Sudah waktunya bagi tim keamanan untuk merangkul danau data keamanan – TechCrunch

0
43


Perusahaan rata-rata organisasi keamanan menghabiskan $18 juta per tahun tetapi sebagian besar tidak efektif dalam mencegah pelanggaran, pencurian IP, dan kehilangan data. Mengapa? Pendekatan terfragmentasi yang saat ini kami gunakan di pusat operasi keamanan (SOC) tidak berfungsi.

Berikut adalah penyegaran singkat tentang operasi keamanan dan bagaimana kami mencapai posisi kami saat ini: Satu dekade lalu, kami melindungi aplikasi dan situs web kami dengan memantau log peristiwa — catatan digital dari setiap aktivitas yang terjadi di lingkungan dunia maya kami, mulai dari login hingga email hingga konfigurasi perubahan. Log diaudit, bendera dinaikkan, aktivitas mencurigakan diselidiki, dan data disimpan untuk tujuan kepatuhan.

Data berbasis keamanan yang disimpan dalam data lake bisa dalam format aslinya, terstruktur atau tidak terstruktur, dan oleh karena itu dimensi, dinamis dan heterogen, yang memberikan data lake perbedaan dan keunggulannya dibandingkan gudang data.

Ketika aktor dan musuh jahat menjadi lebih aktif, dan taktik, teknik, dan prosedur mereka (atau TTP, dalam bahasa keamanan) tumbuh lebih canggih, pencatatan sederhana berkembang menjadi pendekatan yang disebut “informasi keamanan dan manajemen acara” (SIEM), yang melibatkan penggunaan perangkat lunak untuk menyediakan analisis real-time dari peringatan keamanan yang dihasilkan oleh aplikasi dan perangkat keras jaringan. Perangkat lunak SIEM menggunakan korelasi dan analitik yang digerakkan oleh aturan untuk mengubah data peristiwa mentah menjadi kecerdasan yang berpotensi berharga.

Meskipun itu bukan peluru ajaib (merupakan tantangan untuk menerapkan dan membuat semuanya bekerja dengan baik), kemampuan untuk menemukan apa yang disebut “jarum di tumpukan jerami” dan mengidentifikasi serangan yang sedang berlangsung merupakan langkah maju yang besar.

Saat ini, SIEM masih ada, dan pasar sebagian besar dipimpin oleh Splunk dan IBM QRadar. Tentu saja, teknologi telah maju secara signifikan karena kasus penggunaan baru muncul terus-menerus. Banyak perusahaan akhirnya beralih ke penerapan cloud-native dan memanfaatkan pembelajaran mesin dan analitik perilaku yang canggih. Namun, penerapan SIEM perusahaan baru lebih sedikit, biaya lebih besar, dan — yang paling penting — kebutuhan keseluruhan CISO dan tim pekerja keras di SOC telah berubah.

Tuntutan keamanan baru meminta terlalu banyak dari SIEM

Pertama, data telah meledak dan SIEM terlalu fokus secara sempit. Kumpulan peristiwa keamanan saja tidak lagi cukup karena aperture pada dataset ini terlalu sempit. Meskipun kemungkinan ada sejumlah besar data peristiwa untuk ditangkap dan diproses dari peristiwa Anda, Anda kehilangan sejumlah besar informasi tambahan seperti OSINT (informasi intelijen sumber terbuka), umpan ancaman eksternal yang dapat dikonsumsi, dan informasi berharga seperti malware dan database reputasi IP, serta laporan dari aktivitas web gelap. Ada sumber kecerdasan yang tak ada habisnya, terlalu banyak untuk arsitektur kuno SIEM.

Selain itu, data meledak bersamaan dengan biaya. Ledakan data + perangkat keras + biaya lisensi = total biaya kepemilikan yang meningkat. Dengan begitu banyak infrastruktur, baik fisik maupun virtual, jumlah informasi yang ditangkap telah meledak. Data yang dihasilkan mesin telah tumbuh 50x, sementara anggaran keamanan rata-rata tumbuh 14% dari tahun ke tahun.

Biaya untuk menyimpan semua informasi ini membuat biaya SIEM menjadi mahal. Biaya rata-rata SIEM telah meroket hingga mendekati $1 juta per tahun, yang hanya untuk biaya lisensi dan perangkat keras. Ekonomi memaksa tim di SOC untuk menangkap dan/atau menyimpan lebih sedikit informasi dalam upaya untuk menjaga biaya tetap terkendali. Hal ini menyebabkan efektivitas SIEM semakin berkurang. Saya baru-baru ini berbicara dengan tim SOC yang ingin menanyakan kumpulan data besar yang mencari bukti penipuan, tetapi melakukannya di Splunk memakan biaya yang mahal dan proses yang lambat dan sulit, memimpin tim untuk mengeksplorasi alternatif.

Kekurangan pendekatan SIEM saat ini berbahaya dan menakutkan. Sebuah survei baru-baru ini oleh Ponemon Institute mensurvei hampir 600 pemimpin keamanan TI dan menemukan bahwa, meskipun menghabiskan rata-rata $ 18,4 juta per tahun dan menggunakan rata-rata 47 produk, 53% pemimpin keamanan TI “tidak tahu apakah produk mereka berfungsi.” Ini jelas waktu untuk perubahan.



Sumber

LEAVE A REPLY

Please enter your comment!
Please enter your name here