Caza de amenazas o eficiencia: ¿elige su camino EDR?


«¿Quieres que se haga rápido, o quieres que se haga bien?» «Si.»

«Ayude más con nuestros objetivos comerciales». «Cubre un número creciente de puntos finales». «Recortar presupuestos». «Haga que todo funcione sin agregar personalized».

Los equipos de ciberseguridad enfrentan muchos objetivos en conflicto, tanto dentro de sus equipos como de la alta dirección. Pero un estudio comisionado en mayo de 2019 realizado por Forrester Consulting en nombre de McAfee realmente pone un punto fino al respecto: cuando se preguntó a los responsables de la toma de decisiones qué objetivos e iniciativas de seguridad de punto closing priorizan para el próximo año, las dos respuestas principales fueron «mejorar la seguridad capacidades de detección «(87%) y» aumentar la eficiencia en el SOC «(76%).

Desafortunadamente, las soluciones tradicionales de EDR han hecho que cumplir estos dos objetivos (¡y en algunos casos, incluso uno u otro!) Sea difícil, si no imposible. Según el estudio, las brechas en las capacidades de EDR han creado puntos débiles para el 83% de las empresas. Por ejemplo, mientras que el 40% de las empresas considera que la caza de amenazas es un requisito crítico, solo el 29% siente que sus soluciones EDR actuales satisfacen plenamente esa necesidad. En un nivel aún más básico, el 36% teme que su solución EDR no muestre todas las amenazas que se abren paso, mientras que un número igual de encuestados dice que las alertas que surgen con su EDR con frecuencia no son relevantes o vale la pena investigarlas.

Estas cifras muestran claramente que hay mucho margen de mejora, pero al mismo tiempo, estos dos objetivos parecen ser menos que complementarios. ¿Cómo elegirías tratar de conocerlos?

Escenario 1: El position quo

Su equipo continúa utilizando su solución EDR tradicional por sí solo.

Pierde puntos de eficiencia desde el principio: según Forrester, el 31% de las empresas dicen que los sistemas son tan complejos que su private junior carece de las habilidades para clasificar e investigar alertas sin particular outstanding.

La cantidad de alertas emitidas por las soluciones EDR tradicionales le costará eficiencia de otra manera: otro 31% de los encuestados dice que sus equipos luchan por mantenerse al día con el volumen de alertas generadas por sus EDR.

En el lado de la detección de amenazas, tampoco está comenzando con una puntuación perfecta: una vez más, tenga en cuenta que más de un tercio de los encuestados cree que, incluso con este gran volumen de alertas, no se detecta todo.

Como referencia, supongamos que está comenzando con un 7 en detección de amenazas y un 3.5 en eficiencia.
Todavía estás lejos de alcanzar tus objetivos. Veamos nuestras opciones.

Quieres:

  • Agregar más miembros del own
  • Atornilla más software
  • Contrata un MDR

Escenario 2: Agregar más miembros del personalized

Con la eficiencia pareciendo un objetivo tan lejano, su equipo decide centrar sus esfuerzos en la detección de amenazas. Para ayudar a administrar la cantidad de alertas, contrata a dos nuevos empleados. Todavía tiene tanto ruido proveniente de su EDR, y todavía no está captando todo, pero su equipo tiene una capacidad marginalmente mayor para clasificar y responder a las amenazas. Obtiene un punto para la detección de amenazas, pero un vistazo a la hoja de presupuesto de su departamento muestra que su puntaje de eficiencia se disparó básicamente.

Puntuación closing: 8 en detección de amenazas y 2 en eficiencia.

Escenario 3: Atornillar más software

Otros negocios están tomando un rumbo diferente. Están manteniendo su solución EDR tradicional, pero también están agregando más soluciones puntuales para ayudar a atrapar cosas que se quedan atrás. Si elige ir por esta ruta, sus capacidades de detección de amenazas aumentan … pero entre todas las alertas duplicadas, las interfaces separadas y la falta de integración casi completa, su equipo está estancado. Con el personalized junior capaz de clasificar solo el 31 por ciento de las alertas en los sistemas EDR tradicionales, los analistas senior tienen que administrar todas las alertas en todas las interfaces por su cuenta.

Todo este software no es barato, y está perdiendo tiempo tanto en el entrenamiento como en todo el proceso, y al cambiar de un lado a otro. Mientras tanto, las soluciones que supuestamente mejorarían sus capacidades de detección de amenazas lo están haciendo … un poco … pero con las cosas cayendo en el medio del caos y la fatiga del analista, no lo sabría.

Puntuación ultimate: 7.5 en detección de amenazas, 1.5 en eficiencia.

Escenario 4: asociación con un MDR

No desea contratar más own, e incluso si lo hizo, no hay muchos para contratar. Entonces, en cambio, contrata a un proveedor de Detección y Respuesta Administrada (MDR) para hacer lo que su EDR debería estar haciendo, pero no lo está. Se asocia con el MDR más respetable que puede encontrar, y está seguro de que entre lo que está haciendo y lo que están haciendo, no hay mucho que lo supere. Pero también paga dos veces para obtener un solo conjunto de capacidades.

Puntuación closing: 9 en detección de amenazas, 1 en eficiencia

Claramente, es hora de probar algo nuevo

  • ¡Quiero mejorar mi eficiencia con mi EDR true!
  • Quiero probar algo mejor

Escenario 5: Mejora de la eficiencia con EDR real

¿Cómo hacer que un EDR de primera generación sea más eficiente? Usted no En otras palabras, si desea obtener más de un EDR que no utiliza las últimas tecnologías, los únicos ajustes que puede hacer aquí deben provenir de su equipo. Si pudiera obtener más kilometraje de detección de amenazas con el mismo número de miembros del equipo, su nivel de eficiencia aumentaría naturalmente.

Puntaje inicial: 8 en detección de amenazas, 4 en eficiencia

Pero como pronto descubres, las últimas noches obligatorias y tu «será mejor que lo hagas». la actitud no está haciendo maravillas con la moral. Con profesionales de ciberseguridad en alta demanda en todas partes, no pasa mucho tiempo antes de que derribes al menos a un miembro del equipo. Ahora tienes 4 miembros del equipo haciendo el número de 5. Lo que suena decente …

Puntaje intermedio: 6 en detección de amenazas, 6 en eficiencia

… Hasta que un pirata informático emprendedor tome nota de tu falta de mano y te apunte, con la esperanza de aprovechar tu situación para su beneficio. Desafortunadamente, no solo tiene un sistema EDR tradicional altamente imperfecto y cuatro empleados que intentan hacer el trabajo de cinco … tiene cuatro descontento empleados que intentan hacer el trabajo de cinco. Según IDC, en las organizaciones que han experimentado una violación en los últimos 12 meses, el individual que está extremadamente satisfecho es, en promedio, más propenso a informar menos horas para identificar la violación (11 horas) que aquellos que no están satisfechos (23 horas ) ¿Adivina en qué campamento se encuentra tu equipo?

En poco tiempo, su empresa se pone de rodillas por un ataque importante. La prensa está por todas partes, y la confianza en su empresa se desploma. La reputación de su empresa podría recuperarse … eventualmente … pero las cosas no se ven tan bien para usted.

Puntuación last: Juego terminado.

Escenario 6: quiero probar algo mejor.

Has escuchado de tus amigos y colegas sobre lo que no funciona. Y, por supuesto, has leído las historias de terror. Pero todavía te quedan dos objetivos dispares. ¿Qué pasaría si hubiera una manera de aumentar las capacidades de detección de amenazas sin contratar más personal, externalizar lo que su EDR debería ser capaz de manejar pero no lo es, o crear un sistema con más rayos que el monstruo de Frankenstein?

Según Forrester, hay una manera de superar los objetivos de una mayor eficiencia y una mejor detección de amenazas. Con la investigación guiada por IA, sus analistas junior podrán clasificar amenazas como sus analistas más experimentados, liberando a sus analistas senior para centrarse en tareas de misión crítica. Y con menos ruido, su equipo tendrá la libertad de concentrarse en más Derecha alertas

Los encuestados respaldaron esto: el 35 por ciento cree que las investigaciones guiadas por IA conducirán a menos infracciones, y el 52 por ciento piensa que conducirán a una mayor eficiencia. Misión cumplida.

Puntuación ultimate: Tú = 1, Hackers = .

Para leer más sobre cómo la investigación guiada por IA puede ayudar a revolucionar su SOC, haga clic aquí.





Enlace a la noticia unique