Частина I: Розвінчання міфів про кіберздоров'я та полювання на кіберзагрози
ДЖЕФФ: Ласкаво просимо на Cloud Expo, чи не могли б ви пояснити, що таке полювання на кіберзагрози?
СНЕХАЛ: Джефе, дякую, що прийняв нас. Спочатку давайте поговоримо про те, що таке кіберзагроза – хтось намагається викрасти ваші дані, зламуючи ваші критично важливі цифрові системи. Дозвольте мені описати три типи:
- Загрозою може бути IP-адреса з країни, що була атакована хакерами, і цей трафік є ознакою порушення безпеки.
- Загрозу може представляти злом ваших поштових систем та крадіжка особистих даних, тепер вони можуть отримати більше доступу до інших систем.
- Загрозою може бути хтось, хто видаляє дані з критично важливих серверів, і тепер у вас виникає проблема з програмою-вимагачем.
ДЖЕФФ: Тобто ви стверджуєте, що полювання на кіберзагрози — це практика виявлення дуже складної атаки та її зупинки до того, як буде завдано реальної шкоди?
СНЕХАЛ: правильно, Джеффе, і полювання на загрози потребує більше, ніж просто SIEM журнали. Вам потрібен мережевий трафік, аналітика поведінки та обізнаність про програми. Зіставляючи дані з ширшого набору інструментів, ви можете проактивно виявляти складні атаки на всю ІТ-інфраструктуру. SIEMтільки s не мають такої всебічної видимості. Ми також розглядаємо ШІ – штучний інтелект – як ключовий фактор, який допоможе ширшій спільноті компаній скористатися перевагами передових технологій. SOC рішення. Комп'ютери добре бачать закономірності, а машинне навчання — це спосіб допомогти SOC команди масштабуються, щоб вони могли зосередитися на стратегічній роботі.
ДЖЕФФ: Бачу, ШІ — це гаряча тема тут, у Гонконзі. Перш ніж ми заглибимося в технології, чи можете ви поділитися поширеними проблемами, з якими стикалися ваші клієнти, перш ніж ви допомогли їм з пошуком загроз?
СНЕХАЛ: Навіть за наявності всіх необхідних інструментів, багато наших клієнтів ділилися радше невдачами, ніж успіхами. Щоб краще зрозуміти, чому, ми нещодавно співпрацювали з Enterprise Strategy Group – вони відомі як ESG – щоб зрозуміти проблеми клієнтів в Азії. Давайте розглянемо ключові висновки. По-перше, загрози зростають. Понад 70% респондентів з часом стикаються зі складнішими атаками, але вони все ще не знають, що робити.
ДЖЕФФ: Ми бачимо схожі проблеми тут, у Гонконзі. Фактично, в останньому оновленому посібнику з політики фінансового регулятора наголошується на важливості управління загрозами та вразливостями, а також на необхідності систематичних процесів моніторингу.
СНЕХАЛ: Другий результат свідчить про занепокоєння щодо надходження занадто великої кількості даних. SOC, легко пропустити ПРАВИЛЬНІ дані або витратити багато часу на пошук у журналах, які не відображають справжньої картини вашої ІТ-інфраструктури.
ДЖЕФФ: Ось чому ринок праці Гонконгу такий конкурентний для хороших фахівців з безпеки. Усі вони зайняті написанням запитів для пошуку великої кількості даних.
СНЕХАЛ: Дякую, що поділився цим, Джефе, це має сенс, і нарешті, враховуючи, що віддалені працівники зараз є звичним явищем, а багато аспектів вашої інфраструктури тепер розташовані як локально, так і в публічних хмарах, понад 70% клієнтів зазначають, що вони все ще вважають, що мають сліпі зони. Знову ж таки SIEMсамі по собі не допоможуть вам побачити загрози
ДЖЕФФ: Для нової реальності масштабованість та сумісність у різних гетерогенних середовищах є важливими. Тепер давайте поговоримо про рішення, оскільки ми розуміємо, чому командам безпеки потрібні нові ідеї.
СНЕХАЛ: Сьогоднішні хакери не атакують вас традиційними способами — це ключовий фактор — периметральний підхід більше не забезпечує вам безпеку. Тепер вони отримують доступ до маловідомих активів і починають збирати розвідувальні дані про більш критичні системи, а потім переходять до більш цінної інформації.
ДЖЕФФ: Чи можете ви пояснити приклад на слайді?
ЗЦІЛЕННЯ: Звичайно, припустимо, ви позначили свого генерального директора як критично важливу людину, і бачите, що він увійшов у систему в Токіо, а потім у Сіднеї, Австралія, через дві години. Це явно неможлива подія подорожі, проте його вхід був дійсним. Потім ви бачите, як він використовує команди для доступу до програми, скажімо, SSL для доступу до даних на SQL-сервері.
ДЖЕФФ: Чому генеральний директор використовує SSL і чому він шукає дані SQL? Щось дуже підозріле, але всі три дії все ще дійсні, виходячи з усього, що ми можемо встановити з існуючих інструментів та даних, чи не так?
ЗЦІЛЕННЯ: Саме так, Джеффе, якщо підсумувати, для полювання на загрози насправді потрібен спосіб об'єднати всі ваші інструменти та канали, а також обробити їх за допомогою штучного інтелекту, щоб допомогти знайти закономірності, спеціально розроблені для пошуку ПРАВИЛЬНИХ даних. Ми називаємо це ВІДЧИНЕНО-XDR –розширене виявлення та реагування з можливістю інтеграції з будь-якою системою, інструментом чи потоком даних. Так само, як ми доповнили брандмауери за допомогою SIEMнастав час переглянути, як ми будуємо SOC. Колекція інструментів – або – інтелектуальна платформа — це ключ.
ДЖЕФФ: Тож, як я чув, головне — це краща видимість! І використання штучного інтелекту для отримання ПРАВИЛЬНИХ даних, які допоможуть вам ефективніше бачити складну атаку.
СНЕХАЛ: Саме так, Джеффе
ДЖЕФФ: Тож давайте глибше заглибимося в цю ідею видимості та штучного інтелекту.
СНЕХАЛ: Звичайно, Джефе, це основа нашого мислення. Ми раді поділитися своїми думками. Спочатку, як ви бачите ліворуч, традиційний SOC має колекцію інструментів. Усі ці інструменти чудово справляються зі своєю роботою у своїх конкретних сферах, таких як SIEM для колод, UEBA для поведінки та NTA для мережевого трафіку. Проблема, яку ми виявляємо, полягає в тому, що між цими інструментами та критичними виявленнями, які повідомляють про складну атаку, все ще існують сліпі зони. Навіть коли деякі з цих інструментів використовують машинне навчання, сліпі зони перешкоджають цілісному підходу.
ДЖЕФФ: Я розумію, що це має сенс. Мені цікаво побачити, як, на вашу думку, клієнти повинні працювати над усуненням цих прогалин та отриманням як аналітичних даних, так і повної прозорості.
СНЕХАЛ: Абсолютно правильно – ми вважаємо, що один зі способів об’єднати всі ваші інструменти – це подумати про платформи, використовувати відкриту систему, яка базується на вашій поточній інфраструктурі; щоб допомогти зібрати складні атаки разом. А тепер є лише одне спільне озеро даних, де всі дані під час їх отримання нормалізуються – аналіз тепер набагато швидший, а штучний інтелект допомагає вам застосовувати аналіз трендів великих даних для сортування довгострокових та перспективних тенденцій. Таким чином, у вас є єдине скло для візуалізації, аналізу та реагування на всі виявлення — всі дані, всі джерела, журнали, трафік, видимість хмари, мережі, кінцевих точок, користувачів та програм.
ДЖЕФФ: Дякую, Снехале, думаю, час побачити продукт у дії! Давайте розглянемо реальний випадок використання – чи можете ви зробити коротку демонстрацію?
СНЕХАЛ: Звичайно, Джеффе, я зараз перейду до пошуку загроз і покажу тобі 4 ключові кроки, як я виявлятиму зламаний пристрій і зупиню атаку. Ім’яЯ щойно виявив заражений сервер, його зламали.
ДЖЕФФ: Ви маєте рацію, ваша панель інструментів виглядає простою у використанні.
СНЕХАЛ: Дякую, Джефе, наші клієнти погоджуються і кажуть, що навчання займає лише кілька днів, а не тижнів. А тепер дозвольте мені показати вам... другий На цьому кроці я відкриваю наш запис Interflow, який є читабельним JSON, тепер я бачу, як вони зламали цей сервер.
ДЖЕФФ: Здається, що в одному файлі багато деталей, багато наших клієнтів скаржаться, що їм доводиться використовувати кілька інструментів, щоб створити повну картину події.
СНЕХАЛ: Дякую, Джефе, все вірно, це також включає, як ШІ обробляв кожну подію, тож у вас є запис, на якому можна вжити заходів. Тепер давайте розглянемо третій На цьому кроці я заблокую пристрій від надсилання трафіку. Я використав нашу бібліотеку Threat Hunting, щоб викликати відповідь, закрити порт.
ДЖЕФФ: Я бачу силу інтегрованої платформи – ви швидко вживаєте заходів лише за кілька кліків. Саме так ви допомагаєте організаціям зробити ведення SOC легше!
СНЕХАЛ: Так, Джеффе, наші клієнти кажуть, що вони значно підвищили продуктивність, у багатьох випадках на кілька порядків...це найкращий спосіб продемонструвати силу штучного інтелекту. Тепер завершимо цей випадок використання полювання на загрози, четвертий і останній крок, перевіривши, чи сервер зараз заражає інші пристрої, як ми спочатку обговорювали, це поширений спосіб, яким хакери заражають інші пристрої у вашому середовищі.
Бачите, багато інших пристроїв зараз потребують уваги.
ДЖЕФФ: Дякую, Снехале, я переконаний, що бачу, що ти справді багато зробив, і це було просто і зайняло лише кілька хвилин.
ДЖЕФФ: Снехале, я думаю, нам потрібно завершити це, чи можете ви підсумувати нашу сьогоднішню дискусію?
СНЕХАЛ: Звичайно, Джеффе, я думаю, що найважливіше, що я можу сказати, це те, що зараз, коли хакери використовують нові підходи, клієнтам потрібно звернути увагу на нові інструменти для боротьби з ними. І замість ізольованих інструментів, подумайте про платформу, яка об'єднує інструменти. Тепер у вас є кращий спосіб бачити потрібні дані, знати більше та діяти, щоб швидше реагувати. Ми вважаємо, що клієнти втомилися від закритих систем, вони розчаровані прив'язкою до постачальника – системи мають бути відкритими. Ми також вважаємо, що нові ідеї повинні використовувати та використовувати всі існуючі інструменти та канали даних, а також покращувати їхню роботу. завдяки можливостям штучного інтелекту.
Далі, подумайте про програми, а не про скрипти. Майте бібліотеку готових програм-планів, які допоможуть вашим аналітикам діяти швидше та розширити коло талантів, яких ви можете найняти.
ДЖЕФФ: Дякую, Снехале. Тож мета цієї сесії — забезпечити, щоб клієнт/замовник міг побачити нові результати, які є значущими та отримані на основі інструментів і даних, яким ви вже довіряєте. Я вважаю, що гонконгському ринку сподобається такий спосіб мислення!
