costes de desarrollo y mantenimiento?
Para implantar un nuevo caso de uso, una organización debe pasar por varios pasos diferentes. Confirmar la herramienta de supervisión que se desea utilizar (por ejemplo, de qué fuente de registro obtener los datos); determinar los requisitos de la fuente de datos; comprender el contexto del caso de uso y los requisitos de datos; identificar los procesos y procedimientos operativos nuevos o afectados por la implantación del caso de uso; desarrollar, probar y ejecutar el contenido en producción; probar y revisar el rendimiento; y ajustar continuamente el caso de uso a lo largo de su vida útil.
Con todas las herramientas y casos de uso, el SIEM suele generar mucho ruido para el equipo de operaciones de seguridad. Esto se traduce en una conversación sobre la escasez de habilidades, tecnologías aisladas que no funcionan bien juntas, sobrecarga de información y un alto coste total de propiedad con la constante (re)contratación, formación y capacitación de los equipos de seguridad.
¿Y si hubiera una forma de acelerar la obtención de valor, aumentar las inversiones ya realizadas y simplificar la noción de casos de uso?
En un encargo reciente, el cliente quería que un socio externo que gestionara el SIEM desarrollara 89 casos de uso. El coste medio de desarrollar un caso de uso supone un precio de 10.000 dólares para el cliente. El coste de mantenimiento de un caso de uso es de 2.500 dólares al año, lo que suma un coste de mantenimiento anual total de 222.500 dólares en este ejemplo (nótese que se trata del coste de mano de obra para realizar validaciones continuas, etc., no de ningún coste tecnológico).
Al aprovechar la detección y respuesta a la red (NDR ) de Vectra para centrarse en la detección del comportamiento de los atacantes, combinando la investigación en seguridad y la ciencia de datos, muchos de estos casos de uso de SIEM entran en las familias de detección de Vectra con el siguiente resultado:
- Soporte directo para 66 de los 89 casos de uso, lo que equivale a 590.000 dólares de coste de desarrollo de casos de uso.
- Gran parte de la inversión tecnológica en Vectra se compensa inmediatamente con el ahorro en el desarrollo de casos de uso (un trabajo interminable).
- Vectra simplifica desde un enfoque de casos de uso basado en tecnologías hasta comportamientos de atacantes y reduce aún más la complejidad al minimizar 59 casos de uso a 22 familias de detección, lo que se traduce en 37 casos de uso menos que mantener: cerca de 100.000 dólares de ahorro al año en mantenimiento de casos de uso.
- Además, Vectra ayuda a reducir las ineficiencias, la ineficacia y el ruido en el centro de operaciones de seguridad (SOC), aprovechando la priorización de alertas y acelerando el cumplimiento de las necesidades de conformidad.
Ejemplo de cómo se simplifican los casos de uso en familias de detección Vectra :
En resumen, combinar SIEM con Vectra se convierte rápidamente en una conversación en torno al tiempo de obtención de valor, cómo aumentar el valor de las tecnologías existentes y mejorar la vida de un analista de operaciones de seguridad y, en última instancia, ayuda a que su instalación SIEM tenga más éxito.
Aquí encontrará más información sobre los valores técnicos de NDR en relación con la detección y respuesta de puntos finales (EDR) y SIEM.