A colisão de mercado de SIEM, EDR, MDR, XDR e MSSP

A colisão de mercado de SIEM, EDR, MDR, XDR e MSSP. O mercado de ferramentas de segurança e serviços gerenciados está se aproximando de um ponto de colisão à medida que os conjuntos de recursos se sobrepõem. As soluções que coletam, indexam e pesquisam grandes conjuntos de dados estão rapidamente se tornando concorrentes.

Quase tão rápido quanto novas vulnerabilidades são encontradas, novos fornecedores, tecnologia e acrônimos são criados. Pode ser esmagador e difícil de desembaraçar.

Este artigo, originalmente publicado pelo Innovate cybersecurity,  adicionará alguma clareza ao abordar algumas das pilhas de tecnologia de segurança novas e antigas, comparar suas diferenças e semelhanças e ilustrar como os fornecedores estão todos em rota de colisão para alcançar a paridade na corrida pelo mercado.

Este momento na segurança cibernética é confuso. Estamos em um ponto de virada em que as linhas entre alguns segmentos de ferramentas de segurança são borradas à medida que se misturam em um continuum: SIEM, EDR e MSSP não são mais categorias distintas do mercado.

Vamos examinar mais de perto onde começamos, onde estamos agora e para onde achamos que estamos indo para obter informações sobre as decisões para a infraestrutura de segurança no curto prazo.

Background

Os conjuntos de ferramentas populares e estruturas de serviços usados ​​em segurança cibernética, como SIEM, EDR, XDR, SOCaaS… todos têm uma história de origem para explicar onde eles se encaixam agora.

SIEM

O SIEM foi desenvolvido para coletar logs de muitos pontos de dados. Os logs são indexados e pesquisados ​​para fornecer alertas que identificam eventos significativos nos dados.

A história do SIEM não é particularmente longa – foi há apenas vinte anos que os primeiros produtos SIEM comerciais foram lançados. Naquela época, era conhecido como SIM (Gerenciamento de Informações de Segurança) e SEM (Gerenciamento de Eventos de Segurança). Em 2005, Mark Nicolette e Amrit Williams, do Gartner, cunharam uma nova definição, e um acrônimo, do que é um SIEM.

Os desenvolvedores do primeiro SIEM queriam uma ferramenta para ajudar as empresas na conformidade, e esses sistemas evoluíram para as plataformas de detecção de ameaças das quais todos dependemos hoje. Ao observar como o SIEM evoluiu ao longo do tempo, podemos ver que as ameaças predominantes e muitos outros fatores de mercado contribuíram.

Quando o Splunk chegou, era uma plataforma de coleta de logs de TI. Depois de tentar fazer um painel transacional, a empresa se debruçou sobre o que os clientes em potencial estavam realmente empolgados: sua capacidade de pesquisar grandes conjuntos de dados de log. Isso foi antes de a empresa produzir seu caso de uso de segurança atual.

Numerosos fornecedores de SIEM chegaram ao mercado que se enquadram em um ou mais de alguns grupos:

  • Nativo da nuvem
  • on premisses 
  • Adotado de um produto existente que já faz coleta de logs em escala
  • Criado especificamente para casos de uso de segurança

EDR

Endpoint Detection and Response, ou EDR, começou como uma ferramenta para coletar dados de endpoint que vão além dos logs. O EDR deu origem ao Threat Hunting, que é a ciência de pesquisar dados do EDR em busca de evidências de maus atores escondidos.

O MDR é simplesmente um serviço gerenciado para EDR, no qual um analista ajusta as ferramentas de EDR para um ambiente e caso de uso específicos, fornece olhos humanos para alertas e executa a busca de ameaças.

SIEM vs EDR

Embora as organizações precisem de um SIEM e um EDR para fins exclusivos, as ferramentas estão fundamentalmente fazendo algo muito semelhante:

  • Coletando um fluxo contínuo de dados
  • Indexando os dados
  • Fornecendo recursos de pesquisa para usuários finais
  • Fornecer aos usuários finais uma maneira de alertar sobre eventos que ocorrem nos dados.

 

Fica confuso

Embora o XDR não seja novo, ainda é vagamente definido e varia. É basicamente a definição caprichosa do fornecedor de XDR das três letras que compõem os dados que eles coletam, com o mesmo propósito.

Sob a marca de XDR, EDR e SIEM, os fornecedores estão começando a cruzar os respectivos espaços e coletar os mesmos dados junto com outros produtos XDR que definitivamente coletam os mesmos conjuntos de dados. Pode ser redundante.

Parece haver uma corrida armamentista entre os fornecedores de segurança cibernética que querem ser o centro de coleta de dados. Faz sentido que quem puder coletar os dados com mais eficiência forneça o maior valor.

 

Na Frente de Atendimento

Um MSSP não é mais apenas um SOC que analisa os alertas do SIEM. Pode estar fornecendo serviços de MDR ou pode ser um SOC monitorando vários conjuntos de ferramentas alimentados por dados. As estruturas tradicionais do MSSP mudaram, do modelo original que o Gartner definiu como monitoramento de tráfego de entrada e saída, para algo agora muito mais amplo e indefinível.

Se você navegar pelo Alerta MSSP anual 250 , grandes áreas dessas entidades nem remotamente executam a mesma função. No entanto, todos eles estão sob o mesmo guarda-chuva de “MSSP”.

Os fornecedores de EDR

Parece que neste espaço, cada fornecedor empacota sua oferta de forma diferente de todo o resto, o que impossibilita comparações de fornecedores. E quão eficazes eles são, realmente? A maioria dos produtos EPP e EDR apresentam baixo desempenho .

Fornecedores SOC-as-a-Service

A categoria recente de fornecedores de SOC-as-a-Service pode fazer tudo o que foi mencionado acima, ou partes dele, e incluir o software. Este é um novo espaço muito promissor, pois maximiza o aspecto de serviço central de um SOC, minimizando a sobrecarga e o investimento inicial do cliente.

Fornecedores de gerenciamento de vulnerabilidades

Muitos fornecedores de ferramentas de VM usam as mesmas técnicas dos fornecedores de EDR e XDR para coletar dados. Eles verificam os dados, encontram as vulnerabilidades e corrigem. É provável que esses fornecedores continuem a colidir mais em seu escopo, em vez de menos. 

Os fornecedores de SOC-as-a Service adotaram essa função crítica rapidamente e forneceram a VM como um recurso principal desde o início.

Fazer buscas de vulnerabilidades em vez de buscas de ameaças com ferramentas de EDR vem acontecendo há algum tempo. Vimos muito disso durante a recente crise do log4j/log4shell , que viu muitas organizações buscando visibilidade das instâncias do log4j em seu ambiente.

 

Onde estamos indo? Algumas Receitinhas:

À medida que o mercado muda em um momento de fluxo, considere quais produtos representam uma pilha de soluções apropriada para seus requisitos. Com as linhas borradas entre as soluções e o mercado alcançando lentamente um equilíbrio no conjunto de recursos, um fornecedor pode cobrir todos os seus casos de uso ou pode fazer mais. Embora às vezes pareça que todos estão gravitando em direção à mesma coisa, pode não ser verdade para todos os casos de uso.

Considere estes critérios flutuantes:

  • Quem coleta não apenas a maioria dos dados, mas os dados certos ?
  • Quem faz o melhor trabalho fornecendo um conjunto completo e atualizado em tempo real de conteúdo correlacionado? Informações acionáveis, como alarmes, alertas, etc.?  
  • Quem pode fazê-lo da maneira mais econômica?

A partir dessa perspectiva, olhe além do ruído de vendas e marketing ou da diferenciação arbitrária de produtos. Determine uma combinação apropriada de recursos reais de qualquer SIEM, EDR e MSSP que esteja sendo considerado para minimizar a redundância e maximizar a eficácia. As lacunas entre eles ficam mais estreitas a cada dia.

Fonte: Innovate cybersecurity

Veja também:

Sobre mindsecblog 1772 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Comentário

  1. Boa matéria, mas, na minha opinião, comparar tecnologia com serviço é injusto.
    Quanto ao MDR, o serviço é muito além do que foi abordado e cabe um tópico para maiores informações e conceitualização.

Deixe sua opinião!