الجزء الأول: إزالة الغموض عن الصحة السيبرانية وصيد التهديدات السيبرانية
جيف: مرحبًا بكم في Cloud Expo ، هل يمكنك المساعدة في توضيح ما هو مطاردة التهديدات الإلكترونية؟
سنهل: جيف ، شكرا لاستضافتنا. أولاً ، دعنا نتحدث عن ماهية التهديد السيبراني - يحاول شخص ما أخذ بياناتك عن طريق اقتحام أنظمتك الرقمية الهامة. اسمحوا لي أن أصف ثلاثة أنواع:
- يمكن أن يكون التهديد هو عنوان IP من بلد متسلل ، وتلك حركة المرور هي علامة على وجود خرق.
- يمكن أن يكون التهديد هو قيام شخص ما باقتحام أنظمة البريد الإلكتروني الخاصة بك وسرقة الهويات ، والآن يمكنهم الوصول بشكل أكبر إلى أنظمة أخرى.
- يمكن أن يتمثل التهديد في قيام شخص ما بإزالة البيانات من الخوادم الهامة - والآن لديك مشكلة في برنامج الفدية.
جيف: فهل تقول إن مطاردة التهديدات الإلكترونية هي ممارسة لرؤية هجوم معقد للغاية وإيقافه قبل حدوث ضرر حقيقي؟
سنهل: صحح جيف ، وصيد التهديد يحتاج إلى أكثر من SIEM السجلات. أنت بحاجة إلى حركة مرور الشبكة وتحليلات السلوك والوعي بالتطبيق. من خلال ربط البيانات عبر مجموعة أوسع من الأدوات، يمكنك تجميع الهجمات المعقدة بشكل استباقي عبر جميع البنية التحتية لتكنولوجيا المعلومات. SIEMتفتقر الشركات وحدها إلى هذه الرؤية الشاملة. كما نرى أن الذكاء الاصطناعي عامل تمكين رئيسي لمساعدة شريحة أوسع من الشركات على الاستفادة من التقنيات المتقدمة SOC الحلول. تتميز أجهزة الكمبيوتر بقدرتها على رصد الأنماط، ويُعدّ التعلّم الآلي وسيلةً للمساعدة. SOC تتوسع الفرق حتى تتمكن من التركيز على العمل الاستراتيجي.
جيف: أرى أن الذكاء الاصطناعي موضوع ساخن هنا في هونغ كونغ - قبل أن نتعمق في التكنولوجيا ، هل يمكنك مشاركة التحديات المشتركة التي واجهها عملاؤك قبل أن تساعدهم في Threat Hunting؟
سنهل: حتى مع وجود جميع الأدوات الصحيحة في مكانها الصحيح ، شارك الكثير من عملائنا حالات الفشل بدلاً من النجاحات. للمساعدة في فهم السبب ، عملنا مؤخرًا مع Enterprise Strategy Group - التي تتبع ESG - لفهم تحديات العملاء في آسيا. دعنا نلقي نظرة على الاستنتاجات الرئيسية. أولا ، التهديدات آخذة في الازدياد. يرى أكثر من 70٪ من المستجيبين هجمات أكثر تعقيدًا بمرور الوقت - ومع ذلك ، فهم غير متأكدين مما يجب فعله
جيف: نرى تحديات مماثلة هنا في هونغ كونغ. في الواقع ، يشدد أحدث دليل لسياسة المنظم المالي على أهمية إدارة التهديدات والضعف والحاجة إلى عمليات مراقبة منهجية.
سنهل: تُظهر النتيجة الثانية قلقاً بشأن تدفق كميات كبيرة جداً من البيانات إلى... SOC، من السهل تفويت البيانات الصحيحة، أو قضاء الكثير من الوقت في البحث في السجلات التي لا ترسم صورة حقيقية للبنية التحتية لتكنولوجيا المعلومات الخاصة بك.
جيف: لذلك هذا هو السبب في أن سوق العمل في هونغ كونغ تنافسية للغاية بالنسبة لأفراد الأمن الجيدين. كلهم مشغولون بكتابة استفسارات للبحث في الكثير من البيانات.
سنهل: شكراً لك يا جيف على مشاركة هذه المعلومة، إنها منطقية، وأخيراً، مع انتشار العمل عن بُعد بشكل كبير، ووجود العديد من جوانب البنية التحتية لديكم في كل من المواقع المحلية والسحابات العامة، لاحظ أكثر من 70% من العملاء أنهم ما زالوا يعتقدون أن لديهم نقاط ضعف. مرة أخرى SIEMلن تساعدك هذه الأدوات وحدها في رؤية التهديدات
جيف: بالنسبة إلى الوضع الطبيعي الجديد ، تعد قابلية التوسع وقابلية التشغيل البيني عبر البيئات غير المتجانسة أمرًا ضروريًا. الآن ، لنتحدث عن الحلول ، لأننا نفهم لماذا تحتاج فرق الأمن إلى أفكار جديدة.
سنهل: لا يهاجمك المتسللون اليوم بالطرق التقليدية - وهذا أمر أساسي - لم يعد نهج المحيط يؤمنك الآن ، يمكنهم الوصول إلى الأصول غير المرئية ويبدأون في جمع المعلومات الاستخبارية حول الأنظمة الأكثر أهمية ، ثم يذهبون للحصول على معلومات أكثر قيمة.
جيف: هل يمكنك شرح المثال الموجود على الشريحة؟
سنهيل: بالتأكيد ، لنفترض أنك قمت بوضع علامة على رئيسك التنفيذي كشخص بالغ الأهمية ، ووجدت أنه قام بتسجيل الدخول في طوكيو ثم في سيدني بأستراليا بعد ذلك بساعتين. من الواضح أن هذا حدث سفر مستحيل ، ومع ذلك كان تسجيل دخوله صالحًا. ثم تراه يستخدم أوامر للوصول إلى تطبيق ، قل SSL للوصول إلى البيانات على خادم SQL.
جيف: لماذا يستخدم الرئيس التنفيذي SSL ولماذا يبحث عن بيانات SQL؟ هناك شيء مريب للغاية ، ولكن جميع الإجراءات الثلاثة لا تزال صالحة استنادًا إلى كل ما يمكننا إنشاؤه من الأدوات والبيانات الموجودة - أليس كذلك؟
سنهيل: بالضبط جيف ، لتلخيص ما يحتاجه Threat Hunting حقًا هو طريقة لتجميع جميع أدواتك وخلاصاتك معًا ومعالجتها باستخدام الذكاء الاصطناعي للمساعدة في العثور على الأنماط المصممة لغرض العثور على البيانات الصحيحة. ونحن نسمي هذا افتح-XDR – الكشف والاستجابة الموسعة مع القدرة على التكامل مع أي نظام أو أداة أو مصدر بيانات. تمامًا كما قمنا بتعزيز جدران الحماية بـ SIEMلذا، فقد حان الوقت لإعادة النظر في كيفية بناء SOC. مجموعة من الأدوات - أو - منصة ذكية هي المفتاح.
جيف: لذا فإن الطريقة التي أسمع بها هي أن الأمر كله يتعلق برؤية أفضل! والاستفادة من الذكاء الاصطناعي للحصول على البيانات الصحيحة التي تساعدك على رؤية الهجوم المعقد بشكل أكثر كفاءة.
سنهل: هذا بالضبط جيف صحيح
جيف: لذلك دعونا نتعمق في فكرة الرؤية والذكاء الاصطناعي.
سنهل: بالتأكيد جيف ، هذا هو أساس طريقة تفكيرنا. نحن سعداء لمشاركة أفكارنا. أولاً، كما ترون على اليسار، تقليدي SOC يحتوي على مجموعة من الأدوات. كل أداة من هذه الأدوات تؤدي عملاً رائعاً في مجالاتها المحددة - مثل SIEM بالنسبة للسجلات، UEBA بالنسبة للسلوك و NTA بالنسبة لحركة مرور الشبكة. الآن ، المشكلة التي نكتشفها هي أنه لا تزال هناك نقاط عمياء بين هذه الأدوات والاكتشافات الحرجة التي تخبرك بهجوم معقد ويتم تفويتها. حتى عندما تستخدم بعض هذه الأدوات التعلم الآلي ، فإن النقاط العمياء تمنع اتباع نهج متماسك.
جيف: أرى أن هذا منطقي للغاية. أنا حريص على معرفة كيف تعتقد أن العملاء يجب أن يعملوا لسد هذه الفجوات واكتساب كل من الذكاء والرؤية الشاملة.
سنهل: بالتأكيد ، على اليمين - نعتقد أن إحدى الطرق لجمع كل أدواتك معًا هي التفكير في المنصات ، واستخدام نظام مفتوح يجلس فوق بنيتك التحتية الحالية ؛ للمساعدة في تجميع الهجمات المعقدة معًا. والآن هناك بحيرة بيانات مشتركة واحدة فقط ، مع تطبيع جميع البيانات عند الاستيعاب - أصبح التحليل الآن أسرع بكثير ، ويساعدك الذكاء الاصطناعي على تطبيق اتجاهات البيانات الضخمة لفرز الاتجاهات على المدى الطويل والمدى الطويل باختصار ، لديك جزء واحد من الزجاج لتصور وتحليل والاستجابة لجميع الاكتشافات - جميع البيانات - جميع المصادر والسجلات وحركة المرور والرؤية في السحابة والشبكة ونقاط النهاية والمستخدمين والتطبيقات.
جيف: شكرًا Snehal ، أعتقد أن الوقت قد حان لرؤية المنتج قيد التنفيذ! دعنا نلقي نظرة على حالة الاستخدام المباشر - هل يمكنك عمل عرض توضيحي قصير؟
سنهل: بالتأكيد جيف ، سأذهب إلى Threat Hunt الآن ، وسأعرض لك 4 خطوات رئيسية ، سأكتشف جهازًا مخترقًا وأوقف الهجوم. الاسم الأول، لقد حددت للتو خادمًا مصابًا ، وقد تم اختراقه.
جيف: لقد حصلت على حق في ذلك ، تبدو لوحة القيادة سهلة الاستخدام.
سنهل: شكرًا جيف ، يوافق عملاؤنا ويخبروننا أن التدريب يستغرق أيامًا فقط وليس أسابيع الآن اسمحوا لي أن أريك ثان الخطوة ، أنا أقوم بفتح سجل Interflow الخاص بنا ، وهو JSON القابل للقراءة ، والآن يمكنني أن أرى كيف قاموا باختراق هذا الخادم.
جيف: يبدو أن هناك الكثير من التفاصيل في ملف واحد ، ويشكو العديد من عملائنا من أنه يتعين عليهم استخدام عدة أدوات لإنشاء صورة كاملة لحدث ما
سنهل: شكرًا جيف ، هذا صحيح ، فهو يتضمن أيضًا كيفية معالجة الذكاء الاصطناعي لكل حدث ، بحيث يكون لديك سجل قابل للتنفيذ. الآن دعونا نلقي نظرة على ثلث الخطوة ، سأمنع الجهاز من إرسال حركة المرور. لقد استخدمت مكتبة Threat Hunting الخاصة بنا لإطلاق رد ، لإغلاق الميناء.
جيف: أرى قوة المنصة المتكاملة - حيث يمكنك اتخاذ الإجراءات بسرعة ببضع نقرات فقط. من الواضح أن هذه هي الطريقة التي تساعد بها المؤسسات على إدارة عملياتها SOC أسهل!
سنهل: هذا صحيح يا جيف ، أخبرنا عملاؤنا أنهم زادوا الإنتاجية بشكل كبير ، وفي كثير من الحالات عدة مرات -إنها أفضل طريقة لإثبات قوة الذكاء الاصطناعي. لننهي الآن حالة استخدام Threat Hunting بامتداد رابع والخطوة الأخيرة ، من خلال معرفة ما إذا كان الخادم يقوم الآن بإصابة أجهزة أخرى ، كما ناقشنا أولاً ، فهذه طريقة شائعة يصيب بها المتسللون الأجهزة الأخرى في بيئتك.
انظر ، العديد من الأجهزة الأخرى تحتاج الآن إلى الاهتمام.
جيف: شكرًا Snehal ، أنا مقتنع أنني أستطيع أن أرى أنك فعلت الكثير حقًا وكان ذلك بسيطًا ولم يستغرق سوى بضع دقائق.
جيف: سنهال ، أعتقد أننا بحاجة إلى إنهاء هذا ، هل يمكنك تلخيص مناقشتنا اليوم؟
سنهل: بالتأكيد جيف ، أعتقد أن أهم شيء يمكنني قوله الآن هو أن المتسللين يستخدمون أساليب جديدة ، يحتاج العملاء إلى البحث عن أدوات جديدة لمكافحتهم. وبدلاً من الأدوات المنعزلة ، فكر في منصة تربط الأدوات معًا. الآن لديك طريقة أفضل لرؤية البيانات الصحيحة ومعرفة المزيد والتصرف للرد بشكل أسرع. نعتقد أن العملاء قد سئموا الأنظمة المغلقة ، فهم محبطون من قفل البائع - يجب أن تكون الأنظمة مفتوحة. نعتقد أيضًا أن الأفكار الجديدة تحتاج إلى استخدام جميع الأدوات الحالية وموجزات البيانات والاستفادة منها - وجعلها تعمل بشكل أفضل من خلال قوة الذكاء الاصطناعي.
بعد ذلك ، فكر في التطبيقات وليس البرامج النصية. امتلك مكتبة من تطبيقات قواعد اللعبة المبنية مسبقًا والتي تساعد المحللين لديك على التحرك بشكل أسرع ، وتساعدك على توسيع المواهب التي يمكنك الاستعانة بها
جيف: شكرًا Snehal ، لذا فإن الهدف من هذه الجلسة هو التأكد من أن العميل / العميل يمكنه البدء في رؤية اكتشافات جديدة ذات مغزى ، ومشتقة من الأدوات والبيانات التي تثق بها بالفعل. أعتقد أن سوق هونغ كونغ سيحب طريقة التفكير هذه!
