Cinco sinais de que você precisa substituir seu SIEM

unnamed-14.png

As equipes de segurança com um investimento existente em gerenciamento de eventos e informações de segurança (SIEM) podem ter de pagar mais ao fornecedor para ingerir e indexar mais dados. Um relatório recente revelou que quase metade (44%) das organizações quer ampliar ou substituir sua solução de SIEM atual.

Talvez seja a hora de substituir seu SIEM.

Felizmente, a Elastic permite que todos os usuários experimentem um novo e poderoso SIEM com pouco ou nenhum custo inicial. A solução adota uma abordagem aberta, e a ingestão de dados é gratuita, possibilitando que as equipes experimentem como é coletar dados ilimitados em uma única solução. 

Então, você precisa substituir? Aqui estabelecemos cinco pontos problemáticos que podem confirmar sua necessidade de substituição do SIEM.

1. A ingestão e o armazenamento de dados têm custos proibitivos

Se seu fornecedor de SIEM atual está cobrando pelo armazenamento de dados, você provavelmente está deixando muitos dados contextuais vitais inexplorados por causa do orçamento. Infelizmente, sem acesso rápido a dados e contexto de atividades, a capacidade da equipe de proteger adequadamente sua organização é limitada. 

2. As investigações estão lentas

Se as consultas da sua equipe levam horas, é hora de considerar uma ferramenta mais moderna para ajudar a obter as respostas de que você precisa em tempo real. Você deve esperar uma solução de SIEM que forneça resultados em segundos ou menos. 

3. Plataforma inflexível

Muitos SIEMs legados não foram criados para se ajustar ao estilo de trabalho específico da sua equipe. A flexibilidade de criar integrações, dashboards e fluxos de trabalho customizados para obter uma variedade de resultados é uma grande vantagem.

4. Solução apenas local

Se sua solução de SIEM não consegue acompanhar o ritmo de um mundo multinuvem, você precisará de uma ferramenta complementar para ajudar a alcançar a escalabilidade e a automação que somente um SIEM moderno pode oferecer.

5. Comunidade de usuários limitada

Sem uma abordagem aberta para a segurança, seu fornecedor pode não estar integrando informações da comunidade de usuários de forma mais ampla. Isso inibe contribuições e feedback que garantiriam ao SIEM uma inovação contínua para encarar um cenário de ameaças cibernéticas em constante evolução. 

SIEMs legados simplesmente não funcionam

Muitos dos desafios que as equipes estão enfrentando com suas soluções atuais de SIEM decorrem da infraestrutura básica sobre a qual os SIEMs foram criados. Os requisitos do SIEM superaram amplamente a coleta, o armazenamento e a análise tradicionalmente estáticos de dados de segurança. As organizações precisam de insights dinâmicos e práticos sobre esses dados, correlações em todo o ambiente, inteligência de ameaças integrada e funcionalidades investigativas em tempo real para explorar as áreas de interesse. 

Com as equipes integrando serviços de nuvem continuamente, o vetor de ataque se expande ainda mais. Agora o monitoramento de usuários, apps, comportamento e muito mais faz parte da rotina diária dos profissionais.

“Conforme as cargas de trabalho vão migrando para a nuvem, monitorar as implantações na nuvem torna-se essencial para os negócios”, disse Mandy Andress, CISO da Elastic. “Alguns SIEMs mais antigos precisavam de muito cuidado e alimentação. Os ambientes de TI de hoje têm um fluxo muito forte e contínuo de dados. Embora os SIEMs tradicionais possam ingerir muitos dados, eles não incorporam analítica; a análise dos dados pode levar horas ou dias, o que afeta a capacidade de investigar rapidamente atividades suspeitas.”

Seguindo em frente com a substituição

Uma vez que você tenha decidido substituir seu SIEM, o próximo passo natural é encontrar uma plataforma altamente escalável e flexível para coletar, visualizar e analisar todos os logs de eventos relacionados à segurança. Essa nova solução também precisa ter a capacidade de encaminhar seletivamente os logs brutos e/ou convertidos de volta ao seu SIEM existente para atender aos requisitos de conformidade. 

A abordagem de substituição não elimina imediatamente a necessidade do seu SIEM original, pois ele ainda fornece as complexas regras de correlação, o gerenciamento do fluxo de trabalho de casos e da resposta a incidentes e as funcionalidades de relatório de conformidade que você estabeleceu ao longo de meses ou anos de ajuste fino.

Com a Elastic junto com seu SIEM existente, sua equipe pode modernizar as operações de segurança, aproveitando os dados na velocidade e na escala da nuvem para detectar, investigar e responder com eficiência às ameaças em evolução. Além disso, com a filosofia de preços baseados em recursos da Elastic, os usuários não precisam pagar pela ingestão de dados, diminuindo assim a barreira de entrada para as equipes que querem experimentar a solução antes de investir mais recursos.

Caso de uso do mundo real

A USAA ampliou seu SIEM usando a Elastic e começou imediatamente a perceber os resultados. A primeira vitória rápida da USAA ocorreu durante uma investigação interativa na qual a equipe estava analisando os consumidores de largura de banda do proxy da web. Eles perceberam rapidamente o consumo excessivo de largura de banda e, em alguns minutos, identificaram a origem do uso indevido da rede.

A segunda vitória rápida da USAA veio da investigação quase em tempo real proporcionada pela velocidade pela qual a Elastic é conhecida. A equipe detectou um app voltado para o cliente que estava sendo verificado pela rede e identificou a origem da atividade de verificação de porta em 2 a 3 minutos. O SIEM existente, em comparação, estava com a pesquisa inicial apenas 2% concluída no mesmo intervalo de tempo.

A partir dessa mudança da coleta passiva de dados para a investigação ativa, a USAA transformou sua equipe de “coletores” de segurança em “caçadores” usando a Elastic. Aprimore você também a maturidade da segurança da sua equipe em uma plataforma unificada e aberta para SIEM e análise de segurança.

Vamos começar?

A substituição do SIEM é um processo, e nossos especialistas em segurança estão aqui para acompanhar você e ajudar a alcançar os resultados que você espera. 

Se você já está com tudo pronto para dar o próximo passo para ter um SIEM moderno, comece aqui com o Guia do Comprador de SIEM (em inglês).