Część I: Demistyfikacja zdrowia w sieci i polowanie na cyberzagrożenia
Jeff: Witamy w Cloud Expo. Czy możesz pomóc wyjaśnić, czym jest polowanie na cyberzagrożenia?
SNEHAL: Jeff, dzięki za przyjęcie nas. Najpierw porozmawiajmy o tym, czym jest cyberzagrożenie - ktoś próbuje przejąć Twoje dane, włamując się do krytycznych systemów cyfrowych. Pozwólcie, że opiszę trzy typy:
- Zagrożeniem może być adres IP z kraju hakera, a ruch ten jest oznaką naruszenia.
- Zagrożeniem może być ktoś, kto włamie się do Twojego systemu poczty e-mail i wykradnie tożsamość, teraz może uzyskać większy dostęp do innych systemów.
- Zagrożeniem może być ktoś, kto usuwa dane z krytycznych serwerów - a teraz masz problem z oprogramowaniem ransomware.
Jeff: Czy twierdzisz, że polowanie na cyberzagrożenia to praktyka polegająca na zobaczeniu bardzo złożonego ataku i zatrzymaniu go, zanim wyrządzą rzeczywiste szkody?
SNEHAL: poprawny Jeff, a polowanie na zagrożenia potrzebuje czegoś więcej niż SIEM dzienniki. Potrzebujesz ruchu sieciowego, analizy zachowań i świadomości aplikacji. Dzięki korelacji danych pochodzących z szerszego zestawu narzędzi można proaktywnie łączyć ze sobą złożone ataki obejmujące całą infrastrukturę IT. SIEMTylko temu brakuje tej kompleksowej widoczności. Uważamy również, że sztuczna inteligencja (AI) jest kluczowym czynnikiem umożliwiającym szerszej społeczności firm korzystanie z zaawansowanych technologii SOC rozwiązań. Komputery dobrze radzą sobie z dostrzeganiem wzorców, a uczenie maszynowe to sposób, aby im pomóc. SOC Zespoły skalują się, aby mogły skupić się na pracy strategicznej.
Jeff: Rozumiem, że sztuczna inteligencja to gorący temat w Hongkongu - zanim zagłębimy się w technologię, czy możesz podzielić się typowymi wyzwaniami, jakie mieli Twoi klienci, zanim pomogłeś im w polowaniu na zagrożenia?
SNEHAL: Nawet mając wszystkie odpowiednie narzędzia, wielu naszych klientów podzielało niepowodzenia, a nie sukcesy. Aby pomóc zrozumieć, dlaczego ostatnio współpracowaliśmy z Enterprise Strategy Group - według ESG - aby zrozumieć wyzwania klientów w Azji. Przyjrzyjmy się kluczowym wnioskom. Po pierwsze, rośnie liczba zagrożeń. Ponad 70% respondentów widzi z czasem bardziej złożone ataki - nadal jednak nie są pewni, co zrobić
Jeff: Podobne wyzwania widzimy tutaj, w Hongkongu. W rzeczywistości najnowszy zaktualizowany podręcznik polityki regulatora finansowego podkreśla znaczenie zarządzania zagrożeniami i słabymi punktami oraz potrzebę systematycznego monitorowania procesów.
SNEHAL: Drugi wynik wskazuje na obawy związane z nadmierną ilością danych napływających do systemu. SOC, łatwo jest przegapić WŁAŚCIWE dane lub spędzić dużo czasu na przeszukiwaniu logów, które nie dają prawdziwego obrazu infrastruktury IT.
Jeff: Dlatego właśnie rynek pracy w Hongkongu jest tak konkurencyjny dla dobrych pracowników ochrony. Wszyscy są zajęci pisaniem zapytań w celu przeszukania dużej ilości danych.
SNEHAL: Dzięki za podzielenie się tym, Jeff, to ma sens. I na koniec, skoro praca zdalna jest teraz powszechna, a wiele aspektów infrastruktury znajduje się zarówno lokalnie, jak i w chmurach publicznych, ponad 70% klientów nadal uważa, że ma „martwe punkty”. Ponownie. SIEMsame w sobie nie pomogą ci dostrzec zagrożeń
Jeff: W nowym normalnym środowisku niezbędna jest wówczas skalowalność i interoperacyjność w środowiskach heterogenicznych. Porozmawiajmy teraz o rozwiązaniach, ponieważ rozumiemy, dlaczego zespoły ds. Bezpieczeństwa potrzebują nowych pomysłów.
SNEHAL: Dzisiejsi hakerzy nie atakują Cię w tradycyjny sposób - to jest kluczowe - podejście obwodowe już Cię nie zabezpiecza Teraz uzyskują dostęp do mało znanych zasobów i zaczynają zbierać informacje o bardziej krytycznych systemach, a następnie sięgają po bardziej wartościowe informacje.
Jeff: Czy możesz wyjaśnić przykład na slajdzie?
UZDROWIENIE: Jasne, powiedzmy, że oznaczyłeś swojego CEO jako osobę krytyczną i widzisz, że zalogował się w Tokio, a następnie w Sydney w Australii dwie godziny później. To z pewnością niemożliwe wydarzenie podróżnicze, ale jego login był ważny. Następnie widzisz, jak używa poleceń, aby uzyskać dostęp do aplikacji, powiedzmy SSL, aby uzyskać dostęp do danych na serwerze SQL.
Jeff: Dlaczego dyrektor generalny miałby używać SSL i dlaczego miałby szukać danych SQL? Coś jest bardzo podejrzane, ale wszystkie trzy działania są nadal ważne w oparciu o wszystko, co możemy ustalić na podstawie istniejących narzędzi i danych - prawda?
UZDROWIENIE: Dokładnie Jeff, podsumowując, czego naprawdę potrzebuje polowanie na zagrożenia, to sposób na połączenie wszystkich narzędzi i źródeł oraz przetworzenie ich za pomocą sztucznej inteligencji w celu znalezienia wzorców stworzonych specjalnie w celu znalezienia WŁAŚCIWYCH danych. Nazywamy to Otwarty-XDR – rozszerzone wykrywanie i reagowanie z możliwością integracji z dowolnym systemem, narzędziem lub źródłem danych. Tak jak rozszerzyliśmy zapory sieciowe o SIEMs, nadszedł czas, aby ponownie rozważyć sposób, w jaki budujemy SOC. Zbiór narzędzi - lub - kluczem jest inteligentna platforma.
Jeff: Tak więc słyszę, że tak naprawdę chodzi o lepszą widoczność! Wykorzystując sztuczną inteligencję, aby uzyskać ODPOWIEDNIE dane, które pomogą Ci skuteczniej zobaczyć złożony atak.
SNEHAL: Dokładnie tak, Jeff
Jeff: Zagłębmy się więc w ideę widoczności i sztucznej inteligencji.
SNEHAL: Jasne, Jeff, to jest podstawa tego, jak myślimy. Chętnie podzielimy się naszymi przemyśleniami. Po pierwsze, jak widać po lewej, tradycyjny SOC ma kolekcję narzędzi. Wszystkie te narzędzia świetnie sprawdzają się w swoich konkretnych obszarach – takich jak SIEM dla kłód, UEBA dla zachowania i NTA dla ruchu sieciowego. Problem, który odkrywamy, polega na tym, że nadal istnieją martwe punkty między tymi narzędziami a krytycznymi wykryciami, które informują o złożonym ataku i są pomijane. Nawet jeśli niektóre z tych narzędzi wykorzystują uczenie maszynowe, martwe punkty uniemożliwiają spójne podejście.
Jeff: Widzę, że to ma sens. Z chęcią zobaczę, jak Twoim zdaniem klienci powinni pracować, aby wypełnić te luki i uzyskać zarówno inteligencję, jak i wszechstronną widoczność.
SNEHAL: Oczywiście, po prawej - uważamy, że jednym ze sposobów połączenia wszystkich narzędzi jest myślenie o platformach, użycie otwartego systemu, który znajduje się na szczycie bieżącej infrastruktury; aby pomóc w złożeniu złożonych ataków. A teraz istnieje tylko jedno wspólne jezioro danych, w którym wszystkie dane w momencie ich pozyskiwania są znormalizowane - analiza jest teraz znacznie szybsza, a sztuczna inteligencja pomaga zastosować trendy dużych zbiorów danych do sortowania trendów długoterminowych i długoterminowych Podsumowując, masz jeden panel do wizualizacji, analizowania i reagowania na wszystkie wykrycia - wszystkie dane - wszystkie źródła, dzienniki, ruch, wgląd w chmurę, sieć, punkty końcowe, użytkowników i aplikacje.
Jeff: Dzięki Snehal, myślę, że nadszedł czas, aby zobaczyć produkt w akcji! Spójrzmy na przypadek użycia na żywo - czy możesz zrobić krótkie demo?
SNEHAL: Jasne, Jeff, idę teraz na Threat Hunt i pokażę ci 4 kluczowe kroki: wykryję zhakowane urządzenie i zatrzymam atak. Imię, Właśnie zidentyfikowałem zainfekowany serwer, został zhakowany.
Jeff: Masz rację, twój pulpit nawigacyjny wygląda na łatwy w użyciu.
SNEHAL: Dzięki Jeff, nasi klienci zgadzają się i mówią nam, że szkolenie trwa tylko dni, a nie tygodnie. Teraz pokażę ci Dopiero krok, otwieram nasz rekord Interflow, który jest czytelnym JSON, teraz widzę, jak włamali się do tego serwera.
Jeff: To wygląda na wiele szczegółów w jednym pliku, wielu naszych klientów narzeka, że muszą użyć kilku narzędzi, aby zbudować pełny obraz wydarzenia
SNEHAL: Dzięki Jeff, zgadza się, obejmuje również sposób przetwarzania każdego zdarzenia przez sztuczną inteligencję, więc masz rekord, który można wykorzystać. Teraz spójrzmy na plik trzeci krok, zablokuję wysyłanie ruchu przez urządzenie. Skorzystałem z naszej biblioteki polowania na zagrożenia, aby wywołać odpowiedź, zamknąć port.
Jeff: Widzę siłę zintegrowanej platformy – szybko podejmujesz działania za pomocą zaledwie kilku kliknięć. Właśnie w ten sposób pomagasz organizacjom w prowadzeniu SOC łatwiej!
SNEHAL: Zgadza się Jeff, nasi klienci mówią nam, że dramatycznie zwiększyli produktywność, w wielu przypadkach o kilka rzędów wielkości—to najlepszy sposób na zademonstrowanie potęgi sztucznej inteligencji. Zakończmy teraz ten przypadek użycia polowania na zagrożenia z rozszerzeniem czwarty i ostatni krok, sprawdzając, czy serwer infekuje teraz inne urządzenia, jak omówiliśmy wcześniej, jest to powszechny sposób, w jaki hakerzy infekują inne urządzenia w Twoim środowisku.
Widzisz, wiele innych urządzeń wymaga teraz uwagi.
Jeff: Dzięki Snehal, jestem przekonany, że widzę, że naprawdę dużo zrobiłeś, a to było proste i zajęło tylko kilka minut.
Jeff: Snehal, myślę, że musimy to zakończyć, czy możesz podsumować naszą dzisiejszą dyskusję?
SNEHAL: Jasne, Jeff, myślę, że najważniejszą rzeczą, jaką mogę teraz powiedzieć, jest to, że hakerzy używają nowych podejść, a klienci muszą przyjrzeć się nowym narzędziom do ich zwalczania. Zamiast narzędzi izolowanych, pomyśl w kategoriach platformy, która łączy narzędzia razem. Teraz masz lepszy sposób, aby zobaczyć właściwe dane, wiedzieć więcej i działać szybciej. Uważamy, że klienci są zmęczeni zamkniętymi systemami, są sfrustrowani blokowaniem dostawcy - systemy powinny być otwarte. Uważamy również, że nowe pomysły muszą wykorzystywać i wykorzystywać wszystkie istniejące narzędzia i źródła danych - i sprawiać, by działały lepiej dzięki mocy sztucznej inteligencji.
Następnie pomyśl o aplikacjach, a nie o skryptach. Miej bibliotekę gotowych aplikacji Playbook, które pomogą Twoim analitykom działać szybciej i pomogą Ci poszerzyć zakres talentów, z których możesz zatrudnić
Jeff: Dzięki Snehal, więc celem tej sesji jest upewnienie się, że klient / klient może zacząć widzieć nowe wykrycia, które są znaczące i pochodzą z narzędzi i danych, którym już ufasz. Wierzę, że rynek w Hongkongu polubi ten sposób myślenia!
