Van DIY tot ROI: redenen om voor een beheerde beveiligingsdienst te kiezen in plaats van SIEM
Bij F-Secure geloven we heilig in een holistische benadering van cybersecurity. Dit noemen we Live Security: een combinatie van technologie en menselijke expertise. Je kunt je securitybeleid nu eenmaal niet uitvoeren zonder het beste talent. En zonder slimme software kun je die know-how weer niet uitvoeren.
Van alle uitdagingen waar organisaties mee kampen tijdens het opbouwen van hun breach detection en response capaciteiten, is de uitdaging om cybersecurity experts in te huren en te behouden de grootste. De schatting is dat er voor iedere functie in cybersecurity momenteel minstens twee vacatures openstaan. Er is dus een groot tekort en dat wordt naar verwachting nog groter in de toekomst.
Experts in dienst hebben is eigenlijk de enige manier om geldige, bruikbare data te krijgen uit een inhouse oplossing als SIEM. We leggen het uit aan de hand van een recent voorbeeld van een klant die onze Rapid Detection Service gebruikt. In een 1300- node klantinstallatie hebben onze sensoren ongeveer twee miljard events gedetecteerd in een periode van een maand. Een analyse van de ruwe data in onze backend systemen heeft dat aantal teruggebracht tot 900.000 verdachte events. Onze detectiemechanismen en data-analyses hebben dat aantal vervolgens weer teruggebracht naar 25. Uiteindelijk zijn die 25 events verder geanalyseerd en door onze security-analisten aangeduid als afwijkingen. Ze hebben contact opgenomen met onze klant en die bevestigde dat 15 van die 25 daadwerkelijke bedreigingen waren.
Ter vergelijking: als onze klant voor een inhouse SIEM-oplossing had gekozen, dan had zijn eigen personeel of een externe partij die 900.000 verdachte events moeten doorploegen om alle ruis en false positives eruit te filteren. Het is de vraag of dit rendabel is. Dit soort taken kan zelfs de meest ijverige analist tot waanzin drijven. Vergeet ook niet dat dergelijke teams 24/7 beschikbaar moeten zijn.
De volgende presentatie gaat in op het feit dat het best het overwegen waard is om te kiezen voor een managed securityservice in plaats van een inhouse SIEM-implementatie voor breach detection en response.
[slideshare id=76055011&doc=costs-of-mdr-vs-siem-170517120940]
Het bouwen van inhouse breach detection en response mogelijkheden is moeilijk. Als je goed kiest, wordt je managed securityservice uiteindelijk jouw cybersecurity partner: zijn mogelijkheden sluiten perfect aan op die van jouw organisatie. Daarom adviseren we een managed service boven een DIY-oplossing. Belangrijker nog: beide benaderingen sluiten elkaar niet uit. Voor veel organisaties met een SIEM-oplossing, biedt een managed detection en response service zoals die van ons een extra beveiligingslaag die eenvoudig met de bestaande infrastructuur integreert en deze vergroot. Op deze manier kunnen SIEM-systemen worden gebruikt voor log management en als managed service voor breach detection en response.
Kernboodschap is dat als je detection en response mogelijkheden wilt bouwen met SIEM of bovenop je bestaande SIEM-systeem, dat het dan het overwegen waard is om een managed service als alternatief te nemen.
Categorieën