Parte I: Demistificazione della salute cibernetica e della caccia alle minacce informatiche
JEFF: Benvenuto a Cloud Expo, puoi aiutarci a spiegare cos'è la caccia alle minacce informatiche?
SNEAL: Jeff, grazie per averci ospitato. Per prima cosa parliamo di cos'è una minaccia informatica: qualcuno sta cercando di prendere i tuoi dati irrompendo nei tuoi sistemi digitali critici. Lasciatemi descrivere tre tipi:
- Una minaccia può essere un indirizzo IP di un paese hacker e quel traffico è un segno di violazione.
- Una minaccia può essere qualcuno che irrompe nei tuoi sistemi di posta elettronica e ruba identità, ora può ottenere un maggiore accesso ad altri sistemi.
- Una minaccia può essere qualcuno che rimuove i dati da server critici e ora hai un problema di ransomware.
JEFF: Quindi stai dicendo che la caccia alle minacce informatiche è una pratica di vedere un attacco molto complesso e fermarlo prima che venga fatto un danno reale?
SNEAL: corretto Jeff, e la caccia alle minacce ha bisogno di più di SIEM registri. Hai bisogno di traffico di rete, analisi del comportamento e consapevolezza delle applicazioni. Correlando i dati di un set più ampio di strumenti, è possibile ricostruire in modo proattivo attacchi complessi su tutta l'infrastruttura IT. SIEMda soli non hanno questa visibilità completa. Consideriamo inoltre l’IA – intelligenza artificiale – come un fattore chiave per aiutare una comunità più ampia di aziende a trarre vantaggio dalle tecnologie avanzate. SOC soluzioni. I computer sono bravi a vedere schemi e l'apprendimento automatico è un modo per aiutarli SOC i team si espandono in modo da potersi concentrare sul lavoro strategico.
JEFF: Capisco, l'IA è un argomento caldo qui a Hong Kong - Prima di approfondire la tecnologia, puoi condividere le sfide comuni che i tuoi clienti avevano prima di aiutarli con Threat Hunting?
SNEAL: Anche con tutti gli strumenti giusti in atto, molti dei nostri clienti hanno condiviso fallimenti piuttosto che successi. Per capire il motivo, di recente abbiamo collaborato con Enterprise Strategy Group, denominato ESG, per comprendere le sfide dei clienti in Asia. Diamo uno sguardo alle principali conclusioni. In primo luogo, le minacce sono in aumento. Oltre il 70% degli intervistati vede attacchi più complessi nel tempo, tuttavia non è sicuro di cosa fare
JEFF: Vediamo sfide simili qui a Hong Kong. In effetti, l'ultimo aggiornamento del manuale delle politiche dell'autorità di regolamentazione finanziaria sottolinea l'importanza della gestione delle minacce e delle vulnerabilità e la necessità di processi di monitoraggio sistematico.
SNEAL: Il secondo risultato mostra preoccupazione per l'eccesso di dati in arrivo SOC, è facile perdere i dati GIUSTI o passare molto tempo a cercare nei registri che non offrono un quadro reale della propria infrastruttura IT.
JEFF: Quindi questo è il motivo per cui il mercato del lavoro di Hong Kong è così competitivo per le persone di buona sicurezza. Sono tutti impegnati a scrivere query per cercare tra molti dati.
SNEAL: Grazie per aver condiviso questo, Jeff, ha senso e, infine, con i lavoratori da remoto ormai all'ordine del giorno e molti aspetti della tua infrastruttura ora sia in locale che nei cloud pubblici, oltre il 70% dei clienti afferma di pensare ancora di avere punti ciechi. Di nuovo SIEMda soli non ti aiuteranno a vedere le minacce
JEFF: Per la nuova normalità, quindi, la scalabilità e l'interoperabilità tra ambienti eterogenei sono essenziali. Ora parliamo delle soluzioni, poiché capiamo perché i team di sicurezza hanno bisogno di nuove idee.
SNEAL: Gli hacker di oggi non ti attaccano nei modi tradizionali - questa è la chiave - un approccio perimetrale non ti protegge più Ora ottengono l'accesso a risorse di basso profilo e iniziano a raccogliere informazioni su sistemi più critici, quindi cercano informazioni più preziose.
JEFF: Puoi spiegare l'esempio sulla diapositiva?
SNAKE: Certo, diciamo che hai etichettato il tuo CEO come una persona critica e vedi che ha effettuato l'accesso a Tokyo e poi a Sydney, in Australia, due ore dopo. Questo è chiaramente un evento di viaggio impossibile, ma il suo accesso era valido. Quindi lo vedi usare i comandi per accedere a un'applicazione, ad esempio SSL per accedere ai dati su un server SQL.
JEFF: Perché il CEO dovrebbe utilizzare SSL e perché dovrebbe cercare dati SQL? Qualcosa è molto sospetto, ma tutte e tre le azioni sono ancora valide in base a tutto ciò che possiamo stabilire dagli strumenti e dai dati esistenti, giusto?
SNAKE: Esattamente Jeff, per riassumere ciò di cui Threat Hunting ha davvero bisogno è un modo per riunire tutti i tuoi strumenti e feed ed elaborarli con l'intelligenza artificiale per aiutare a trovare modelli, costruiti appositamente per trovare i dati GIUSTI. Noi chiamiamo questo Aperto-XDR – rilevamento e risposta estesi con la capacità di integrarsi con qualsiasi sistema, strumento o feed di dati. Proprio come abbiamo potenziato i firewall con SIEMs, è tempo di riconsiderare il modo in cui costruiamo un SOC. Una raccolta di strumenti - o - una piattaforma intelligente è la chiave.
JEFF: Quindi per come la sento, è davvero tutta una questione di migliore visibilità! E sfruttare l'intelligenza artificiale per ottenere i dati GIUSTI che ti aiutano a vedere l'attacco complesso in modo più efficiente.
SNEAL: È esattamente vero Jeff
JEFF: Quindi approfondiamo questa idea di visibilità e intelligenza artificiale.
SNEAL: Certo Jeff, questo è il fondamento di come pensiamo. Siamo felici di condividere i nostri pensieri. Innanzitutto, come potete vedere sulla sinistra, un tradizionale SOC ha una raccolta di strumenti. Tutti questi strumenti svolgono un ottimo lavoro nelle loro aree specifiche, come SIEM per i registri, UEBA per il comportamento e NTA per il traffico di rete. Ora, il problema che stiamo riscontrando è che ci sono ancora punti ciechi tra questi strumenti e rilevamenti critici che ti parlano di un attacco complesso e che vengono persi. Anche quando alcuni di questi strumenti utilizzano l'apprendimento automatico, i punti ciechi impediscono un approccio coerente.
JEFF: Vedo che ha molto senso. Sono ansioso di vedere come pensi che i clienti dovrebbero lavorare per colmare queste lacune e ottenere sia intelligenza che visibilità completa.
SNEAL: Assolutamente, sulla destra: pensiamo che un modo per mettere insieme tutti i tuoi strumenti sia pensare alle piattaforme, utilizzare un sistema aperto che si trova in cima alla tua attuale infrastruttura; per aiutare a mettere insieme attacchi complessi. E ora esiste un solo data lake comune, con tutti i dati in fase di importazione normalizzati: l'analisi ora è molto più veloce e l'intelligenza artificiale ti aiuta ad applicare le tendenze dei big data per ordinare le tendenze a lungo termine e a lungo termine In sintesi, hai un pannello di controllo per visualizzare, analizzare e rispondere a tutti i rilevamenti, tutti i dati, tutte le origini, i registri, il traffico, la visibilità su cloud, rete, endpoint, utenti e applicazioni.
JEFF: Grazie Snehal, penso sia ora di vedere il prodotto in azione! Diamo un'occhiata a un caso d'uso dal vivo: puoi fare una breve demo?
SNEAL: Certo Jeff, sto andando a Threat Hunt in questo momento e ti mostro con 4 passaggi chiave, rileverò un dispositivo hackerato e fermerò l'attacco. Nome, Ho appena identificato un server infetto, è stato violato.
JEFF: Hai ragione, la tua dashboard sembra facile da usare.
SNEAL: Grazie Jeff, i nostri clienti sono d'accordo e ci dicono che la formazione richiede solo giorni, non settimane. Ora lascia che ti mostri il file secondo passo, sto aprendo il nostro record Interflow, che è leggibile in JSON, ora posso vedere come hanno violato questo server.
JEFF: Sembrano molti dettagli in un unico file, molti dei nostri clienti si lamentano di dover utilizzare diversi strumenti per costruire un quadro completo di un evento
SNEAL: Grazie Jeff, è vero, include anche il modo in cui l'IA ha elaborato ogni evento, quindi hai un record utilizzabile. Ora diamo un'occhiata al file Terzo passo, bloccherò il dispositivo dall'invio di traffico. Ho usato la nostra libreria Threat Hunting per attivare una risposta, per chiudere la porta.
JEFF: Vedo il potere di una piattaforma integrata: puoi agire rapidamente con pochi clic. È chiaramente così che aiuti le organizzazioni a rendere la gestione un SOC Più facile!
SNEAL: Esatto Jeff, i nostri clienti ci dicono di aver aumentato notevolmente la produttività, in molti casi diversi ordini di grandezza—è il modo migliore per dimostrare la potenza dell'IA. Ora finiamo questo caso d'uso di Threat Hunting con il quarto e il passaggio finale, verificando se il server sta ora infettando altri dispositivi, come abbiamo discusso per la prima volta, questo è un modo comune in cui gli hacker infettano altri dispositivi nel tuo ambiente.
Vedi, molti altri dispositivi ora richiedono attenzione.
JEFF: Grazie Snehal, sono convinto di vedere che hai fatto davvero molto ed è stato semplice e ci sono voluti solo pochi minuti.
JEFF: Snehal, penso che dobbiamo concludere, puoi riassumere la nostra discussione di oggi?
SNEAL: Certo Jeff, penso che la cosa più importante che posso dire è che ora che gli hacker stanno usando nuovi approcci, i clienti devono cercare nuovi strumenti per combatterli. E invece di strumenti in silos, pensa in termini di una piattaforma che lega insieme gli strumenti. Ora hai un modo migliore per vedere i dati giusti, saperne di più e agire per rispondere più velocemente. Riteniamo che i clienti siano stanchi dei sistemi chiusi, frustrati dal vincolo del fornitore: i sistemi dovrebbero essere aperti. Riteniamo inoltre che le nuove idee debbano utilizzare e sfruttare tutti gli strumenti e i feed di dati esistenti e farli funzionare meglio grazie al potere dell'intelligenza artificiale.
Quindi, pensa alle app, non agli script. Avere una libreria di applicazioni playbook predefinite che aiutano i tuoi analisti a muoversi più velocemente e ti aiutano ad ampliare il talento da cui puoi assumere
JEFF: Grazie Snehal, quindi l'obiettivo di questa sessione è garantire che il cliente / cliente possa iniziare a vedere nuovi rilevamenti significativi e derivati da strumenti e dati di cui già ti fidi. Credo che questo modo di pensare piacerà al mercato di Hong Kong!
