Bahagi I: Demystifying Cyber Health at Cyber Threat Hunting
JEFF: Maligayang pagdating sa Cloud Expo, maaari ba ninyong tulungan na ipaliwanag kung ano ang pangangaso sa banta sa cyber?
SNEHAL: Jeff, salamat sa pagho-host sa amin. Pag-usapan muna natin kung ano ang isang banta sa cyber -– may isang taong sumusubok na kunin ang iyong data sa pamamagitan ng pagsali sa iyong mga kritikal na digital na system. Hayaan akong ilarawan ang tatlong uri:
- Ang isang banta ay maaaring isang IP address mula sa isang hacker na bansa, at ang trapikong iyon ay tanda ng isang paglabag.
- Ang isang banta ay maaaring isang taong sumisira sa iyong mga system ng email at magnakaw ng pagkakakilanlan, ngayon makakakuha sila ng mas maraming pag-access sa iba pang mga system.
- Ang isang banta ay maaaring isang tao na nagtanggal ng data mula sa mga kritikal na server — at mayroon ka ngayong isyu ng ransomware.
JEFF: Kaya't sinasabi mo ba na ang pangangaso sa banta sa cyber ay isang kasanayan na makakita ng isang napaka-kumplikadong pag-atake at ihinto ito bago magawa ang totoong pinsala?
SNEHAL: iwasto si Jeff, at ang pangangaso ng banta ay nangangailangan ng higit pa sa SIEM mga troso Kailangan mo ng trapiko sa network, analytics ng pag-uugali at kamalayan ng application. Sa pamamagitan ng pag-uugnay ng datos sa mas malawak na hanay ng mga tool, maaari mong aktibong pagsama-samahin ang mga kumplikadong pag-atake sa lahat ng imprastraktura ng IT. SIEMtanging ang kulang sa komprehensibong kakayahang makitang ito. Nakikita rin namin ang AI – artificial intelligence – bilang isang pangunahing tagapagtaguyod upang matulungan ang mas malawak na komunidad ng mga kumpanya na samantalahin ang mga advanced na SOC mga solusyon. Mahusay ang mga computer sa pagtingin ng mga pattern, at ang machine learning ay isang paraan upang makatulong SOC lumalawak ang mga koponan upang makapagtuon sila sa estratehikong gawain.
JEFF: Kita ko, ang AI ay mainit na paksa dito sa Hong Kong - Bago natin lubusang makalimutan ang teknolohiya, maaari mo bang ibahagi ang mga karaniwang hamon na mayroon ang iyong mga customer bago mo sila tinulungan sa Pangangaso ng Banta?
SNEHAL: Kahit na sa lahat ng mga tamang tool sa lugar, marami sa aming mga customer ang nagbahagi ng mga pagkabigo sa halip na mga tagumpay. Upang matulungan na maunawaan kung bakit, nagtrabaho kami kamakailan sa Enterprise Strategy Group - dumaan sila sa ESG - upang maunawaan ang mga hamon ng customer sa Asya. Tingnan natin ang mga pangunahing konklusyon. Una, tumataas ang mga banta. Mahigit sa 70% ng mga respondente ang nakakakita ng mas kumplikadong pag-atake sa paglipas ng panahon — gayon pa man, hindi sila sigurado kung ano ang gagawin
JEFF: Nakikita natin ang mga katulad na hamon dito sa Hong Kong. Sa katunayan ang pinakabagong na-update na patnubay sa patakaran ng financial regulator ay binibigyang diin ang kahalagahan sa banta at pamamahala ng kahinaan at ang pangangailangan para sa sistematikong mga proseso ng pagsubaybay.
SNEHAL: Ang pangalawang resulta ay nagpapakita ng pag-aalala tungkol sa napakaraming datos na pumapasok sa SOC, madaling makaligtaan ang TAMANG datos, o gumugol ng maraming oras sa paghahanap sa mga log na hindi nagpapakita ng tunay na larawan ng iyong imprastraktura ng IT.
JEFF: Kaya't ito ang dahilan kung bakit ang mapagkumpitensyang merkado ng trabaho sa Hong Kong para sa mahusay na mga taong may seguridad. Lahat sila ay abala sa pagsusulat ng mga query upang maghanap sa pamamagitan ng maraming data.
SNEHAL: Salamat sa pagbabahagi niyan Jeff, may katuturan naman, at panghuli, dahil karaniwan na ang mga remote worker ngayon at maraming aspeto ng iyong imprastraktura ngayon, parehong on-premises at nasa public clouds, mahigit 70% ng mga customer ang nagsasabing sa tingin pa rin nila ay mayroon silang mga blind spot. Muli, SIEMHindi lang iyon makakatulong sa iyo na makita ang mga banta
JEFF: Para sa bagong normal, scalability at interoperability sa buong heterogenous na mga kapaligiran ay mahalaga pagkatapos. Ngayon, pag-usapan natin ang tungkol sa mga solusyon, dahil nauunawaan natin kung bakit kailangan ng mga bagong koponan ng seguridad ng mga bagong ideya.
SNEHAL: Ang mga hacker ngayon ay hindi ka inaatake sa tradisyunal na paraan — ito ang susi — ang isang diskarte sa perimeter ay hindi ka na sinisiguro Ngayon, nakakuha sila ng pag-access sa mga low-profile na assets at nagsimulang mangalap ng katalinuhan tungkol sa mas mga kritikal na system, pagkatapos ay pumunta sila para sa mas maraming mahalagang impormasyon.
JEFF: Maaari mo bang ipaliwanag ang halimbawa sa slide?
SNHEAL: Oo naman, sabihin nating nai-tag mo ang iyong CEO bilang isang kritikal na tao, at makikita mo lang na nag-log in sila sa Tokyo at pagkatapos ay sa Sydney Australia makalipas ang dalawang oras. Maliwanag na isang imposibleng kaganapan sa paglalakbay iyon, ngunit wasto ang kanyang pag-log in. Pagkatapos ay nakikita mo siyang gumagamit ng mga utos upang ma-access ang isang application, sabihin ang SSL upang ma-access ang data sa isang SQL server.
JEFF: Bakit gagamit ng SSL ang CEO at bakit siya maghahanap ng data ng SQL? May isang bagay na kahina-hinala, ngunit ang lahat ng tatlong mga pagkilos ay may bisa pa rin batay sa lahat ng maaari naming maitaguyod mula sa mga mayroon nang mga tool at data — tama ba?
SNHEAL: Saktong Jeff, upang buod kung ano talaga ang kailangan ng Threat Hunting ay isang paraan upang pagsama-samahin ang lahat ng iyong mga tool at feed, at iproseso ito sa AI upang makatulong na makahanap ng mga pattern, binuo ng layunin upang mahanap ang TAMA na data. Tinatawag namin ito Bukas-XDR –pinalawak na pagtuklas at tugon na may kakayahang mag-integrate sa anumang system, tool o data feed. Tulad ng pagpapalawak namin ng mga firewall gamit ang SIEMs, panahon na para pag-isipang muli kung paano tayo bubuo ng isang SOC. Isang koleksyon ng mga tool - o - isang matalinong platform ang susi.
JEFF: Kaya ang paraang naririnig ko ito, talagang tungkol sa Better Visibility ang lahat! At ang paggamit ng AI upang makuha ang tamang data na makakatulong sa iyong makita ang mas kumplikadong pag-atake nang mas mahusay.
SNEHAL: Sakto talaga Jeff
JEFF: Kaya't maghukay tayo ng mas malalim sa ideyang ito ng kakayahang makita at AI.
SNEHAL: Sure Jeff, ito ang pundasyon ng kung paano tayo nag-iisip. Masaya kaming ibinahagi ang aming saloobin. Una gaya ng makikita mo sa kaliwa, isang tradisyonal SOC ay may koleksyon ng mga kagamitan. Ang mga kagamitang ito ay mahusay na gumagana sa kani-kanilang mga partikular na larangan – tulad ng SIEM para sa mga troso, UEBA para sa pag-uugali at NTA para sa trapiko sa network. Ngayon, ang isyu na aming nahahanap ay mayroon pa ring mga blind spot sa pagitan ng mga tool na ito at mga kritikal na pagtuklas na nagsasabi sa iyo tungkol sa isang komplikadong pag-atake at napalampas. Kahit na ang ilan sa mga tool na ito ay gumagamit ng pag-aaral ng makina, pinipigilan ng mga blind spot ang isang cohesive na diskarte.
JEFF: Nakikita ko na may katuturan. Masigasig akong makita kung paano sa tingin mo dapat gumana ang mga customer upang isara ang mga puwang na ito at makakuha ng parehong talino at komprehensibong kakayahang makita.
SNEHAL: Totoong, sa kanan - sa palagay namin ang isang paraan upang magkasama ang lahat ng iyong mga tool ay mag-isip tungkol sa mga platform, upang magamit ang isang bukas na system na nakaupo sa tuktok ng iyong kasalukuyang imprastraktura; upang matulungan ang mga kumplikadong pag-atake nang sama-sama. At ngayon mayroon lamang isang pangkaraniwang lawa ng data, kasama ang lahat ng data sa paglunok na na-normalize - mas mabilis na ang pag-aaral, at tinutulungan ka ng AI na maglapat ng malaking pag-trend ng data upang pag-uri-uriin ang mga kalakaran sa term at pangmatagalan Bilang buod, mayroon kang isang pane ng baso upang mailarawan, pag-aralan at tumugon sa lahat ng mga pagtuklas — lahat ng data — lahat ng mapagkukunan, tala, trapiko, kakayahang makita sa cloud, network, mga endpoint, mga gumagamit at application.
JEFF: Salamat Snehal, sa palagay ko oras na upang makita ang aksyon ng produkto! Tingnan natin ang isang live na kaso ng paggamit - makakagawa ka ba ng isang maikling demo?
SNEHAL: Sure Jeff, pupunta ako sa Threat Hunt ngayon, at ipapakita sa iyo ng 4 na pangunahing mga hakbang, mahahanap ko ang isang na-hack na aparato at ititigil ang pag-atake. una, Natukoy ko lang ang isang nahawaang server, na-hack na ito.
JEFF: Nakakuha ka mismo doon, mukhang madaling gamitin ang iyong dashboard.
SNEHAL: Salamat Jeff, sumasang-ayon ang aming mga customer at sasabihin sa amin ang pagsasanay ay tatagal ng ilang araw, hindi linggo. Hayaan mong ipakita ko sa iyo ang pangalawa hakbang, binubuksan ko ang aming tala ng Interflow, na nababasa ang JSON, ngayon nakikita ko kung paano nila na-hack ang server na ito.
JEFF: Mukhang maraming mga detalye sa isang file, marami sa aming mga customer ang nagreklamo na kailangan nilang gumamit ng maraming mga tool upang makabuo ng isang kumpletong larawan ng isang kaganapan
SNEHAL: Salamat Jeff, tama, kasama rin dito kung paano naproseso ng AI ang bawat kaganapan, kaya mayroon kang isang naaaksyunan na rekord. Ngayon tingnan natin ang ikatlo hakbang, hahadlangan ko ang aparato mula sa pagpapadala ng trapiko. Ginamit ko ang aming Threat Hunting library upang magpalitaw ng isang tugon, upang isara ang port.
JEFF: Nakikita ko ang kapangyarihan ng isang pinagsamang plataporma – mabilis kang kumikilos sa ilang pag-click lamang. Ganito mo talaga tinutulungan ang mga organisasyon na maging maayos ang pagpapatakbo ng SOC mas madali!
SNEHAL: Tama Jeff, sinabi sa amin ng aming mga customer na madagdagan ang kanilang pagiging produktibo, sa maraming mga kaso maraming mga order ng lakas—ito ang pinakamahusay na paraan upang maipakita ang lakas ng AI. Ngayon tapusin natin ang paggamit ng Threat Hunting na gamit ang ikaapat at pangwakas na hakbang, sa pamamagitan ng pagtingin kung ang server ay nahahawa na ngayon sa iba pang mga aparato, tulad ng unang napag-usapan, ito ay isang pangkaraniwang paraan na nahahawa ng mga hacker ang ibang mga aparato sa iyong kapaligiran.
Kita n'yo, maraming iba pang mga aparato ang nangangailangan ng pansin ngayon.
JEFF: Salamat Snehal, Sigurado ako na nakikita kita ng marami talagang nagawa at iyon ay simple at talagang tumagal ng ilang minuto.
JEFF: Snehal, sa palagay ko kailangan nating balutin ito, maaari mo bang buod ang aming talakayan ngayon?
SNEHAL: Sure Jeff, sa palagay ko ang pinakamahalagang bagay na masasabi ko ay ngayon na ang mga hacker ay gumagamit ng mga bagong diskarte, kailangang tumingin ang mga customer ng mga bagong tool upang labanan sila. At sa halip na mga siled tool, isipin ang mga tuntunin ng isang platform na magkakaugnay ng mga tool. Ngayon mayroon kang isang mas mahusay na paraan upang makita ang tamang data, malaman ang higit pa, at kumilos upang tumugon nang mas mabilis. Sa palagay namin pagod na ang mga customer sa mga nakasarang system, nabigo sila sa lock-in ng vendor - dapat bukas ang mga system. Sa tingin din namin kailangan ng mga bagong ideya na gamitin at magamit ang lahat ng mga mayroon nang mga tool at feed ng data - at gawin itong mas mahusay na gumana sa pamamagitan ng kapangyarihan ng AI.
Susunod, mag-isip tungkol sa mga app, hindi sa mga script. Magkaroon ng isang silid-aklatan ng paunang built na mga application ng playbook na makakatulong sa iyong mga analista na kumilos nang mas mabilis, at matulungan kang mapalawak ang talento na maaari mong kunin mula sa
JEFF: Salamat Snehal, Kaya't ang layunin ng session na ito ay upang matiyak na ang customer / client ay maaaring magsimulang makakita ng mga bagong detection na makabuluhan, at magmula sa mga tool at data na pinagkakatiwalaan mo na. Naniniwala akong magugustuhan ng merkado ng Hong Kong ang ganitong paraan ng pag-iisip!
