Pesquisar
Feche esta caixa de pesquisa.

Governança, risco e conformidade de segurança cibernética da IUWorld

Parte I: desmistificando a saúde cibernética e a caça às ameaças cibernéticas

JEF: Bem-vindo ao Cloud Expo. Você pode ajudar a explicar o que é a caça às ameaças cibernéticas?

SNEHAL: Jeff, obrigado por nos hospedar. Primeiro, vamos falar sobre o que é uma ameaça cibernética - alguém está tentando roubar seus dados invadindo seus sistemas digitais essenciais. Deixe-me descrever três tipos:

  • Uma ameaça pode ser um endereço IP de um país hacker e esse tráfego é um sinal de violação.
  • Uma ameaça pode ser alguém invadindo seus sistemas de e-mail e roubando identidades, agora eles podem obter mais acesso a outros sistemas.
  • Uma ameaça pode ser alguém que remove dados de servidores críticos - e agora você tem um problema de ransomware.

JEF: Então, você está dizendo que a caça às ameaças cibernéticas é uma prática de ver um ataque muito complexo e interrompê-lo antes que o dano real seja causado?

SNEHAL: Jeff correto, e a caça às ameaças precisa de mais do que SIEM Histórico. Você precisa de tráfego de rede, análise de comportamento e reconhecimento de aplicativos. Ao correlacionar dados em um conjunto mais amplo de ferramentas, você pode reunir de forma proativa ataques complexos em toda a infraestrutura de TI. Os SIEMs por si só não têm essa visibilidade abrangente. Também vemos a IA - inteligência artificial - como um capacitador-chave para ajudar uma comunidade mais ampla de empresas a aproveitar as vantagens das soluções avançadas de SOC. Os computadores são bons em ver padrões e o aprendizado de máquina é uma maneira de ajudar as equipes de SOC a escalar para que possam se concentrar no trabalho estratégico.

JEF: Entendo, IA é um tópico importante aqui em Hong Kong - Antes de nos aprofundarmos na tecnologia, você pode compartilhar os desafios comuns que seus clientes enfrentaram antes de ajudá-los com o Threat Hunting?

SNEHAL: Mesmo com todas as ferramentas certas instaladas, muitos de nossos clientes compartilharam fracassos em vez de sucessos. Para ajudar a entender por que, recentemente trabalhamos com o Enterprise Strategy Group - eles se chamam ESG - para entender os desafios dos clientes na Ásia. Vamos dar uma olhada nas principais conclusões. Primeiro, as ameaças estão aumentando. Mais de 70% dos entrevistados veem ataques mais complexos ao longo do tempo - ainda assim, eles não têm certeza do que fazer

JEF: Vemos desafios semelhantes aqui em Hong Kong. Na verdade, o manual de política do regulador financeiro atualizado mais recente enfatiza a importância do gerenciamento de ameaças e vulnerabilidades e a necessidade de processos de monitoramento sistemáticos. 

SNEHAL: O segundo resultado mostra a preocupação com muitos dados que chegam ao SOC, é fácil perder os dados CORRETOS ou gastar muito tempo pesquisando em logs que não pintam uma imagem real de sua infraestrutura de TI.

JEF:   É por isso que o mercado de trabalho de Hong Kong é tão competitivo para pessoas de boa segurança. Eles estão todos ocupados escrevendo consultas para pesquisar muitos dados.

SNEHAL: Obrigado por compartilhar isso, Jeff, faz sentido e, por último, com trabalhadores remotos agora comuns e muitos aspectos de sua infraestrutura agora tanto no local quanto em nuvens públicas, mais de 70% dos clientes observam que ainda pensam que têm pontos cegos. Novamente, SIEMs por si só não vão ajudá-lo a ver as ameaças

JEF: Para o novo normal, escalabilidade e interoperabilidade em ambientes heterogêneos são essenciais. Agora, vamos falar sobre as soluções, pois entendemos por que as equipes de segurança precisam de novas ideias.

SNEHAL: Os hackers de hoje não atacam você das formas tradicionais - isso é fundamental - uma abordagem de perímetro não protege mais você  Agora, eles obtêm acesso a ativos de baixo perfil e começam a reunir inteligência sobre sistemas mais críticos e, em seguida, procuram informações mais valiosas. 

JEF: Você pode explicar o exemplo do slide?

SHEAL: Claro, digamos que você rotulou seu CEO como uma pessoa crítica e acabou de ver que ele se conectou em Tóquio e, em seguida, em Sydney, Austrália, duas horas depois. Esse é claramente um evento de viagem impossível, mas seu login era válido. Então você o vê usando comandos para acessar um aplicativo, digamos SSL para acessar dados em um servidor SQL.

JEF:  Por que o CEO usaria SSL e por que procuraria dados SQL? Algo é muito suspeito, mas todas as três ações ainda são válidas com base em tudo que podemos estabelecer a partir das ferramentas e dados existentes - certo?

SHEAL: Exatamente Jeff, para resumir o que o Threat Hunting realmente precisa é uma maneira de reunir todas as suas ferramentas e feeds e processá-los com IA para ajudar a encontrar padrões, criados com o propósito de encontrar os dados CORRETOS. Chamamos a isto Open-XDR - detecção e resposta estendidas com a capacidade de integração com qualquer sistema, ferramenta ou alimentação de dados. Assim como aumentamos os firewalls com SIEMs, é hora de reconsiderar como construímos um SOC. Uma coleção de ferramentas - ou - uma plataforma inteligente é a chave.

JEF: Então, pelo que ouvi, é realmente tudo sobre Melhor Visibilidade! E aproveitando a IA para obter os dados CORRETOS que ajudam você a ver o ataque complexo com mais eficiência.

SNEHAL: Isso é exatamente certo Jeff

JEF: Então, vamos nos aprofundar nessa ideia de visibilidade e IA.

SNEHAL: Claro Jeff, esta é a base de como pensamos. Estamos felizes em compartilhar nossos pensamentos. Primeiro, como você pode ver à esquerda, um SOC tradicional tem uma coleção de ferramentas. Todas essas ferramentas fazem um ótimo trabalho em suas áreas específicas - como SIEM para logs, UEBA para comportamento e NTA para tráfego de rede. Agora, o problema que estamos descobrindo é que ainda existem pontos cegos entre essas ferramentas e as detecções críticas que estão informando sobre um ataque complexo e estão sendo ignoradas. Mesmo quando algumas dessas ferramentas usam aprendizado de máquina, os pontos cegos impedem uma abordagem coesa.

JEF: Eu vejo que faz muito sentido. Estou ansioso para ver como você acha que os clientes devem trabalhar para preencher essas lacunas e obter inteligência e visibilidade abrangente.

SNEHAL: Com certeza, à direita - pensamos que uma maneira de reunir todas as suas ferramentas é pensar em plataformas, usar um sistema aberto que fique no topo de sua infraestrutura atual; para ajudar a reunir ataques complexos. E agora há apenas um data lake comum, com todos os dados na ingestão sendo normalizados - a análise agora é muito mais rápida e a IA ajuda você a aplicar tendências de big data para classificar tendências de longo e longo prazo Em resumo, você tem um painel de vidro para visualizar, analisar e responder a todas as detecções - todos os dados - todas as fontes, logs, tráfego, visibilidade em nuvem, rede, endpoints, usuários e aplicativos.

JEF: Obrigado Snehal, acho que é hora de ver o produto em ação!  Vejamos um caso de uso ao vivo - você pode fazer uma pequena demonstração?

SNEHAL: Claro, Jeff, irei ao Threat Hunt agora e mostrarei a você 4 etapas principais, detectarei um dispositivo hackeado e interromperei o ataque. Primeiro nome, Acabei de identificar um servidor infectado, ele foi hackeado.

JEF: Você acertou em cheio, seu painel parece fácil de usar.

SNEHAL: Obrigado Jeff, nossos clientes concordam e nos dizem que o treinamento leva apenas alguns dias, não semanas. Agora deixe-me mostrar-lhe o segundo passo, estou abrindo nosso registro Interflow, que é JSON legível, agora posso ver como eles hackearam este servidor. 

JEF: Parece muitos detalhes em um arquivo, muitos de nossos clientes reclamam que precisam usar várias ferramentas para construir uma imagem completa de um evento

SNEHAL: Obrigado Jeff, isso mesmo, também inclui como a IA processou cada evento, então você tem um registro acionável. Agora vamos olhar para o terceiro passo, vou bloquear o envio de tráfego do dispositivo. Usei nossa biblioteca de Threat Hunting para acionar uma resposta, para fechar a porta.

JEF: Vejo o poder de uma plataforma integrada - você está agindo rapidamente com apenas alguns cliques. É claramente assim que você ajuda as organizações a tornar mais fácil a administração de um SOC!

SNEHAL: É isso mesmo Jeff, nossos clientes nos dizem que aumentaram drasticamente a produtividade, em muitos casos, várias ordens de magnitude -é a melhor maneira de demonstrar o poder da IA. Agora vamos terminar este caso de uso do Threat Hunting com o quarto e a etapa final, ver se o servidor agora está infectando outros dispositivos, como discutimos primeiro, essa é uma forma comum de os hackers infectarem outros dispositivos em seu ambiente.
Veja, muitos outros dispositivos agora precisam de atenção.

JEF: Obrigado Snehal, estou convencido de que posso ver que você realmente fez muito e que foi simples e realmente demorou apenas alguns minutos.

JEF: Snehal, acho que precisamos encerrar isso, você pode resumir nossa discussão de hoje?

SNEHAL: Claro, Jeff, acho que a coisa mais importante que posso dizer é que agora que os hackers estão usando novas abordagens, os clientes precisam procurar novas ferramentas para combatê-los. E, em vez de ferramentas isoladas, pense em termos de uma plataforma que une as ferramentas. Agora você tem uma maneira melhor de ver os dados certos, saber mais e agir para responder com mais rapidez. Achamos que os clientes estão cansados ​​de sistemas fechados, estão frustrados com o aprisionamento do fornecedor - os sistemas devem ser abertos. Também achamos que novas ideias precisam usar e aproveitar todas as ferramentas e feeds de dados existentes - e fazê-los funcionar melhor através do poder da IA.

Em seguida, pense em aplicativos, não em scripts. 
Tenha uma biblioteca de aplicativos de manual pré-construídos que ajudam seus analistas a se moverem mais rapidamente e ajudam a ampliar o talento que você pode contratar

JEF: Obrigado Snehal, Portanto, o objetivo desta sessão é garantir que o cliente / cliente possa começar a ver novas detecções que são significativas e são derivadas de ferramentas e dados nos quais você já confia. Acredito que o mercado de Hong Kong gostará dessa forma de pensar!

Voltar ao Topo