Deel I: Ontrafeling van cybergezondheid en jacht op cyberdreigingen
JEF: Welkom bij Cloud Expo, kunt u alstublieft helpen uitleggen wat het jagen op cyberdreigingen is?
SNEHAL: Jeff, bedankt voor het hosten van ons. Laten we eerst eens kijken wat een cyberdreiging is: iemand probeert uw gegevens te bemachtigen door in te breken in uw kritieke digitale systemen. Ik zal drie soorten beschrijven:
- Een bedreiging kan een IP-adres van een hackerland zijn, en dat verkeer is een teken van een inbreuk.
- Een bedreiging kan zijn dat iemand in uw e-mailsystemen inbraak en identiteiten steelt, nu kunnen ze meer toegang krijgen tot andere systemen.
- Een bedreiging kan iemand zijn die gegevens van kritieke servers verwijdert - en nu heb je een ransomwareprobleem.
JEF: Dus u zegt dat het jagen op cyberdreigingen een praktijk is om een zeer complexe aanval te zien en deze te stoppen voordat er echte schade is aangericht?
SNEHAL: correct Jeff, en de jacht op bedreigingen heeft meer nodig dan SIEM logboeken. U hebt netwerkverkeer, gedragsanalyses en toepassingsbewustzijn nodig. Door gegevens uit een breder scala aan tools te correleren, kunt u proactief complexe aanvallen op de gehele IT-infrastructuur in kaart brengen. SIEMAlleen zij missen dit alomvattende inzicht. We zien AI – kunstmatige intelligentie – ook als een belangrijke factor die een bredere groep bedrijven in staat stelt te profiteren van geavanceerde technologieën. SOC oplossingen. Computers zijn goed in het herkennen van patronen, en machine learning is een manier om daarbij te helpen. SOC Teams schalen op zodat ze zich kunnen concentreren op strategisch werk.
JEF: Ik snap het, AI is een hot topic hier in Hong Kong - Kun je, voordat we dieper ingaan op technologie, de gemeenschappelijke uitdagingen delen die je klanten hadden voordat je ze hielp met Threat Hunting?
SNEHAL: Zelfs met de juiste tools, deelden veel van onze klanten eerder mislukkingen dan successen. Om te helpen begrijpen waarom, hebben we onlangs samengewerkt met Enterprise Strategy Group - zij gaan door ESG - om de uitdagingen van klanten in Azië te begrijpen. Laten we eens kijken naar de belangrijkste conclusies. Ten eerste nemen de bedreigingen toe. Meer dan 70% van de respondenten ziet in de loop van de tijd complexere aanvallen, maar ze weten niet zeker wat ze moeten doen
JEF: We zien vergelijkbare uitdagingen hier in Hong Kong. In feite benadrukt het meest recente bijgewerkte beleidshandboek van de financiële toezichthouder het belang van het beheer van bedreigingen en kwetsbaarheden en de noodzaak van systematische monitoringprocessen.
SNEHAL: Het tweede resultaat wijst op bezorgdheid over de te grote hoeveelheid gegevens die binnenkomen. SOCHet is dan ook makkelijk om de JUISTE gegevens over het hoofd te zien, of veel tijd te besteden aan het doorzoeken van logbestanden die geen volledig beeld geven van uw IT-infrastructuur.
JEF: Daarom is de arbeidsmarkt in Hongkong zo competitief voor goede beveiligingsmensen. Ze zijn allemaal druk bezig met het schrijven van vragen om veel gegevens te doorzoeken.
SNEHAL: Bedankt voor het delen, Jeff, het is logisch. En tot slot, nu thuiswerken de norm is en veel aspecten van je infrastructuur zich zowel on-premises als in de publieke cloud bevinden, geeft meer dan 70% van de klanten aan dat ze nog steeds blinde vlekken hebben. Nogmaals. SIEMAlleen al het gebruik van s zal je niet helpen om bedreigingen te herkennen.
JEF: Voor de nieuwe norm zijn schaalbaarheid en interoperabiliteit tussen heterogene omgevingen dan essentieel. Laten we het nu hebben over de oplossingen, aangezien we begrijpen waarom beveiligingsteams nieuwe ideeën nodig hebben.
SNEHAL: De hackers van tegenwoordig vallen u niet op de traditionele manieren aan - dit is de sleutel - een perimeterbenadering beschermt u niet langer Nu krijgen ze toegang tot onopvallende middelen en beginnen ze informatie te verzamelen over kritischer systemen, waarna ze meer waardevolle informatie gaan zoeken.
JEF: Kunt u het voorbeeld op de dia uitleggen?
SNHEAL: Laten we zeggen dat je je CEO hebt getagd als een kritisch persoon, en je ziet gewoon dat ze zich hebben aangemeld in Tokio en vervolgens in Sydney, Australië, twee uur later. Dat is duidelijk een onmogelijke reisgebeurtenis, maar toch was zijn login geldig. Dan zie je hem commando's gebruiken om toegang te krijgen tot een applicatie, zeg SSL om toegang te krijgen tot gegevens op een SQL-server.
JEF: Waarom zou de CEO SSL gebruiken en waarom zou hij op zoek zijn naar SQL-gegevens? Iets is erg verdacht, maar alle drie de acties zijn nog steeds geldig op basis van alles wat we kunnen vaststellen op basis van de bestaande tools en gegevens - toch?
SNHEAL: Precies Jeff, om samen te vatten wat Threat Hunting echt nodig heeft, is een manier om al je tools en feeds bij elkaar te brengen en deze te verwerken met AI om patronen te helpen vinden, speciaal gebouwd om de JUISTE gegevens te vinden. We noemen dit Open-XDR – uitgebreide detectie en respons met de mogelijkheid om te integreren met elk systeem, elke tool of elke datafeed. Net zoals we firewalls hebben uitgebreid met SIEMHet is tijd om te heroverwegen hoe we bouwen. SOC. Een verzameling tools - of - een intelligent platform is de sleutel.
JEF: Dus de manier waarop ik dit hoor, is dat het echt allemaal om een betere zichtbaarheid gaat! En door AI te gebruiken om de JUISTE gegevens te krijgen die u helpen de complexe aanval efficiënter te bekijken.
SNEHAL: Dat klopt precies, Jeff
JEF: Dus laten we dieper ingaan op dit idee van zichtbaarheid en AI.
SNEHAL: Zeker Jeff, dit is de basis van hoe we denken. Wij denken graag met u mee. Ten eerste, zoals je links kunt zien, een traditionele SOC heeft een verzameling gereedschappen. Deze gereedschappen doen allemaal uitstekend werk op hun specifieke gebied – zoals SIEM voor logboeken, UEBA voor gedrag en NTA voor netwerkverkeer. Het probleem dat we nu ontdekken, is dat er nog steeds blinde vlekken zijn tussen deze tools en kritieke detecties die je vertellen over een complexe aanval en die worden gemist. Zelfs wanneer sommige van deze tools machine learning gebruiken, verhinderen de blinde vlekken een samenhangende aanpak.
JEF: Ik zie dat dat heel logisch is. Ik ben benieuwd hoe u denkt dat klanten moeten werken om deze hiaten te dichten en zowel intelligentie als uitgebreide zichtbaarheid te krijgen.
SNEHAL: Absoluut, aan de rechterkant - we denken dat een manier om al uw tools samen te brengen, is door na te denken over platforms, door een open systeem te gebruiken dat bovenop uw huidige infrastructuur staat; om complexe aanvallen samen te brengen. En nu is er slechts één gemeenschappelijk datameer, waarbij alle gegevens bij opname worden genormaliseerd - analyse is nu veel sneller en AI helpt u big data-trending toe te passen om termijn- en langetermijntrends te sorteren Samenvattend heeft u één venster om alle detecties - alle gegevens - alle bronnen, logboeken, verkeer, zichtbaarheid in de cloud, netwerk, eindpunten, gebruikers en applicaties te visualiseren, analyseren en erop te reageren.
JEF: Bedankt Snehal, ik denk dat het tijd is om het product in actie te zien! Laten we eens kijken naar een live use case - kun je een korte demo doen?
SNEHAL: Natuurlijk Jeff, ik ga nu naar Threat Hunt en laat je met 4 belangrijke stappen zien dat ik een gehackt apparaat zal detecteren en de aanval zal stoppen. Voornaam*, Ik heb zojuist een geïnfecteerde server geïdentificeerd, deze is gehackt.
JEF: Daar heb je gelijk in, je dashboard ziet er gebruiksvriendelijk uit.
SNEHAL: Bedankt Jeff, onze klanten zijn het daarmee eens en vertellen ons dat training slechts dagen duurt, niet weken. Laat me je nu de tweede stap, ik open ons Interflow-record, dat leesbaar is in JSON, nu kan ik zien hoe ze deze server hebben gehackt.
JEF: Dat ziet eruit als veel details in één bestand, veel van onze klanten klagen dat ze verschillende tools moeten gebruiken om een compleet beeld van een evenement te maken
SNEHAL: Bedankt Jeff, dat klopt, het bevat ook hoe de AI elke gebeurtenis heeft verwerkt, dus je hebt een actiegericht record. Laten we nu eens kijken naar de derde stap, zal ik het apparaat blokkeren voor het verzenden van verkeer. Ik heb onze Threat Hunting-bibliotheek gebruikt om een reactie te activeren, om de poort te sluiten.
JEF: Ik zie de kracht van een geïntegreerd platform: je kunt snel actie ondernemen met slechts een paar klikken. Zo help je organisaties duidelijk om hun bedrijfsvoering te vereenvoudigen. SOC makkelijker!
SNEHAL: Dat klopt Jeff, onze klanten vertellen ons dat ze de productiviteit drastisch hebben verhoogd, in veel gevallen verschillende ordes van grootte-het is de beste manier om de kracht van AI te demonstreren. Laten we deze use-case Threat Hunting nu afronden met de vierde en als laatste stap, door te kijken of de server nu andere apparaten infecteert, zoals we eerst hebben besproken, is dit een veel voorkomende manier waarop hackers andere apparaten in uw omgeving infecteren.
Kijk, veel andere apparaten hebben nu aandacht nodig.
JEF: Bedankt Snehal, ik ben ervan overtuigd dat ik kan zien dat je echt veel hebt gedaan en dat was simpel en duurde maar een paar minuten.
JEF: Snehal, ik denk dat we dit moeten afronden, kun je onze discussie vandaag samenvatten?
SNEHAL: Zeker Jeff, ik denk dat het belangrijkste dat ik kan zeggen is dat nu hackers nieuwe benaderingen gebruiken, klanten naar nieuwe tools moeten kijken om ze te bestrijden. En denk in plaats van in silo's opgebouwde tools in termen van een platform dat tools met elkaar verbindt. U heeft nu een betere manier om de juiste gegevens te zien, meer te weten en sneller te reageren. We denken dat klanten gesloten systemen beu zijn, ze zijn gefrustreerd door vendor lock-in - systemen zouden open moeten zijn. We denken ook dat nieuwe ideeën alle bestaande tools en datafeeds moeten gebruiken en benutten - en ze beter moeten laten werken door de kracht van AI.
Denk vervolgens aan apps, niet aan scripts. Beschikken over een bibliotheek met kant-en-klare playbook-applicaties waarmee uw analisten sneller kunnen werken en waarmee u het talent dat u kunt inhuren kunt uitbreiden
JEF: Bedankt Snehal, dus het doel van deze sessie is ervoor te zorgen dat de klant / klant nieuwe detecties kan gaan zien die zinvol zijn en zijn afgeleid van tools en gegevens die je al vertrouwt. Ik denk dat de Hong Kong-markt deze manier van denken leuk zal vinden!
