Partie I: Démystifier la cybersanté et la chasse aux cybermenaces
JEFF : Bienvenue dans Cloud Expo, pouvez-vous nous expliquer ce qu'est la chasse aux cybermenaces?
SNEHAL : Jeff, merci de nous accueillir. Parlons d'abord de ce qu'est une cyber-menace - quelqu'un essaie de prendre vos données en s'introduisant dans vos systèmes numériques critiques. Permettez-moi de décrire trois types:
- Une menace peut être une adresse IP d'un pays pirate, et ce trafic est le signe d'une violation.
- Une menace peut être une personne qui s'introduit dans vos systèmes de messagerie et qui vole des identités.Elle peut désormais accéder davantage à d'autres systèmes.
- Une menace peut être quelqu'un qui supprime les données des serveurs critiques - et maintenant vous avez un problème de ransomware.
JEFF : Alors, êtes-vous en train de dire que la chasse aux cybermenaces consiste à voir une attaque très complexe et à l'arrêter avant que de réels dégâts ne soient causés?
SNEHAL : corrige Jeff, et la chasse aux menaces a besoin de plus que SIEM journaux. Vous avez besoin du trafic réseau, de l'analyse du comportement et de la connaissance des applications. En corrélant les données provenant d'un ensemble plus large d'outils, vous pouvez reconstituer de manière proactive les attaques complexes qui ciblent l'ensemble de l'infrastructure informatique. SIEMLes seules entreprises manquent de cette visibilité globale. Nous considérons également l'IA (intelligence artificielle) comme un catalyseur essentiel permettant à un plus grand nombre d'entreprises de tirer parti des technologies avancées. SOC Les ordinateurs excellent dans la détection de schémas, et l'apprentissage automatique est un moyen d'y contribuer. SOC Les équipes s'adaptent pour pouvoir se concentrer sur le travail stratégique.
JEFF : Je vois, l'IA est un sujet brûlant ici à Hong Kong - Avant de creuser plus profondément dans la technologie, pouvez-vous partager les défis communs que vos clients ont rencontrés avant de les aider avec Threat Hunting?
SNEHAL : Même avec tous les bons outils en place, beaucoup de nos clients ont partagé des échecs plutôt que des réussites. Pour comprendre pourquoi, nous avons récemment travaillé avec Enterprise Strategy Group - ils utilisent ESG - pour comprendre les défis des clients en Asie. Jetons un coup d'œil aux principales conclusions. Premièrement, les menaces augmentent. Plus de 70% des personnes interrogées voient des attaques plus complexes au fil du temps, mais elles ne savent toujours pas quoi faire
JEFF : Nous voyons des défis similaires ici à Hong Kong. En fait, le dernier manuel de politique mis à jour du régulateur financier souligne l'importance de la gestion des menaces et des vulnérabilités et la nécessité de processus de surveillance systématiques.
SNEHAL : Le deuxième résultat révèle une inquiétude quant à l'afflux excessif de données dans le système. SOCIl est alors facile de passer à côté des bonnes données, ou de perdre beaucoup de temps à parcourir des journaux qui ne donnent pas une image fidèle de votre infrastructure informatique.
JEFF : C'est pourquoi le marché du travail de Hong Kong est si compétitif pour les bons agents de sécurité. Ils sont tous occupés à écrire des requêtes pour rechercher dans un grand nombre de données.
SNEHAL : Merci Jeff pour ce partage, c'est logique. Enfin, avec le télétravail désormais monnaie courante et de nombreux aspects de votre infrastructure désormais répartis entre l'infrastructure sur site et le cloud public, plus de 70 % des clients indiquent qu'ils pensent encore avoir des angles morts. SIEMLes images seules ne vous aideront pas à voir les menaces
JEFF : Pour la nouvelle norme, l'évolutivité et l'interopérabilité dans des environnements hétérogènes sont alors essentielles. Parlons maintenant des solutions, car nous comprenons pourquoi les équipes de sécurité ont besoin de nouvelles idées.
SNEHAL : Les pirates informatiques d'aujourd'hui ne vous attaquent pas de la manière traditionnelle - c'est essentiel - une approche périmétrique ne vous protège plus Désormais, ils ont accès à des actifs bas de gamme et commencent à recueillir des informations sur des systèmes plus critiques, puis ils recherchent des informations plus précieuses.
JEFF : Pouvez-vous expliquer l'exemple sur la diapositive?
SHEAL : Bien sûr, disons que vous avez identifié votre PDG comme une personne critique et que vous voyez simplement qu'ils se sont connectés à Tokyo, puis à Sydney en Australie deux heures plus tard. C'est clairement un événement de voyage impossible, mais son identifiant était valide. Ensuite, vous le voyez utiliser des commandes pour accéder à une application, disons SSL pour accéder aux données sur un serveur SQL.
JEFF : Pourquoi le PDG utiliserait-il SSL et pourquoi chercherait-il des données SQL? Quelque chose est très suspect, mais les trois actions sont toujours valables sur la base de tout ce que nous pouvons établir à partir des outils et des données existants, n'est-ce pas?
SHEAL : Exactement Jeff, pour résumer ce dont Threat Hunting a vraiment besoin, c'est un moyen de rassembler tous vos outils et flux et de les traiter avec l'IA pour vous aider à trouver des modèles spécialement conçus pour trouver les BONNES données. Nous appelons cela Ouvert-XDR –détection et réponse étendues avec la possibilité de s'intégrer à n'importe quel système, outil ou flux de données. Tout comme nous avons amélioré les pare-feu avec SIEMIl est temps de repenser la manière dont nous construisons un SOC. Une collection d'outils - ou alors - une plate-forme intelligente est la clé.
JEFF : Donc, d'après ce que j'entends, c'est vraiment une question de meilleure visibilité! Et tirez parti de l'IA pour obtenir les BONNES données qui vous aident à voir l'attaque complexe plus efficacement.
SNEHAL : C'est exactement ça Jeff
JEFF : Alors, approfondissons cette idée de visibilité et d'intelligence artificielle.
SNEHAL : Bien sûr Jeff, c'est le fondement de notre façon de penser. Nous sommes heureux de partager nos réflexions. Tout d'abord, comme vous pouvez le voir à gauche, un traditionnel SOC possède une collection d'outils. Ces outils sont tous très performants dans leurs domaines respectifs – comme SIEM pour les bûches, UEBA pour le comportement et NTA pour le trafic réseau. Maintenant, le problème que nous constatons est qu'il existe encore des angles morts entre ces outils et des détections critiques qui vous signalent une attaque complexe et qui sont manquées. Même lorsque certains de ces outils utilisent l'apprentissage automatique, les angles morts empêchent une approche cohérente.
JEFF : Je vois que cela a beaucoup de sens. Je suis impatient de voir comment vous pensez que les clients devraient travailler pour combler ces lacunes et gagner à la fois en intelligence et en visibilité complète.
SNEHAL : Absolument, à droite - nous pensons qu'une façon de rassembler tous vos outils est de penser aux plates-formes, d'utiliser un système ouvert qui se trouve au-dessus de votre infrastructure actuelle; pour aider à reconstituer des attaques complexes. Et maintenant, il n'y a qu'un seul lac de données commun, toutes les données lors de l'ingestion étant normalisées - l'analyse est maintenant beaucoup plus rapide et l'IA vous aide à appliquer les tendances du Big Data pour trier les tendances à long terme et à long terme. En résumé, vous disposez d'un panneau de verre pour visualiser, analyser et répondre à toutes les détections - toutes les données - toutes les sources, les journaux, le trafic, la visibilité sur le cloud, le réseau, les points finaux, les utilisateurs et les applications.
JEFF : Merci Snehal, je pense qu'il est temps de voir le produit en action! Regardons un cas d'utilisation en direct - pouvez-vous faire une courte démo?
SNEHAL : Bien sûr Jeff, je vais à Threat Hunt en ce moment, et je vais vous montrer avec 4 étapes clés, je vais détecter un appareil piraté et arrêter l'attaque. Prénom, Je viens d'identifier un serveur infecté, il a été piraté.
JEFF : Vous avez raison, votre tableau de bord semble facile à utiliser.
SNEHAL : Merci Jeff, nos clients sont d'accord et nous disent que la formation ne prend que quelques jours, pas des semaines. Maintenant, laissez-moi vous montrer le seconde étape, j'ouvre notre enregistrement Interflow, qui est lisible JSON, maintenant je peux voir comment ils ont piraté ce serveur.
JEFF : Cela ressemble à beaucoup de détails dans un seul fichier, beaucoup de nos clients se plaignent de devoir utiliser plusieurs outils pour créer une image complète d'un événement
SNEHAL : Merci Jeff, c'est vrai, cela inclut également la façon dont l'IA a traité chaque événement, vous avez donc un enregistrement exploitable. Regardons maintenant le troisième étape, je vais empêcher l'appareil d'envoyer du trafic. J'ai utilisé notre bibliothèque Threat Hunting pour déclencher une réponse, fermer le port.
JEFF : Je vois toute la puissance d'une plateforme intégrée : on agit rapidement en quelques clics. C'est clairement ainsi qu'on aide les organisations à gérer efficacement leurs opérations. SOC Plus facile!
SNEHAL : C'est vrai Jeff, nos clients nous disent qu'ils ont considérablement augmenté leur productivité, dans de nombreux cas de plusieurs ordres de grandeur.c'est le meilleur moyen de démontrer la puissance de l'IA. Finissons maintenant ce cas d'utilisation de Threat Hunting avec le Quatrième et dernière étape, en vérifiant si le serveur infecte maintenant d'autres appareils, comme nous l'avons vu pour la première fois, c'est une manière courante que les pirates informatiques infectent d'autres appareils dans votre environnement.
Vous voyez, de nombreux autres appareils nécessitent maintenant votre attention.
JEFF : Merci Snehal, je suis convaincu que je peux voir que vous avez vraiment fait beaucoup de choses et que c'était simple et cela n'a vraiment pris que quelques minutes.
JEFF : Snehal, je pense que nous devons conclure, pouvez-vous résumer notre discussion d'aujourd'hui?
SNEHAL : Bien sûr Jeff, je pense que la chose la plus importante que je puisse dire, c'est que maintenant que les pirates utilisent de nouvelles approches, les clients doivent chercher de nouveaux outils pour les combattre. Et au lieu d'outils cloisonnés, pensez à une plate-forme qui relie les outils entre eux. Vous disposez désormais d'un meilleur moyen de voir les bonnes données, d'en savoir plus et d'agir pour réagir plus rapidement. Nous pensons que les clients sont fatigués des systèmes fermés, ils sont frustrés par le verrouillage des fournisseurs - les systèmes devraient être ouverts. Nous pensons également que les nouvelles idées doivent utiliser et exploiter tous les outils et flux de données existants - et les faire fonctionner mieux grâce à la puissance de l'IA.
Ensuite, pensez aux applications, pas aux scripts. Disposez d'une bibliothèque d'applications de playbook prédéfinies qui aident vos analystes à progresser plus rapidement et à élargir le talent que vous pouvez embaucher
JEFF : Merci Snehal, L'objectif de cette session est donc de s'assurer que le client / client peut commencer à voir de nouvelles détections significatives et dérivées d'outils et de données en lesquels vous avez déjà confiance. Je pense que le marché de Hong Kong aimera cette façon de penser!
