Los equipos de seguridad con una inversión existente en gestión de eventos e información de seguridad (SIEM) pueden encontrarse teniendo que pagarle más a su proveedor para ingestar e indexar más datos. En un informe reciente se reveló que casi la mitad (44 %) de las organizaciones desean incrementar o reemplazar su solución de SIEM actual.
¿Es hora de reemplazar tu SIEM?
Afortunadamente, Elastic permite a todos los usuarios probar una nueva SIEM poderosa con bajo o nulo costo por adelantado. La solución toma un enfoque abierto, y los datos se ingestan de forma gratuita; esto empodera a los equipos para experimentar qué se siente reunir datos ilimitados en una única solución.
¿Necesitas un reemplazo? Aquí establecemos cinco puntos problemáticos que pueden confirmar tu necesidad de reemplazar la SIEM.
1. Ingestar y almacenar datos tiene un costo prohibitivo
Si tu proveedor de SIEM actual te cobra por el almacenamiento de datos, probablemente dejes mucho datos contextuales vitales sin explotar para cuidar el presupuesto. Desafortunadamente, sin acceso rápido a los datos de actividad y el contexto, la habilidad de tu equipo para proteger de forma adecuada la organización es limitada.
2. Investigaciones lentas
Si las búsquedas de tu equipo demoran horas, es momento de considerar una herramienta más moderna para poder obtener las herramientas que necesitas en tiempo real. Deberías esperar una solución de SIEM que proporcione resultados en segundos o menos.
3. Plataforma inflexible
Muchas SIEM heredadas no fueron desarrolladas para adaptarse al estilo de trabajo específico de tu equipo. La flexibilidad de crear integraciones, dashboards y flujos de trabajo personalizados para diversos resultados es una gran ventaja.
4. Solo en las instalaciones
Si tu solución de SIEM no puede mantener el ritmo de un mundo multicloud, necesitarás una herramienta adicional para ayudarte a lograr la escalabilidad y automatización que solo una SIEM moderna puede proporcionar.
5. Comunidad de usuarios limitada
Sin un enfoque abierto a la seguridad, es posible que el proveedor no pueda integrar la entrada de la comunidad de usuarios más amplia. Esto inhibe los aportes y comentarios que, de otro modo, garantizaría que la SIEM se innove de manera continua para estar a la altura de un panorama de amenazas cibernéticas en constante evolución.
Las SIEM heredadas simplemente no sirven
Muchos de los desafíos a los que se enfrentan los equipos con sus ofertas de SIEM actuales surgen de la infraestructura básica sobre la cual se desarrollaron dichas SIEM. Los requisitos de SIEM superan por mucho la recopilación estática tradicional, el almacenamiento y el análisis de datos de seguridad. Las organizaciones necesitan información dinámica y procesable de los datos, correlaciones de todo el entorno, inteligencia de amenazas integrada y capacidades de investigación en tiempo real para explorar las áreas problemáticas.
Debido a que los equipos integran servicios cloud de forma continua, el vector de ataque se amplía aún más. Ahora, monitorear los usuarios, las aplicaciones, el comportamiento y mucho más es todo parte de la rutina diaria de los especialistas.
"A medida que las cargas de trabajo migran al cloud, monitorear los despliegues en el cloud se vuelve esencial para el negocio", afirma Mandy Andress, CISO de Elastic. "Algunas SIEM más antiguas necesitaban mucha atención y alimentación. Los entornos de IT actuales brindan un gran caudal de datos. Si bien las SIEM tradicionales pueden ingestar muchos datos, no incorporan las analíticas; podría llevar horas o días analizar esos datos, y esto afecta la capacidad de investigar actividades sospechosas con rapidez".
Avanzar con el reemplazo
Una vez que hayas decidido reemplazar tu SIEM, el paso siguiente lógico es encontrar una plataforma que brinde gran flexibilidad y escalabilidad con la cual puedas recopilar, visualizar y analizar todos los logs de eventos relacionados con la seguridad. Esta solución nueva también debe tener la capacidad de reenviar de manera selectiva los logs sin procesar o convertidos a tu SIEM existente para satisfacer los requisitos de cumplimiento.
El enfoque de reemplazo no elimina de inmediato la necesidad de la SIEM original, dado que brinda las reglas de correlación complejas, la gestión de respuesta a incidentes y flujo de trabajo de casos, y las capacidades de reporte de cumplimiento que estableciste con el correr de los meses o años de ajustes.
Con Elastic junto a tu SIEM existente, tu equipo puede modernizar las operaciones de seguridad; aprovechando los datos a escala y velocidad del cloud para detectar, investigar y responder con efectividad a las amenazas que evolucionan. Además, gracias a la filosofía de precios basados en recursos de Elastic, los usuarios no necesitan pagar por ingestar datos y, por lo tanto, se baja la barra de ingreso para los equipos que buscan experimentar la solución antes de invertir más recursos.
Caso de uso real
USAA incrementó su SIEM con Elastic y comenzó a notar resultados de inmediato. La primera victoria rápida de USAA fue durante una investigación interactiva en la que el equipo estaba analizando a los consumidores de ancho de banda proxy web. Observaron de inmediato un consumo excesivo del ancho de banda y, en minutos, identificaron el origen del mal uso de la red.
La segunda victoria rápida de USAA fue la investigación casi en tiempo real que permite la velocidad por la cual se reconoce a Elastic. El equipo detectó una app orientada al cliente que se escaneaba en la red e identificó el origen de la actividad de escaneo de puertos en 2-3 minutos. La SIEM existente, en comparación, solo había completado el 2 % de la búsqueda inicial en el mismo tiempo.
Gracias a este cambio de la recopilación pasiva de datos a la investigación activa, USAA transformó a su equipo de "recolectores" a "cazadores" de seguridad con Elastic. Haz avanzar la madurez de seguridad de tu propio equipo con una plataforma unificada y abierta para SIEM y analítica de seguridad.
Preparémoste para los primeros pasos
El reemplazo de la SIEM es un proceso, y los expertos de seguridad están aquí para supervisar y ayudar a lograr los resultados que esperan.
Si están listo para dar el paso siguiente hacia una SIEM moderna, comienza aquí por la guía para el comprador de SIEM.