Teil I: Cyber-Gesundheit und Cyber-Bedrohungsjagd entmystifizieren
JEFF: Willkommen auf der Cloud Expo. Können Sie uns bitte erklären, was Cyber-Bedrohungsjagd ist?
SCHNEEHAL: Jeff, danke, dass du uns gehostet hast. Lassen Sie uns zunächst darüber sprechen, was eine Cyber-Bedrohung ist - jemand versucht, Ihre Daten zu erfassen, indem er in Ihre kritischen digitalen Systeme einbricht. Lassen Sie mich drei Typen beschreiben:
- Eine Bedrohung kann eine IP-Adresse aus einem Hackerland sein, und dieser Datenverkehr ist ein Zeichen für einen Verstoß.
- Eine Bedrohung kann sein, dass jemand in Ihre E-Mail-Systeme eindringt und Identitäten stiehlt. Jetzt kann er mehr Zugriff auf andere Systeme erhalten.
- Eine Bedrohung kann jemand sein, der Daten von kritischen Servern entfernt - und jetzt haben Sie ein Ransomware-Problem.
JEFF: Wollen Sie damit sagen, dass die Jagd auf Cyber-Bedrohungen eine Praxis ist, bei der ein sehr komplexer Angriff beobachtet und gestoppt wird, bevor wirklicher Schaden angerichtet wird?
SCHNEEHAL: richtig Jeff, und Bedrohungsjagd braucht mehr als SIEM Protokolle. Sie benötigen Netzwerkverkehr, Verhaltensanalyse und Anwendungsbewusstsein. Durch die Korrelation von Daten aus einem breiteren Spektrum an Tools können Sie proaktiv komplexe Angriffe auf die gesamte IT-Infrastruktur aufdecken. SIEMs allein fehlt diese umfassende Transparenz. Wir sehen KI – künstliche Intelligenz – auch als einen wichtigen Faktor, der es einer breiteren Gruppe von Unternehmen ermöglicht, von fortschrittlichen Technologien zu profitieren. SOC Lösungen. Computer sind gut darin, Muster zu erkennen, und maschinelles Lernen ist eine Möglichkeit, dabei zu helfen. SOC Die Teams werden so skaliert, dass sie sich auf strategische Aufgaben konzentrieren können.
JEFF: Ich sehe, KI ist hier in Hongkong ein heißes Thema. Bevor wir uns eingehender mit Technologie befassen, können Sie die allgemeinen Herausforderungen teilen, die Ihre Kunden hatten, bevor Sie ihnen bei der Bedrohungsjagd geholfen haben?
SCHNEEHAL: Selbst mit den richtigen Tools teilten viele unserer Kunden eher Fehler als Erfolge. Um zu verstehen, warum, haben wir kürzlich mit der Enterprise Strategy Group (ESG) zusammengearbeitet, um die Kundenherausforderungen in Asien zu verstehen. Werfen wir einen Blick auf die wichtigsten Schlussfolgerungen. Erstens nehmen die Bedrohungen zu. Über 70% der Befragten sehen im Laufe der Zeit komplexere Angriffe - dennoch sind sie sich nicht sicher, was sie tun sollen
JEFF: Wir sehen hier in Hongkong ähnliche Herausforderungen. Tatsächlich betont das zuletzt aktualisierte Handbuch der Finanzaufsichtsbehörde die Bedeutung des Bedrohungs- und Schwachstellenmanagements und die Notwendigkeit systematischer Überwachungsprozesse.
SCHNEEHAL: Das zweite Ergebnis zeigt Besorgnis über die zu große Datenmenge, die in den Datenstrom gelangt. SOCEs ist leicht, die RICHTIGEN Daten zu übersehen oder viel Zeit mit der Suche in Protokollen zu verbringen, die kein wahres Bild Ihrer IT-Infrastruktur zeichnen.
JEFF: Deshalb ist der Arbeitsmarkt in Hongkong für gute Sicherheitsleute so wettbewerbsfähig. Sie sind alle damit beschäftigt, Abfragen zu schreiben, um viele Daten zu durchsuchen.
SCHNEEHAL: Danke fürs Teilen, Jeff, das leuchtet ein. Und schließlich, da Remote-Arbeit mittlerweile weit verbreitet ist und viele Aspekte Ihrer Infrastruktur sowohl lokal als auch in öffentlichen Clouds angesiedelt sind, geben über 70 % der Kunden an, dass sie immer noch glauben, blinde Flecken zu haben. SIEMs allein werden Ihnen nicht helfen, Bedrohungen zu erkennen.
JEFF: Für die neue Normalität sind dann Skalierbarkeit und Interoperabilität in heterogenen Umgebungen unerlässlich. Lassen Sie uns nun über die Lösungen sprechen, da wir verstehen, warum Sicherheitsteams neue Ideen benötigen.
SCHNEEHAL: Heutige Hacker greifen Sie nicht auf herkömmliche Weise an - dies ist der Schlüssel -, ein Perimeter-Ansatz sichert Sie nicht mehr Jetzt erhalten sie Zugriff auf unauffällige Assets und beginnen, Informationen über kritischere Systeme zu sammeln. Dann suchen sie nach wertvolleren Informationen.
JEFF: Können Sie das Beispiel auf der Folie erklären?
SNHEAL: Nehmen wir an, Sie haben Ihren CEO als kritische Person markiert, und Sie sehen nur, dass er sich zwei Stunden später in Tokio und dann in Sydney, Australien, angemeldet hat. Das ist eindeutig ein unmögliches Reiseereignis, aber sein Login war gültig. Dann sehen Sie, wie er Befehle verwendet, um auf eine Anwendung zuzugreifen, z. B. SSL, um auf Daten auf einem SQL Server zuzugreifen.
JEFF: Warum sollte der CEO SSL verwenden und warum sollte er nach SQL-Daten suchen? Etwas ist sehr verdächtig, aber alle drei Aktionen sind immer noch gültig, basierend auf allem, was wir aus den vorhandenen Tools und Daten ermitteln können - richtig?
SNHEAL: Genau Jeff, um zusammenzufassen, was Threat Hunting wirklich braucht, ist eine Möglichkeit, alle Ihre Tools und Feeds zusammenzuführen und mit AI zu verarbeiten, um Muster zu finden, die speziell für die Suche nach den RICHTIGEN Daten entwickelt wurden. Wir nennen dies Öffnen-XDR –erweiterte Erkennung und Reaktion mit der Möglichkeit, sich in jedes System, Tool oder jeden Datenfeed zu integrieren. Genau wie wir Firewalls erweitert haben mit SIEMDeshalb ist es an der Zeit, zu überdenken, wie wir ein SOC. Eine Sammlung von Werkzeugen - oder - Eine intelligente Plattform ist der Schlüssel.
JEFF: So wie ich das höre, dreht sich wirklich alles um bessere Sichtbarkeit! Und nutzen Sie die KI, um die RICHTIGEN Daten zu erhalten, mit denen Sie den komplexen Angriff effizienter sehen können.
SCHNEEHAL: Das ist genau richtig, Jeff
JEFF: Lassen Sie uns also tiefer in diese Idee von Sichtbarkeit und KI eintauchen.
SCHNEEHAL: Sicher Jeff, das ist die Grundlage dafür, wie wir denken. Wir teilen gerne unsere Gedanken. Zunächst einmal, wie Sie links sehen können, ein traditionelles SOC verfügt über eine Sammlung von Werkzeugen. Diese Werkzeuge leisten in ihren jeweiligen Bereichen hervorragende Arbeit – wie zum Beispiel SIEM für Protokolle, UEBA für das Verhalten und NTA für den Netzwerkverkehr. Das Problem, das wir jetzt feststellen, ist, dass es immer noch blinde Flecken zwischen diesen Tools und kritischen Erkennungen gibt, die Sie über einen komplexen Angriff informieren und übersehen werden. Selbst wenn einige dieser Tools maschinelles Lernen verwenden, verhindern die blinden Flecken einen zusammenhängenden Ansatz.
JEFF: Ich sehe, das macht sehr viel Sinn. Ich bin gespannt, wie Kunden Ihrer Meinung nach daran arbeiten sollten, diese Lücken zu schließen und sowohl Intelligenz als auch umfassende Sichtbarkeit zu erlangen.
SCHNEEHAL: Absolut auf der rechten Seite - wir glauben, dass eine Möglichkeit, alle Ihre Tools zusammenzuführen, darin besteht, über Plattformen nachzudenken und ein offenes System zu verwenden, das auf Ihrer aktuellen Infrastruktur aufbaut. um komplexe Angriffe zusammenzufügen. Und jetzt gibt es nur noch einen gemeinsamen Datensee, in dem alle Daten bei der Aufnahme normalisiert werden. Die Analyse ist jetzt viel schneller, und AI hilft Ihnen dabei, Big-Data-Trends anzuwenden, um langfristige und langfristige Trends zu sortieren Zusammenfassend lässt sich sagen, dass Sie über eine Glasscheibe verfügen, um alle Erkennungen - alle Daten - aller Quellen, Protokolle, Datenverkehr, Sichtbarkeit in Cloud, Netzwerk, Endpunkte, Benutzer und Anwendungen zu visualisieren, zu analysieren und darauf zu reagieren.
JEFF: Danke Snehal, ich denke es ist Zeit das Produkt in Aktion zu sehen! Schauen wir uns einen Live-Anwendungsfall an - können Sie eine kurze Demo machen?
SCHNEEHAL: Sicher Jeff, ich gehe jetzt zu Threat Hunt und zeige dir mit 4 Schlüsselschritten, dass ich ein gehacktes Gerät erkennen und den Angriff stoppen werde. VornameIch habe gerade einen infizierten Server identifiziert, der gehackt wurde.
JEFF: Sie haben es richtig verstanden, Ihr Dashboard sieht einfach zu bedienen aus.
SCHNEEHAL: Vielen Dank, Jeff. Unsere Kunden sind sich einig und sagen uns, dass das Training nur Tage und nicht Wochen dauert. Jetzt lass mich dir das zeigen zweite Schritt, ich öffne unseren Interflow-Datensatz, der lesbar ist JSON, jetzt kann ich sehen, wie sie diesen Server gehackt haben.
JEFF: Das sieht nach vielen Details in einer Datei aus. Viele unserer Kunden beschweren sich, dass sie mehrere Tools verwenden müssen, um ein vollständiges Bild eines Ereignisses zu erstellen
SCHNEEHAL: Danke Jeff, das stimmt, es beinhaltet auch, wie die KI jedes Ereignis verarbeitet hat, sodass Sie eine umsetzbare Aufzeichnung haben. Nun schauen wir uns das an dritte Schritt, ich werde das Gerät für das Senden von Verkehr blockieren. Ich habe unsere Threat Hunting-Bibliothek verwendet, um eine Antwort auszulösen und den Hafen zu schließen.
JEFF: Ich sehe die Stärke einer integrierten Plattform – mit nur wenigen Klicks können Sie schnell handeln. Genau so helfen Sie Organisationen, ihre Abläufe zu optimieren. SOC einfacher!
SCHNEEHAL: Das stimmt, Jeff, unsere Kunden sagen uns, dass sie die Produktivität dramatisch gesteigert haben, in vielen Fällen um mehrere Größenordnungen -Dies ist der beste Weg, um die Kraft der KI zu demonstrieren. Beenden wir nun diesen Anwendungsfall für die Bedrohungsjagd mit dem vierte und letzter Schritt: Wenn Sie sehen, ob der Server jetzt andere Geräte infiziert, wie wir zuerst besprochen haben, ist dies eine übliche Methode, mit der Hacker andere Geräte in Ihrer Umgebung infizieren.
Viele andere Geräte benötigen jetzt Aufmerksamkeit.
JEFF: Danke Snehal, ich bin überzeugt, dass ich sehen kann, dass du wirklich viel getan hast und das war einfach und hat wirklich nur ein paar Minuten gedauert.
JEFF: Snehal, ich denke, wir müssen das abschließen. Können Sie unsere heutige Diskussion zusammenfassen?
SCHNEEHAL: Sicher Jeff, ich denke, das Wichtigste, was ich sagen kann, ist, dass Hacker jetzt neue Ansätze verwenden. Kunden müssen sich neue Tools ansehen, um sie zu bekämpfen. Denken Sie anstelle von isolierten Werkzeugen an eine Plattform, die Werkzeuge miteinander verbindet. Jetzt haben Sie eine bessere Möglichkeit, die richtigen Daten zu sehen, mehr zu wissen und schneller zu reagieren. Wir denken, Kunden haben es satt, geschlossene Systeme zu haben, und sie sind frustriert über die Lieferantenbindung - Systeme sollten offen sein. Wir sind auch der Meinung, dass neue Ideen alle vorhandenen Tools und Datenfeeds nutzen und nutzen müssen - und dass sie besser funktionieren durch die Kraft der KI.
Denken Sie als nächstes an Apps, nicht an Skripte. Verfügen Sie über eine Bibliothek vorgefertigter Playbook-Anwendungen, mit denen sich Ihre Analysten schneller bewegen und die Talente erweitern können, bei denen Sie einstellen können
JEFF: Vielen Dank, Snehal. Ziel dieser Sitzung ist es sicherzustellen, dass Kunden / Kunden neue Erkennungen sehen können, die von Bedeutung sind und von Tools und Daten abgeleitet werden, denen Sie bereits vertrauen. Ich glaube, der Hongkonger Markt wird diese Denkweise mögen!
