パート I: サイバーヘルスとサイバー脅威ハンティングの謎を解く
ジェフ: Cloud Expo へようこそ。サイバー脅威ハンティングとは何かを説明していただけますか?
スネハル: ジェフ、私たちを招待してくれてありがとう。 まず、サイバー脅威とは何かについてお話ししましょう。誰かがあなたの重要なデジタル システムに侵入してデータを盗もうとしているのです。 3つのタイプについて説明します。
- 脅威はハッカーの国からの IP アドレスである可能性があり、そのトラフィックは侵入の兆候です。
- 脅威とは、誰かが電子メール システムに侵入して個人情報を盗み、他のシステムへのアクセス権を獲得することです。
- 脅威は、重要なサーバーからデータを削除する人物である可能性があり、この場合、ランサムウェアの問題が発生します。
ジェフ: ということは、サイバー脅威ハンティングとは、非常に複雑な攻撃を発見し、実際の被害が発生する前にそれを阻止する行為だということですか?
スネハル: ジェフ、その通り。脅威ハンティングには SIEM ログ。ネットワーク トラフィック、動作分析、アプリケーション認識が必要です。 より広範なツールセットにわたってデータを相関させることにより、すべての IT インフラストラクチャにわたる複雑な攻撃をプロアクティブに把握できます。 SIEM単独ではこの包括的な可視性が欠けています。 私たちは、AI(人工知能)が、より幅広い企業が高度な技術を活用できるようにするための重要な手段であると考えています。 SOC 解決策。コンピューターはパターンを認識するのが得意で、機械学習はその助けとなる。 SOC チームの規模が拡大し、戦略的な仕事に集中できるようになります。
ジェフ: なるほど、香港では AI が話題になっていますね。テクノロジーについてさらに詳しく掘り下げる前に、脅威ハンティングでお客様を支援する前に、お客様が抱えていた共通の課題について教えていただけますか?
スネハル: 適切なツールがすべて導入されているにもかかわらず、多くのお客様は成功よりも失敗を共有していました。 その理由を理解するために、私たちは最近、Enterprise Strategy Group (ESG) と協力し、アジアの顧客の課題を理解しました。主な結論を見てみましょう。 まず、脅威は増加しています。回答者の70%以上が、時間の経過とともに攻撃がより複雑になっていると感じていますが、それでも何をすべきか確信が持てません。
ジェフ: 香港でも同様の課題が見られます。実際、最新の金融規制当局の政策マニュアルでは、脅威と脆弱性の管理の重要性と、体系的な監視プロセスの必要性が強調されています。
スネハル: 2番目の結果は、データが多すぎることへの懸念を示している。 SOC、正しいデータを見逃したり、IT インフラストラクチャの実際の状況を示していないログの検索に多くの時間を費やしたりすることになりがちです。
ジェフ: 香港の求人市場では、優秀なセキュリティ人材の獲得競争が激しいのはそのためです。セキュリティ人材は皆、大量のデータを検索するためのクエリを書くのに忙しくしています。
スネハル: ジェフ、シェアしてくれてありがとう。なるほど。最後に、リモートワークが当たり前になり、インフラの多くの側面がオンプレミスとパブリッククラウドの両方で利用されるようになったにもかかわらず、70%以上のお客様がまだ盲点があると考えているようです。繰り返しになりますが、 SIEMだけでは脅威を察知することはできない
ジェフ: ニューノーマルでは、異機種環境間でのスケーラビリティと相互運用性が不可欠です。セキュリティ チームに新しいアイデアが必要な理由を理解した上で、ソリューションについてお話ししましょう。
スネハル: 今日のハッカーは従来の方法で攻撃してきません。これが重要です。境界アプローチではもはや安全を確保できません。 現在、彼らは目立たない資産にアクセスし、より重要なシステムに関する情報を収集し始め、その後、より価値のある情報を求めています。
ジェフ: スライドの例を説明していただけますか?
スニール: 確かに、CEO を重要人物としてタグ付けし、その人が東京でログインし、その 2 時間後にオーストラリアのシドニーでログインしたことがわかるとします。これは明らかにあり得ない旅行イベントですが、彼のログインは有効でした。 次に、コマンドを使用してアプリケーションにアクセスし、たとえば SSL を使用して SQL サーバー上のデータにアクセスする様子がわかります。
ジェフ: CEO が SSL を使用し、SQL データを探しているのはなぜでしょうか? 何かが非常に疑わしいですが、既存のツールとデータから確立できるすべてのものに基づくと、3 つのアクションはすべて依然として有効です。そうですよね?
スニール: まさにその通りです、ジェフ。まとめると、脅威ハンティングに本当に必要なのは、すべてのツールとフィードを統合し、それを AI で処理してパターンを見つけ、適切なデータを見つけることに特化した方法です。 私たちは、これを呼び出します 開いた-XDR –拡張された検出と対応 あらゆるシステム、ツール、データフィードと統合できる機能を備えています。ファイアウォールを SIEMでは、どのように構築するかを再考する時が来ています SOC. ツールのコレクション - または - インテリジェントなプラットフォームが鍵となります。
ジェフ: つまり、私が聞いたところによると、これは本当に「よりよい可視性」に関することなのです。 また、AI を活用して適切なデータを取得し、複雑な攻撃をより効率的に把握できるようになります。
スネハル: まさにその通りだ、ジェフ
ジェフ: それでは、可視性と AI という考え方についてさらに詳しく見ていきましょう。
スネハル: そうですね、ジェフ。これが私たちの考え方の基盤です。私たちは喜んで考えを共有します。 まず左側に見られるように、伝統的な SOC ツールのコレクションがあります。これらのツールはすべて、それぞれの分野で優れた機能を発揮します。 SIEM ログの場合、 UEBA 動作については 、ネットワーク トラフィックについては NTA を使用します。 現在、私たちが発見している問題は、これらのツールと、複雑な攻撃を知らせる重要な検出との間に、依然として盲点があり、見逃されているということです。これらのツールの一部が機械学習を使用している場合でも、盲点があるために一貫したアプローチが妨げられます。
ジェフ: それはとても理にかなっていると思います。これらのギャップを埋め、インテリジェンスと包括的な可視性の両方を獲得するために、顧客がどのように取り組むべきか、ぜひお聞かせください。
スネハル: まさにその通りです。すべてのツールを統合する方法の 1 つは、プラットフォームについて考え、現在のインフラストラクチャの上にあるオープン システムを使用して、複雑な攻撃をまとめることだと考えます。そして、今では共通のデータ レイクが 1 つだけになり、取り込まれたすべてのデータが正規化されます。分析ははるかに高速になり、AI によってビッグ データの傾向を適用して、短期的および長期的な傾向を分類できるようになります。 要約すると、すべての検出、すべてのデータ、すべてのソース、ログ、トラフィック、クラウド、ネットワーク、エンドポイント、ユーザー、アプリケーションの可視性を 1 つの画面で視覚化し、分析し、対応できるようになります。
ジェフ: ありがとう、Snehal。そろそろ製品が実際に動作するところを見てみたいと思います! 実際の使用例を見てみましょう。短いデモを行っていただけますか?
スネハル: はい、ジェフ。今から Threat Hunt を実行して、ハッキングされたデバイスを検出し、攻撃を阻止する 4 つの重要な手順を説明します。 最初感染したサーバーを特定しました。ハッキングされています。
ジェフ: まさにその通りです。ダッシュボードは使いやすそうです。
スネハル: ジェフ、ありがとう。私たちの顧客も同意してくれ、トレーニングは数週間ではなく数日で済むと言っています。それでは、 2番目の ステップ 1: 読み取り可能な JSON である Interflow レコードを開きます。これで、このサーバーがどのようにハッキングされたかがわかります。
ジェフ: 1つのファイルに多くの詳細が含まれているように見えますが、多くのお客様は、イベントの全体像を把握するために複数のツールを使用しなければならないと不満を述べています。
スネハル: ありがとう、ジェフ。その通りです。AIが各イベントをどのように処理したかも含まれます。つまり、実用的な記録になります。では、 三番 ステップ 1 では、デバイスがトラフィックを送信するのをブロックします。Threat Hunting ライブラリを使用して応答をトリガーし、ポートを閉じます。
ジェフ: 統合プラットフォームの力を感じます。数回クリックするだけですぐに行動に移せますね。まさにこれが、組織の運営をスムーズにするお手伝いをしているのです。 SOC より簡単に!
スネハル: そうです、ジェフ。私たちの顧客は生産性が劇的に向上したと語っています。多くの場合、生産性は数桁向上しました。AIの力を示す最良の方法だ. さて、この脅威ハンティングのユースケースを終えましょう。 第4 そして最後のステップとして、サーバーが他のデバイスに感染しているかどうかを確認します。最初に説明したように、これはハッカーが環境内の他のデバイスに感染させる一般的な方法です。
ご覧のとおり、他の多くのデバイスにも注意が必要です。
ジェフ: ありがとう、Snehal。本当にたくさんのことをやってくれて、簡単でほんの数分しかかからなかったことがよくわかりました。
ジェフ: Snehalさん、そろそろ締めくくりたいと思います。今日の議論を要約していただけますか?
スネハル: そうですね、ジェフ。私が言える最も重要なことは、ハッカーが新しいアプローチを使用している今、顧客はハッカーに対抗するための新しいツールを検討する必要があるということです。そして、サイロ化されたツールではなく、ツールを結び付けるプラットフォームの観点から考えてください。これで、適切なデータを確認し、より多くの情報を得て、より迅速に対応するためのより優れた方法が得られます。 顧客はクローズドなシステムに飽き飽きしており、ベンダーロックインに不満を抱いていると考えており、システムはオープンであるべきだと考えています。 また、新しいアイデアには既存のツールやデータフィードをすべて活用し、より効果的に機能させる必要があると考えています。 AIの力で.
次に、スクリプトではなくアプリについて考えます。 アナリストの作業を迅速化し、採用できる人材の幅を広げるのに役立つ、構築済みのプレイブックアプリケーションのライブラリを用意しましょう。
ジェフ: ありがとう、Snehal。このセッションの目標は、顧客/クライアントが、すでに信頼しているツールとデータから得られる、意味のある新しい検出を確認できるようにすることです。香港市場では、この考え方が受け入れられると思います。
