Parte I: Desmitificando la salud cibernética y la caza de amenazas cibernéticas
JEF: Bienvenido a Cloud Expo, ¿podría ayudarme a explicar qué es la caza de amenazas cibernéticas?
SNEHAL: Jeff, gracias por recibirnos. Primero, hablemos de lo que es una amenaza cibernética: alguien está tratando de tomar sus datos entrando en sus sistemas digitales críticos. Permítanme describir tres tipos:
- Una amenaza puede ser una dirección IP de un país de piratas informáticos y ese tráfico es una señal de una infracción.
- Una amenaza puede ser que alguien ingrese a sus sistemas de correo electrónico y robe identidades, ahora puede obtener más acceso a otros sistemas.
- Una amenaza puede ser alguien que elimina datos de servidores críticos y ahora tiene un problema de ransomware.
JEF: Entonces, ¿está diciendo que la caza de amenazas cibernéticas es una práctica de ver un ataque muy complejo y detenerlo antes de que se produzca un daño real?
SNEHAL: corregir a Jeff, y la búsqueda de amenazas necesita más que SIEM registros. Necesita tráfico de red, análisis de comportamiento y conocimiento de las aplicaciones. Al correlacionar datos a través de un conjunto más amplio de herramientas, puede reconstruir de manera proactiva ataques complejos en toda la infraestructura de TI. SIEMSólo a nosotros nos falta esta visibilidad integral. También vemos la IA (inteligencia artificial) como un facilitador clave para ayudar a una comunidad más amplia de empresas a aprovechar las tecnologías avanzadas. SOC Soluciones. Las computadoras son buenas para detectar patrones, y el aprendizaje automático es una forma de ayudar. SOC Los equipos escalan para poder centrarse en el trabajo estratégico.
JEF: Ya veo, la IA es un tema candente aquí en Hong Kong: antes de profundizar en la tecnología, ¿puede compartir los desafíos comunes que tenían sus clientes antes de ayudarlos con Threat Hunting?
SNEHAL: Incluso con todas las herramientas adecuadas en su lugar, muchos de nuestros clientes compartieron fracasos en lugar de éxitos. Para ayudar a comprender por qué, recientemente trabajamos con Enterprise Strategy Group (se llaman ESG) para comprender los desafíos de los clientes en Asia. Echemos un vistazo a las conclusiones clave. Primero, las amenazas van en aumento. Más del 70% de los encuestados ven ataques más complejos a lo largo del tiempo; aún así, no están seguros de qué hacer.
JEF: Vemos desafíos similares aquí en Hong Kong. De hecho, el manual de políticas del regulador financiero actualizado más reciente enfatiza la importancia de la gestión de amenazas y vulnerabilidades y la necesidad de procesos de monitoreo sistemático.
SNEHAL: El segundo resultado muestra preocupación por el exceso de datos que llegan al sistema. SOCEs fácil perder los datos CORRECTOS o perder mucho tiempo buscando en registros que no ofrecen una imagen real de su infraestructura de TI.
JEF: Por eso, el mercado laboral de Hong Kong es tan competitivo para las personas de buena seguridad. Todos están ocupados escribiendo consultas para buscar en una gran cantidad de datos.
SNEHAL: Gracias por compartir eso, Jeff. Tiene sentido. Y, por último, con los trabajadores remotos ahora comunes y muchos aspectos de su infraestructura ahora tanto locales como en nubes públicas, más del 70 % de los clientes señalan que aún creen tener puntos ciegos. SIEMLos s por sí solos no te ayudarán a ver las amenazas
JEF: Entonces, para la nueva normalidad, la escalabilidad y la interoperabilidad entre entornos heterogéneos son esenciales. Ahora, hablemos de las soluciones, ya que entendemos por qué los equipos de seguridad necesitan nuevas ideas.
SNEHAL: Los piratas informáticos de hoy en día no lo atacan de la manera tradicional, esto es clave, un enfoque de perímetro ya no lo protege Ahora, obtienen acceso a activos de bajo perfil y comienzan a recopilar inteligencia sobre sistemas más críticos, luego buscan información más valiosa.
JEF: ¿Puede explicar el ejemplo de la diapositiva?
SNHEAL: Claro, digamos que ha etiquetado a su CEO como una persona crítica, y ve que inició sesión en Tokio y luego en Sydney Australia dos horas más tarde. Ese es claramente un evento de viaje imposible, pero su inicio de sesión fue válido. Luego lo ve usando comandos para acceder a una aplicación, digamos SSL para acceder a los datos en un servidor SQL.
JEF: ¿Por qué el CEO estaría usando SSL y por qué estaría buscando datos SQL? Algo es muy sospechoso, pero las tres acciones siguen siendo válidas en función de todo lo que podamos establecer a partir de las herramientas y los datos existentes, ¿verdad?
SNHEAL: Exactamente, Jeff, para resumir lo que Threat Hunting realmente necesita es una forma de reunir todas sus herramientas y fuentes, y procesarlas con IA para ayudar a encontrar patrones, diseñados específicamente para encontrar los datos CORRECTOS. A esto lo llamamos Abierto-XDR –detección y respuesta extendidas con la capacidad de integrarse con cualquier sistema, herramienta o fuente de datos. Así como mejoramos los firewalls con SIEMs, es hora de reconsiderar cómo construimos una SOC. Una colección de herramientas - o - una plataforma inteligente es la clave.
JEF: Entonces, según escuché esto, ¡realmente se trata de una mejor visibilidad! Y aprovechar la inteligencia artificial para obtener los datos CORRECTOS que lo ayuden a ver el ataque complejo de manera más eficiente.
SNEHAL: Eso es exactamente correcto Jeff
JEF: Así que profundicemos en esta idea de visibilidad e inteligencia artificial.
SNEHAL: Seguro, Jeff, esta es la base de nuestra forma de pensar. Estamos felices de compartir nuestros pensamientos. Primero, como puedes ver a la izquierda, un tradicional SOC Tiene una colección de herramientas. Todas estas herramientas son excelentes en sus áreas específicas, como SIEM para registros, UEBA para el comportamiento y NTA para el tráfico de red. Ahora, el problema que estamos encontrando es que todavía hay puntos ciegos entre estas herramientas y las detecciones críticas que le informan sobre un ataque complejo y se están perdiendo. Incluso cuando algunas de estas herramientas utilizan el aprendizaje automático, los puntos ciegos impiden un enfoque cohesivo.
JEF: Veo que tiene mucho sentido. Estoy ansioso por ver cómo cree que los clientes deberían trabajar para cerrar estas brechas y obtener inteligencia y visibilidad integral.
SNEHAL: Absolutamente, a la derecha: creemos que una forma de reunir todas sus herramientas es pensar en plataformas, usar un sistema abierto que se asiente sobre su infraestructura actual; para ayudar a reconstruir ataques complejos. Y ahora solo hay un lago de datos común, con todos los datos en la ingestión normalizados: el análisis ahora es mucho más rápido y la inteligencia artificial le ayuda a aplicar las tendencias de big data para ordenar las tendencias a largo plazo En resumen, tiene un panel de cristal para visualizar, analizar y responder a todas las detecciones, todos los datos, todas las fuentes, registros, tráfico, visibilidad en la nube, red, puntos finales, usuarios y aplicaciones.
JEF: Gracias Snehal, creo que es hora de ver el producto en acción. Veamos un caso de uso en vivo: ¿puedes hacer una breve demostración?
SNEHAL: Seguro, Jeff, voy a Threat Hunt en este momento y te mostraré 4 pasos clave, detectaré un dispositivo pirateado y detendré el ataque. Nombre , Acabo de identificar un servidor infectado, ha sido pirateado.
JEF: Tienes derecho a eso, tu tablero parece fácil de usar.
SNEHAL: Gracias Jeff, nuestros clientes están de acuerdo y nos dicen que la capacitación toma solo días, no semanas. Ahora déjame mostrarte el second paso, estoy abriendo nuestro registro de Interflow, que es JSON legible, ahora puedo ver cómo piratearon este servidor.
JEF: Parece que hay muchos detalles en un solo archivo, muchos de nuestros clientes se quejan de que tienen que usar varias herramientas para crear una imagen completa de un evento.
SNEHAL: Gracias Jeff, así es, también incluye cómo la IA procesó cada evento, por lo que tiene un registro procesable. Ahora veamos el third paso, bloquearé el dispositivo para que no envíe tráfico. Usé nuestra biblioteca Threat Hunting para activar una respuesta, para cerrar el puerto.
JEF: Veo el poder de una plataforma integrada: se toman medidas rápidamente con solo unos clics. Así es claramente como se ayuda a las organizaciones a hacer que la gestión sea... SOC ¡más fácil!
SNEHAL: Así es, Jeff, nuestros clientes nos dicen que aumentaron drásticamente la productividad, en muchos casos varios órdenes de magnitud.es la mejor manera de demostrar el poder de la IA. Ahora terminemos este caso de uso de Threat Hunting con el fourth y último paso, al ver si el servidor ahora está infectando otros dispositivos, como discutimos por primera vez, esta es una forma común en que los piratas informáticos infectan otros dispositivos en su entorno.
Mira, muchos otros dispositivos ahora necesitan atención.
JEF: Gracias Snehal, estoy convencido de que puedo ver que realmente hiciste mucho y eso fue simple y realmente solo tomó unos minutos.
JEF: Snehal, creo que tenemos que terminar con esto, ¿puede resumir nuestra discusión de hoy?
SNEHAL: Claro, Jeff, creo que lo más importante que puedo decir es que ahora que los piratas informáticos están utilizando nuevos enfoques, los clientes deben buscar nuevas herramientas para combatirlos. Y en lugar de herramientas aisladas, piense en términos de una plataforma que une las herramientas. Ahora tiene una mejor manera de ver los datos correctos, saber más y actuar para responder más rápido. Creemos que los clientes están cansados de los sistemas cerrados, están frustrados con el bloqueo del proveedor: los sistemas deben estar abiertos. También creemos que las nuevas ideas deben utilizar y aprovechar todas las herramientas y fuentes de datos existentes, y hacer que funcionen mejor. a través del poder de la IA.
A continuación, piense en aplicaciones, no en scripts. Tenga una biblioteca de aplicaciones de libro de jugadas predefinidas que ayuden a sus analistas a moverse más rápido y lo ayuden a ampliar el talento que puede contratar.
JEF: Gracias Snehal. El objetivo de esta sesión es garantizar que el cliente / cliente pueda comenzar a ver nuevas detecciones que sean significativas y se deriven de herramientas y datos en los que ya confía. ¡Creo que al mercado de Hong Kong le gustará esta forma de pensar!
