Faites-vous confiance à votre SIEM pour assurer une détection rentable des menaces, une clarté des signaux et des règles et réponses personnalisées, alors même que les surfaces de menace se multiplient sur le site cloud et que des dizaines d'attaques cryptées et hybrides cloud ciblent votre système chaque jour ?
Ne le faites pas. Ça ne marche pas. Mais vous le saviez déjà.
Comme tous les outils, le SIEM est d'autant plus utile qu'il est utilisé correctement et dans le bon contexte. Dans l'environnement complexe et hybride des menaces d'aujourd'hui, il est important de savoir où votre SIEM excelle et où il n'excelle pas. En bref, demander à votre SIEM de fonctionner au-delà de ses capacités n'est pas judicieux et vous empêche de réaliser les avantages, les résultats et le retour sur investissement que vous attendez de votre investissement SIEM.
La montée de l'"angoisse SIEM" (SIEM Angst)
Il y a eu une dépendance excessive à l'égard du SIEM parce que les équipes SOC savent qu'il manque de couverture et de visibilité, mais ne réalisent pas qu'il existe des outils mieux adaptés pour résoudre leurs problèmes en matière de détection et de réponse aux menaces. Il y a fort à parier que vous êtes plus que familier avec le stress qui découle d'une telle ambiguïté en matière de sécurité. Nous appelons cette dépendance excessive à l'égard du SIEM dans l'environnement des menaces hybrides pilotées par l'IA, " l'angoisse du SIEM". Voici 10 façons dont les équipes SOC en demandent trop à leur SIEM et, par conséquent, font l'expérience de l'angoisse SIEM au quotidien.
1. S'appuyer exclusivement sur le SIEM pour détecter, enquêter et répondre aux attaques.
Le SIEM est basé sur des règles, mais les attaques avancées contournent souvent les règles. Ce seul facteur crée une cascade de tâches coûteuses, laborieuses et, en fin de compte, destructrices de talents et de moral pour identifier les nouvelles attaques et rédiger de nouvelles règles spécifiques pour y faire face.
2. S'attendre à ce que l'investissement dans le SIEM génère un retour sur investissement positif.
Avec la montée en flèche des coûts de développement des cas d'utilisation du SIEM, le rapport temps/valeur de votre SIEM se détériore. Par exemple, Splunk coûte en moyenne 6 000 dollars par cas d'utilisation, et le coût moyen d'un cas d'utilisation de QRadar est d'environ 12 500 dollars. Les coûts annuels moyens de maintenance des cas d'utilisation sont d'environ 2 500 dollars par an, et les coûts totaux s'élèvent à plusieurs centaines de milliers d'euros. En d'autres termes, les chances de voir votre investissement SIEM générer un retour sur investissement positif sont minces et nulles... et Slim vient de quitter la ville.
3. Le volume des cas d'utilisation du SIEM est incontrôlable.
L'augmentation du nombre de cyberattaques avancées fait grimper les coûts de développement et de maintenance des dossiers.
4. La charge de travail de niveau 1 du SOC explose (ou a déjà explosé).
En lien avec le point 3, votre dépendance excessive à l'égard de votre SIEM signifie également que vous dépendez beaucoup trop de la détection des menaces basée sur l'analyse (c'est-à-dire basée sur l'homme) pour les catégorisations vrai-positif, bénin-positif et faux-positif. C'est coûteux et c'est une mauvaise utilisation du talent de votre équipe.
5. S'appuyer sur le SIEM pour rationaliser les efforts de l'équipe en vue d'affiner les règles de détection et de trier les alertes.
En lien avec le point 4, plus votre surface d'attaque s'étend, plus le volume de données à indexer, à enrichir et à analyser augmente. Cela signifie plus d'heures de travail manuel pour créer et mettre en œuvre des cas d'utilisation et des règles, ce qui complique le processus.
6. Penser que le SIEM vous aidera à résoudre votre problème de pénurie de personnel qualifié.
Le fait que votre équipe soit engagée dans des processus laborieux tels que le codage manuel de cas d'utilisation ou l'analyse de milliers d'alertes par jour diminue l'efficacité de votre SIEM et démoralise votre équipe SOC. En conséquence, vous devez constamment (re)recruter et former des équipes de sécurité.
7. Attendre un signal clair de la part de votre SIEM.
Dans la plupart des cas, votre SIEM génère beaucoup de bruit. Pourquoi ? Parce qu'il n'est tout simplement pas conçu pour fournir des signaux précis et intégrés à travers vos surfaces d'attaque hybrides ; il est conçu pour collecter des données. Un SIEM peut générer des centaines d'alertes par jour et ne peut reconnaître des signaux ou des modèles de comportement qu'à travers des règles de cas d'utilisation préexistantes. Il ne peut pas détecter de nouvelles attaques inconnues ou des exploits de type "zero-day". Entre le discernement des fausses alertes et l'écriture de nouvelles règles, l'utilisation d'un SIEM est synonyme d'une bataille manuelle permanente pour votre équipe.
8. Compter sur votre SIEM pour repérer rapidement les signes d'un comportement d'attaquant dans votre environnement.
Alors que les empreintes cloud augmentent de façon exponentielle, les attaquants n'ont besoin que d'une seule ouverture pour infiltrer les environnements et créer un moyen de persistance. Les attaquants hybrides sont rapides et agiles, de sorte que pour que le SIEM suive le rythme, vos ingénieurs devraient créer manuellement des règles et des corrélations qui prédisent chaque mouvement d'un attaquant - et disposer d'une règle pour cela. Cela semble impossible ? C'est parce que c'est le cas.
9. Espérer que votre SIEM puisse fournir des détections personnalisées faciles et rapides pour la couverture de la post-exploitation.
Le SIEM fait un excellent travail d'agrégation des journaux, mais tenter de configurer des détections personnalisées dans le SIEM pour une couverture post-exploitation ne donne pas de bons résultats et, oui, ajoute des coûts.
10. S'appuyer sur des technologies cloisonnées dans votre SIEM pour communiquer et améliorer votre couverture.
Les équipes SOC mènent une lutte acharnée contre un volume croissant de menaces et gèrent des signaux et des alertes provenant de nombreux outils cloisonnés qui ne communiquent pas entre eux. C'est une formule qui mène au désastre. La spirale croissante de l'augmentation du travail, de la complexité, du risque et du gaspillage d'efforts pour votre équipe SOC signifie moins de sécurité pour votre organisation.
Passer de SIEM à Signal avec Vectra AI
Il existe une manière plus intelligente de tirer le meilleur parti de votre SIEM et de votre équipe SOC en termes d'efficacité, de coûts et d'optimisation des talents. La plateforme Vectra AI augmente considérablement les performances de votre SIEM grâce à une détection basée sur l'analyse au lieu de l'approche manuelle basée sur l'analyse, qui coûte du temps et de l'argent et fait perdre des opportunités à votre équipe. Vectra AI augmente la couverture, priorise les menaces et fournit une investigation ciblée en utilisant des modèles comportementaux basés sur l'IA et l'apprentissage automatique qui étendent la couverture de la détection.
Vectra AI combine également la télémétrie des journaux provenant de cloud, les renseignements sur les menaces et d'autres sources avec des métadonnées de haute fidélité disponibles à partir des paquets collectés pour localiser les actifs affectés. Contrairement aux solutions basées sur le SIEM, il se déplace dans les environnements avec l'attaque, fournissant aux analystes des informations de sécurité exploitables basées sur cloud en temps réel et sur les comportements du réseau. Grâce à ces capacités, Vectra AI est parfaitement adapté à la réalisation d'un grand nombre de cas d'utilisation (et d'un grand nombre de nouveaux cas) précédemment envisagés pour le SIEM, avec une plus grande efficacité et à des coûts moindres.
Pour plus d'informations sur la façon de tirer le meilleur parti de votre SIEM, consultez nos méthodes d'optimisation SIEM et SOAR et nous vous montrerons comment nous protégeons votre infrastructure et rationalisons la détection et la réponse.