XNUMX 부 : 사이버 건강 및 사이버 위협 사냥에 대한 이해
JEFF : Cloud Expo에 오신 것을 환영합니다. 사이버 위협 사냥이 무엇인지 설명해 주시겠습니까?
SNEHAL : Jeff, 호스팅 해 주셔서 감사합니다. 먼저 사이버 위협이 무엇인지 이야기 해 봅시다. 누군가가 중요한 디지털 시스템에 침입하여 데이터를 가져 가려고합니다. 세 가지 유형을 설명하겠습니다.
- 위협은 해커 국가의 IP 주소 일 수 있으며 해당 트래픽은 위반의 신호입니다.
- 위협은 누군가가 귀하의 이메일 시스템에 침입하여 신원을 도용하는 것일 수 있습니다. 이제 다른 시스템에 더 많이 액세스 할 수 있습니다.
- 위협은 중요한 서버에서 데이터를 제거하는 사람 일 수 있으며 이제는 랜섬웨어 문제가 있습니다.
JEFF : 사이버 위협 사냥은 매우 복잡한 공격을보고 실제 피해가 발생하기 전에 차단하는 관행이라고 말씀하시는 건가요?
SNEHAL : Jeff를 수정하고 위협 사냥에는 SIEM 로그. 네트워크 트래픽, 행동 분석 및 애플리케이션 인식이 필요합니다. 다양한 도구를 통해 데이터를 상호 연관시킴으로써 모든 IT 인프라에 걸쳐 복잡한 공격을 사전에 파악하고 종합할 수 있습니다. SIEMs만이 이러한 포괄적인 가시성을 갖고 있지 않습니다. 우리는 인공지능(AI)이 더 많은 기업들이 첨단 기술을 활용할 수 있도록 지원하는 핵심 동력이라고 생각합니다. SOC 해결책을 제시합니다. 컴퓨터는 패턴을 파악하는 데 능숙하며, 머신 러닝은 이를 돕는 한 가지 방법입니다. SOC 팀 규모를 확장하여 전략적인 업무에 집중할 수 있도록 합니다.
JEFF : 여기 홍콩에서 AI가 뜨거운 주제라고 생각합니다. 기술에 대해 자세히 알아보기 전에 고객이 Threat Hunting을 지원하기 전에 겪었던 공통적 인 문제를 공유 할 수 있습니까?
SNEHAL : 적절한 도구를 모두 갖추고 있어도 많은 고객이 성공보다는 실패를 공유했습니다. 그 이유를 이해하기 위해 최근에는 Enterprise Strategy Group (ESG로 이동)과 협력하여 아시아의 고객 과제를 이해했습니다. 핵심 결론을 살펴 보겠습니다. 첫째, 위협이 증가하고 있습니다. 응답자의 70 % 이상이 시간이 지남에 따라 더 복잡한 공격을보고 있지만 어떻게해야할지 잘 모르겠습니다.
JEFF : 홍콩에서도 비슷한 문제가 발생합니다. 실제로 최신 업데이트 된 금융 규제 기관의 정책 매뉴얼은 위협 및 취약성 관리의 중요성과 체계적인 모니터링 프로세스의 필요성을 강조합니다.
SNEHAL : 두 번째 결과는 너무 많은 데이터가 유입되는 것에 대한 우려를 보여줍니다. SOC하지만 이렇게 하면 정작 중요한 데이터를 놓치거나, IT 인프라에 대한 정확한 정보를 제공하지 않는 로그를 뒤지는 데 많은 시간을 허비하기 쉽습니다.
JEFF : 그렇기 때문에 홍콩 취업 시장이 좋은 보안 인력에게 경쟁이 치열합니다. 그들은 모두 많은 데이터를 검색하기 위해 쿼리를 작성하는 데 바쁩니다.
SNEHAL : 제프, 공유해 주셔서 감사합니다. 일리가 있네요. 마지막으로, 원격 근무가 보편화되고 인프라의 많은 부분이 온프레미스와 퍼블릭 클라우드 모두에 구축된 상황에서도 70% 이상의 고객이 여전히 사각지대가 있다고 생각한다고 합니다. 다시 한번 말씀드리지만, SIEMs만으로는 위협을 파악하는 데 도움이 되지 않을 것입니다.
JEFF : 새로운 표준의 경우 이기종 환경 간의 확장 성과 상호 운용성이 필수적입니다. 이제 보안 팀에 새로운 아이디어가 필요한 이유를 이해 했으므로 솔루션에 대해 이야기 해 보겠습니다.
SNEHAL : 오늘날의 해커는 기존 방식으로 공격하지 않습니다. 이것이 핵심입니다. 경계 접근 방식은 더 이상 사용자를 보호하지 못합니다. 이제 그들은 낮은 프로필 자산에 액세스하고 더 중요한 시스템에 대한 정보를 수집하기 시작한 다음 더 가치있는 정보를 찾습니다.
JEFF : 슬라이드의 예를 설명해 주시겠습니까?
SNHEAL : 물론, 당신이 당신의 CEO를 비판적인 사람으로 태깅했다고 가정 해 봅시다. 그리고 그들이 도쿄에 로그인 한 다음 XNUMX 시간 후에 시드니 오스트레일리아에 로그인 한 것을 볼 수 있습니다. 그것은 분명히 불가능한 여행 이벤트이지만 그의 로그인은 유효했습니다. 그런 다음 명령을 사용하여 응용 프로그램에 액세스하는 것을 볼 수 있습니다. 예를 들어 SSL을 사용하여 SQL 서버의 데이터에 액세스합니다.
JEFF : CEO가 SSL을 사용하는 이유와 SQL 데이터를 찾는 이유는 무엇입니까? 뭔가 매우 의심 스럽지만 기존 도구와 데이터에서 설정할 수있는 모든 것을 기반으로 세 가지 조치 모두 여전히 유효합니다. 맞습니까?
SNHEAL : 정확히 Jeff는 Threat Hunting에 정말로 필요한 것이 무엇인지 요약하면 모든 도구와 피드를한데 모아 AI로 처리하여 올바른 데이터를 찾기 위해 특별히 제작 된 패턴을 찾는 데 도움을줍니다. 우리는이 전화 열다-XDR 확장된 탐지 및 대응 어떤 시스템, 도구 또는 데이터 피드와도 통합할 수 있는 기능을 갖추고 있습니다. 마치 우리가 방화벽을 강화했던 것처럼 말입니다. SIEM그러므로 우리가 구축하는 방식을 재고할 때입니다. SOC. 도구 모음 -또는- 지능형 플랫폼이 핵심입니다.
JEFF : 그래서 제가 듣는 방식은 바로 Better Visibility에 관한 것입니다! 그리고 AI를 활용하여 복잡한 공격을보다 효율적으로 볼 수있는 올바른 데이터를 얻습니다.
SNEHAL : 맞아요 Jeff
JEFF : 이제 가시성과 AI에 대한이 아이디어를 더 깊이 파헤쳐 보겠습니다.
SNEHAL : 물론 Jeff, 이것이 우리가 생각하는 방식의 기초입니다. 우리는 우리의 생각을 공유하게되어 기쁩니다. 먼저 왼쪽에서 보시는 것처럼 전통적인 방식이 있습니다. SOC 다양한 도구를 보유하고 있습니다. 이 도구들은 모두 각자의 특정 분야에서 뛰어난 성능을 발휘합니다. 예를 들어, SIEM 로그의 경우, UEBA 행동 분석에는 NTA를, 네트워크 트래픽 분석에는 NTA를 사용합니다. 이제 우리가 발견 한 문제는 이러한 도구와 복잡한 공격에 대해 알려주고 놓치고있는 중요한 탐지 사이에 여전히 사각 지대가 있다는 것입니다. 이러한 도구 중 일부가 기계 학습을 사용하는 경우에도 사각 지대는 응집력있는 접근을 방해합니다.
JEFF : 나는 그것이 많은 의미가 있음을 안다. 고객이 이러한 격차를 해소하고 인텔리전스와 포괄적 인 가시성을 확보하기 위해 어떻게 노력해야한다고 생각하는지 궁금합니다.
SNEHAL : 물론 오른쪽에서 모든 도구를한데 모으는 한 가지 방법은 플랫폼에 대해 생각하고 현재 인프라 위에있는 개방형 시스템을 사용하는 것입니다. 복잡한 공격을 하나로 모으는 데 도움이됩니다. 이제는 수집시 모든 데이터가 정규화되는 공통 데이터 레이크가 하나뿐입니다. 이제 분석이 훨씬 빨라지고 AI는 빅 데이터 추세를 적용하여 기간 및 장기 추세를 정렬 할 수 있습니다. 요약하면 모든 소스, 로그, 트래픽, 클라우드, 네트워크, 엔드 포인트, 사용자 및 애플리케이션에 대한 가시성 등 모든 탐지 (모든 데이터)를 시각화, 분석 및 대응할 수있는 하나의 창이 있습니다.
JEFF : 감사합니다 Snehal, 이제 제품이 작동하는 것을 볼 때라고 생각합니다! 라이브 사용 사례를 살펴 보겠습니다. 짧은 데모를 할 수 있습니까?
SNEHAL : 물론입니다. Jeff, 지금 Threat Hunt에 가서 4 가지 주요 단계를 보여 드리겠습니다. 해킹 된 기기를 감지하고 공격을 중지하겠습니다. 이름, 방금 감염된 서버를 식별했습니다. 해킹당했습니다.
JEFF : 당신은 그것을 맞았습니다, 당신의 대시 보드는 사용하기 쉽습니다.
SNEHAL : Jeff에게 감사합니다. 고객이 동의하고 교육에 몇 주가 아닌 며칠 밖에 걸리지 않는다고 말합니다. 이제 보여 드릴게요 초 단계, 저는 읽을 수있는 JSON 인 Interflow 레코드를 열고 있습니다. 이제 그들이이 서버를 어떻게 해킹했는지 볼 수 있습니다.
JEFF : 하나의 파일에 많은 세부 정보가있는 것처럼 보이며, 많은 고객이 이벤트의 전체 그림을 구축하기 위해 여러 도구를 사용해야한다고 불평합니다.
SNEHAL : Jeff에게 감사합니다. 맞습니다. AI가 각 이벤트를 처리하는 방법도 포함되어 있으므로 실행 가능한 기록이 있습니다. 이제 제삼 단계, 나는 장치가 트래픽을 보내는 것을 차단합니다. 저는 Threat Hunting 라이브러리를 사용하여 응답을 트리거하고 포트를 닫았습니다.
JEFF : 통합 플랫폼의 강력한 기능을 확인할 수 있었습니다. 몇 번의 클릭만으로 신속하게 조치를 취할 수 있다는 점이 인상적이었습니다. 바로 이러한 점이 기업들이 효율적인 운영을 할 수 있도록 지원하는 확실한 방법입니다. SOC 더 쉬워요!
SNEHAL : 맞습니다. Jeff는 고객이 생산성을 크게 향상 시켰다고 말합니다. 많은 경우 수십 배 —AI의 힘을 보여주는 가장 좋은 방법입니다.. 이제이 위협 사냥 사용 사례를 네번째 마지막 단계는 앞서 설명한 것처럼 서버가 현재 다른 장치를 감염시키는 지 확인하는 것입니다. 이것은 해커가 사용자 환경의 다른 장치를 감염시키는 일반적인 방법입니다.
이제 다른 많은 장치에주의가 필요합니다.
JEFF : 감사합니다 Snehal, 저는 당신이 정말 많은 일을했다는 것을 볼 수 있다고 확신합니다. 그것은 간단했고 정말 몇 분 밖에 걸리지 않았습니다.
JEFF : 스네 할, 마무리해야 할 것 같아요. 오늘 토론을 요약 해 주 시겠어요?
SNEHAL : 물론 제프, 제가 말할 수있는 가장 중요한 것은 해커들이 새로운 접근 방식을 사용하고 있다는 것입니다. 고객은이를 방지하기 위해 새로운 도구를 찾아야합니다. 그리고 격리 된 도구 대신 도구를 하나로 묶는 플랫폼의 관점에서 생각하십시오. 이제 올바른 데이터를보고, 더 많이 알고, 더 빠르게 대응할 수있는 더 나은 방법이 있습니다. 우리는 고객이 폐쇄 된 시스템에 지쳤다 고 생각하고 공급 업체 종속에 불만을 느낍니다. 시스템은 개방되어야합니다. 또한 새로운 아이디어는 기존의 모든 도구와 데이터 피드를 사용하고 활용하여 더 나은 작업을 수행해야한다고 생각합니다. AI의 힘을 통해.
다음으로 스크립트가 아닌 앱에 대해 생각하십시오. 분석가가 더 빨리 움직이고 채용 할 수있는 인재를 확대하는 데 도움이되는 사전 구축 된 플레이 북 애플리케이션 라이브러리를 보유하십시오.
JEFF : 감사합니다 Snehal, 따라서이 세션의 목표는 고객 / 클라이언트가 이미 신뢰하는 도구 및 데이터에서 파생 된 의미있는 새로운 탐지를 볼 수 있도록하는 것입니다. 나는 홍콩 시장이 이런 생각을 좋아할 것이라고 믿습니다!
