IUWorld Cybersecurity Governance, Risk & Compliance

ส่วนที่ XNUMX: การทำลายสุขภาพไซเบอร์และการล่าสัตว์ด้วยภัยคุกคามทางไซเบอร์

เจฟฟ์: ยินดีต้อนรับสู่ Cloud Expo คุณช่วยอธิบายได้ไหมว่าการล่าภัยคุกคามทางไซเบอร์คืออะไร?

สเนฮาล: เจฟฟ์ขอบคุณที่โฮสต์เรา ก่อนอื่นเรามาดูกันว่าภัยคุกคามทางไซเบอร์คืออะไร - มีคนพยายามแย่งข้อมูลของคุณโดยเจาะเข้าไปในระบบดิจิทัลที่สำคัญของคุณ ให้ฉันอธิบายสามประเภท:

• ภัยคุกคามอาจเป็นที่อยู่ IP จากประเทศของแฮ็กเกอร์และการเข้าชมนั้นเป็นสัญญาณของการละเมิด
• ภัยคุกคามอาจเป็นคนที่บุกรุกเข้ามาในระบบอีเมลของคุณและขโมยข้อมูลประจำตัวตอนนี้พวกเขาสามารถเข้าถึงระบบอื่น ๆ ได้มากขึ้น
• ภัยคุกคามอาจเป็นคนที่ลบข้อมูลออกจากเซิร์ฟเวอร์ที่สำคัญและตอนนี้คุณมีปัญหา ransomware

เจฟฟ์: คุณกำลังบอกว่าการล่าสัตว์คุกคามทางไซเบอร์เป็นการฝึกให้เห็นการโจมตีที่ซับซ้อนมากและหยุดการโจมตีก่อนที่ความเสียหายจะเกิดขึ้นจริงหรือไม่?

สเนฮาล: เจฟฟ์ที่ถูกต้องและการล่าสัตว์คุกคามต้องการมากกว่า SIEM บันทึก คุณต้องการปริมาณการใช้งานเครือข่ายการวิเคราะห์พฤติกรรมและการรับรู้แอปพลิเคชัน ด้วยการเชื่อมโยงข้อมูลจากเครื่องมือที่หลากหลายมากขึ้น คุณจะสามารถรวบรวมข้อมูลเพื่อวิเคราะห์การโจมตีที่ซับซ้อนในโครงสร้างพื้นฐานด้านไอทีทั้งหมดได้อย่างมีประสิทธิภาพ SIEMเฉพาะ s เท่านั้นที่ขาดความครอบคลุมอย่างรอบด้านนี้ นอกจากนี้ เรายังมองว่า AI – ปัญญาประดิษฐ์ – เป็นปัจจัยสำคัญที่จะช่วยให้บริษัทต่างๆ ในวงกว้างสามารถใช้ประโยชน์จากเทคโนโลยีขั้นสูงได้อย่างเต็มที่ SOC วิธีแก้ปัญหา คอมพิวเตอร์เก่งในการมองเห็นรูปแบบ และการเรียนรู้ของเครื่องจักรเป็นวิธีหนึ่งที่จะช่วยได้ SOC ปรับขนาดทีมเพื่อให้พวกเขาสามารถมุ่งเน้นไปที่งานเชิงกลยุทธ์ได้

เจฟฟ์: ฉันเห็นว่า AI เป็นประเด็นร้อนในฮ่องกง - ก่อนที่เราจะเจาะลึกลงไปในเทคโนโลยีคุณสามารถแบ่งปันความท้าทายทั่วไปที่ลูกค้าของคุณมีก่อนที่คุณจะช่วยพวกเขาในการล่าสัตว์คุกคามได้หรือไม่

สเนฮาล: แม้จะมีเครื่องมือที่เหมาะสมทั้งหมด แต่ลูกค้าของเราหลายคนก็แบ่งปันความล้มเหลวมากกว่าความสำเร็จ เพื่อช่วยให้เข้าใจว่าเหตุใดเราเพิ่งทำงานร่วมกับ Enterprise Strategy Group ซึ่งดำเนินการโดย ESG เพื่อทำความเข้าใจกับความท้าทายของลูกค้าในเอเชีย มาดูข้อสรุปที่สำคัญ ประการแรกภัยคุกคามกำลังเพิ่มขึ้น ผู้ตอบแบบสอบถามกว่า 70% เห็นการโจมตีที่ซับซ้อนมากขึ้นเมื่อเวลาผ่านไป แต่ก็ยังไม่แน่ใจว่าจะทำอย่างไร

เจฟฟ์: เราเห็นความท้าทายที่คล้ายกันที่นี่ในฮ่องกง ในความเป็นจริงคู่มือนโยบายของหน่วยงานกำกับดูแลทางการเงินฉบับปรับปรุงล่าสุดเน้นย้ำถึงความสำคัญของภัยคุกคามและการจัดการช่องโหว่และความจำเป็นในกระบวนการตรวจสอบอย่างเป็นระบบ 

สเนฮาล: ผลลัพธ์ที่สองแสดงให้เห็นถึงความกังวลเกี่ยวกับการมีข้อมูลมากเกินไปเข้ามาในระบบ SOCเป็นเรื่องง่ายที่จะพลาดข้อมูลที่ถูกต้อง หรือเสียเวลาไปกับการค้นหาข้อมูลในบันทึกที่ไม่สะท้อนภาพที่แท้จริงของโครงสร้างพื้นฐานด้านไอทีของคุณ

เจฟฟ์:   นี่คือเหตุผลที่ตลาดงานในฮ่องกงมีการแข่งขันกันเพื่อคนที่มีระบบรักษาความปลอดภัยที่ดี พวกเขาทั้งหมดยุ่งอยู่กับการเขียนคำค้นหาเพื่อค้นหาข้อมูลจำนวนมาก

สเนฮาล: ขอบคุณที่แบ่งปันข้อมูลนั้น เจฟฟ์ มันสมเหตุสมผล และสุดท้าย ในเมื่อปัจจุบันพนักงานทำงานจากระยะไกลเป็นเรื่องปกติ และโครงสร้างพื้นฐานหลายด้านของคุณก็อยู่ทั้งในระบบภายในองค์กรและบนคลาวด์สาธารณะ ลูกค้ากว่า 70% ยังคงระบุว่าพวกเขายังคิดว่าตนเองมีจุดบอดอยู่ SIEMการใช้แค่สิ่งเหล่านั้นอย่างเดียวจะไม่ช่วยให้คุณมองเห็นภัยคุกคามได้

เจฟฟ์: สำหรับปกติใหม่ความสามารถในการปรับขนาดและความสามารถในการทำงานร่วมกันในสภาพแวดล้อมที่แตกต่างกันเป็นสิ่งจำเป็น ตอนนี้เรามาพูดถึงวิธีแก้ปัญหาเนื่องจากเราเข้าใจว่าเหตุใดทีมรักษาความปลอดภัยจึงต้องการแนวคิดใหม่ ๆ

สเนฮาล: แฮกเกอร์ในปัจจุบันไม่ได้โจมตีคุณในรูปแบบเดิม ๆ นี่คือกุญแจสำคัญ - วิธีการที่ครอบคลุมจะไม่ทำให้คุณปลอดภัยอีกต่อไป  ตอนนี้พวกเขาสามารถเข้าถึงทรัพย์สินที่มีรายละเอียดต่ำและเริ่มรวบรวมข้อมูลเกี่ยวกับระบบที่สำคัญมากขึ้นจากนั้นพวกเขาก็ไปหาข้อมูลที่มีค่ามากขึ้น 

เจฟฟ์: คุณสามารถอธิบายตัวอย่างบนสไลด์ได้หรือไม่?

หอยเชลล์: แน่นอนสมมติว่าคุณติดแท็กซีอีโอของคุณว่าเป็นบุคคลสำคัญและคุณเพิ่งเห็นว่าพวกเขาเข้าสู่ระบบในโตเกียวและจากนั้นในซิดนีย์ออสเตรเลียในอีกสองชั่วโมงต่อมา เห็นได้ชัดว่าเป็นเหตุการณ์การเดินทางที่เป็นไปไม่ได้ แต่การเข้าสู่ระบบของเขาก็ถูกต้อง จากนั้นคุณเห็นเขาใช้คำสั่งเพื่อเข้าถึงแอปพลิเคชันพูดว่า SSL เพื่อเข้าถึงข้อมูลบนเซิร์ฟเวอร์ SQL

เจฟฟ์:  ทำไม CEO ถึงใช้ SSL และทำไมเขาถึงมองหาข้อมูล SQL? มีบางอย่างที่น่าสงสัยมาก แต่การดำเนินการทั้งสามยังคงถูกต้องตามทุกสิ่งที่เราสร้างได้จากเครื่องมือและข้อมูลที่มีอยู่ใช่ไหม

หอยเชลล์: เจฟฟ์เพื่อสรุปสิ่งที่การล่าสัตว์คุกคามต้องการจริงๆคือวิธีการนำเครื่องมือและฟีดทั้งหมดของคุณมารวมกันและประมวลผลด้วย AI เพื่อช่วยในการค้นหารูปแบบที่สร้างขึ้นเพื่อค้นหาข้อมูลที่ถูกต้อง เราเรียกสิ่งนี้ว่า เปิด-XDR – การตรวจจับและการตอบสนองที่ขยายวงกว้างขึ้น ด้วยความสามารถในการผสานรวมกับระบบ เครื่องมือ หรือแหล่งข้อมูลใดๆ ก็ได้ เช่นเดียวกับที่เราได้เสริมประสิทธิภาพไฟร์วอลล์ด้วย SIEMดังนั้น ถึงเวลาแล้วที่เราจะต้องทบทวนวิธีการสร้าง... SOC. ชุดเครื่องมือ - หรือ - แพลตฟอร์มอัจฉริยะคือกุญแจสำคัญ

เจฟฟ์: วิธีที่ฉันได้ยินก็คือทั้งหมดนี้เกี่ยวกับการมองเห็นที่ดีขึ้นจริงๆ! และใช้ประโยชน์จาก AI เพื่อให้ได้ข้อมูลที่ถูกต้องซึ่งช่วยให้คุณมองเห็นการโจมตีที่ซับซ้อนได้อย่างมีประสิทธิภาพมากขึ้น

สเนฮาล: ใช่แล้วเจฟฟ์

เจฟฟ์: มาเจาะลึกแนวคิดเรื่องการมองเห็นและ AI นี้กัน

สเนฮาล: แน่นอนว่าเจฟฟ์นี่คือรากฐานของวิธีคิดของเรา เรายินดีที่จะแบ่งปันความคิดของเรา อย่างแรกเลย อย่างที่คุณเห็นทางด้านซ้าย คือแบบดั้งเดิม SOC มีชุดเครื่องมือมากมาย เครื่องมือเหล่านี้ล้วนทำงานได้ดีเยี่ยมในด้านเฉพาะของตนเอง เช่น SIEM สำหรับบันทึกข้อมูล UEBA สำหรับพฤติกรรม และ NTA สำหรับปริมาณการรับส่งข้อมูลเครือข่าย ตอนนี้ปัญหาที่เราพบคือยังมีจุดบอดระหว่างเครื่องมือเหล่านี้กับการตรวจจับที่สำคัญที่บอกคุณเกี่ยวกับการโจมตีที่ซับซ้อนและกำลังพลาด แม้ว่าเครื่องมือเหล่านี้บางส่วนจะใช้แมชชีนเลิร์นนิง แต่จุดบอดก็ป้องกันไม่ให้เกิดวิธีการที่เหนียวแน่น

เจฟฟ์: ฉันเห็นว่ามันสมเหตุสมผลมาก ฉันอยากเห็นว่าคุณคิดว่าลูกค้าควรดำเนินการอย่างไรเพื่อปิดช่องว่างเหล่านี้และได้รับทั้งข้อมูลที่ชาญฉลาดและการมองเห็นที่ครอบคลุม

สเนฮาล: ทางด้านขวาเราคิดว่าวิธีหนึ่งในการดึงเครื่องมือทั้งหมดของคุณมารวมกันคือการคิดถึงแพลตฟอร์มเพื่อใช้ระบบเปิดที่อยู่ด้านบนของโครงสร้างพื้นฐานปัจจุบันของคุณ เพื่อช่วยปะติดปะต่อการโจมตีที่ซับซ้อนเข้าด้วยกัน และตอนนี้มี Data Lake เพียงแห่งเดียวโดยข้อมูลทั้งหมดที่นำเข้าจะถูกทำให้เป็นมาตรฐาน - ขณะนี้การวิเคราะห์เร็วขึ้นมากและ AI ช่วยให้คุณใช้แนวโน้มข้อมูลขนาดใหญ่เพื่อจัดเรียงแนวโน้มระยะยาวและระยะยาว โดยสรุปคุณมีบานกระจกหนึ่งบานเพื่อแสดงภาพวิเคราะห์และตอบสนองต่อการตรวจจับทั้งหมด - ข้อมูลทั้งหมด - แหล่งที่มาบันทึกการรับส่งข้อมูลการมองเห็นในระบบคลาวด์เครือข่ายปลายทางผู้ใช้และแอปพลิเคชัน

เจฟฟ์: ขอบคุณ Snehal ฉันคิดว่าถึงเวลาแล้วที่จะได้เห็นผลิตภัณฑ์จริง!  ลองดูกรณีการใช้งานจริง - คุณสามารถสาธิตสั้น ๆ ได้หรือไม่?

สเนฮาล: แน่นอนว่าเจฟฟ์ตอนนี้ฉันกำลังจะไปที่ Threat Hunt และแสดงให้คุณเห็นด้วย 4 ขั้นตอนสำคัญฉันจะตรวจจับอุปกรณ์ที่ถูกแฮ็กและหยุดการโจมตี ชื่อจริงฉันเพิ่งระบุเซิร์ฟเวอร์ที่ติดไวรัสถูกแฮ็ก

เจฟฟ์: คุณเข้าใจถูกแล้วแผงควบคุมของคุณดูใช้งานง่าย

สเนฮาล: ขอบคุณเจฟฟ์ลูกค้าของเราเห็นด้วยและบอกเราว่าการฝึกอบรมใช้เวลาเพียงไม่กี่วันไม่ใช่สัปดาห์ ตอนนี้ให้ฉันแสดงไฟล์ ที่สอง ขั้นตอนฉันกำลังเปิดบันทึก Interflow ซึ่งเป็น JSON ที่อ่านได้ตอนนี้ฉันสามารถดูว่าพวกเขาแฮ็กเซิร์ฟเวอร์นี้ได้อย่างไร 

เจฟฟ์: ที่ดูเหมือนมีรายละเอียดมากมายในไฟล์เดียวลูกค้าของเราหลายคนบ่นว่าพวกเขาต้องใช้เครื่องมือหลายอย่างเพื่อสร้างภาพเหตุการณ์ที่สมบูรณ์

สเนฮาล: ขอบคุณเจฟฟ์ที่ถูกต้องนอกจากนี้ยังรวมถึงวิธีที่ AI ประมวลผลแต่ละเหตุการณ์ดังนั้นคุณจึงมีบันทึกที่ดำเนินการได้ ตอนนี้เรามาดูไฟล์ ที่สาม ขั้นตอนฉันจะบล็อกอุปกรณ์ไม่ให้ส่งการเข้าชม ฉันใช้ไลบรารี Threat Hunting เพื่อเรียกการตอบสนองเพื่อปิดพอร์ต

เจฟฟ์: ฉันมองเห็นพลังของแพลตฟอร์มแบบบูรณาการ – คุณสามารถดำเนินการได้อย่างรวดเร็วด้วยการคลิกเพียงไม่กี่ครั้ง นั่นคือวิธีที่ชัดเจนว่าคุณสามารถช่วยให้องค์กรต่างๆ บริหารจัดการได้อย่างมีประสิทธิภาพมากขึ้น SOC ง่ายขึ้น!

สเนฮาล: ถูกต้องแล้วเจฟฟ์ลูกค้าของเราบอกเราว่าพวกเขาเพิ่มผลผลิตอย่างมากในหลาย ๆ กรณีคำสั่งซื้อขนาดต่างๆ -เป็นวิธีที่ดีที่สุดในการแสดงให้เห็นถึงพลังของ AI. ตอนนี้เรามาจบกรณีการใช้งาน Threat Hunting ด้วย ที่สี่ และขั้นตอนสุดท้ายด้วยการดูว่าเซิร์ฟเวอร์กำลังติดอุปกรณ์อื่นหรือไม่เช่นที่เราพูดถึงในตอนแรกนี่เป็นวิธีที่แฮกเกอร์ทั่วไปติดไวรัสอุปกรณ์อื่นในสภาพแวดล้อมของคุณ
ดูอุปกรณ์อื่น ๆ อีกมากมายตอนนี้ต้องการความสนใจ

เจฟฟ์: ขอบคุณ Snehal ฉันเชื่อว่าฉันเห็นว่าคุณทำอะไรได้มากมายและมันง่ายมากและใช้เวลาเพียงไม่กี่นาทีเท่านั้น

เจฟฟ์: Snehal ฉันคิดว่าเราต้องสรุปเรื่องนี้คุณสามารถสรุปการสนทนาของเราในวันนี้ได้หรือไม่?

สเนฮาล: แน่นอนว่าเจฟฟ์ฉันคิดว่าสิ่งที่สำคัญที่สุดที่ฉันสามารถพูดได้ก็คือตอนนี้แฮกเกอร์กำลังใช้แนวทางใหม่ลูกค้าต้องมองหาเครื่องมือใหม่ ๆ เพื่อต่อสู้กับพวกเขา และแทนที่จะใช้เครื่องมือที่มีการปิดกั้นให้คิดในแง่ของแพลตฟอร์มที่เชื่อมโยงเครื่องมือเข้าด้วยกัน ตอนนี้คุณมีวิธีที่ดีกว่าในการดูข้อมูลที่ถูกต้องเรียนรู้เพิ่มเติมและดำเนินการเพื่อตอบสนองได้เร็วขึ้น เราคิดว่าลูกค้าเบื่อระบบปิดพวกเขาผิดหวังกับการล็อคอินของผู้ขาย - ระบบควรเปิด เรายังคิดว่าแนวคิดใหม่ ๆ จำเป็นต้องใช้และใช้ประโยชน์จากเครื่องมือและฟีดข้อมูลที่มีอยู่ทั้งหมดและทำให้มันทำงานได้ดีขึ้น ผ่านพลังของ AI.

ต่อไปให้นึกถึงแอปไม่ใช่สคริปต์ มีคลังแอปพลิเคชัน Playbook ที่สร้างไว้ล่วงหน้าซึ่งช่วยให้นักวิเคราะห์ของคุณก้าวไปข้างหน้าได้เร็วขึ้นและช่วยให้คุณขยายความสามารถที่คุณสามารถจ้างได้

เจฟฟ์: ขอขอบคุณ Snehal ดังนั้นเป้าหมายของเซสชันนี้คือเพื่อให้แน่ใจว่าลูกค้า / ลูกค้าสามารถเริ่มเห็นการตรวจจับใหม่ ๆ ที่มีความหมายและได้มาจากเครื่องมือและข้อมูลที่คุณเชื่อถืออยู่แล้ว เชื่อว่าตลาดฮ่องกงจะชอบวิธีคิดแบบนี้!