Phần I: Làm sáng tỏ sức khỏe mạng và săn tìm mối đe dọa trên mạng
JEFF: Chào mừng bạn đến với Cloud Expo, bạn có thể vui lòng giúp giải thích săn lùng mối đe dọa mạng là gì không?
TUYỆT VỜI: Jeff, cảm ơn vì đã tổ chức cho chúng tôi. Trước tiên, hãy nói về mối đe dọa mạng là gì -– ai đó đang cố lấy dữ liệu của bạn bằng cách đột nhập vào các hệ thống kỹ thuật số quan trọng của bạn. Hãy để tôi mô tả ba loại:
- Mối đe dọa có thể là địa chỉ IP từ quốc gia của hacker và lưu lượng truy cập đó là dấu hiệu của vi phạm.
- Mối đe dọa có thể là ai đó đột nhập vào hệ thống email của bạn và đánh cắp danh tính, giờ đây họ có thể truy cập nhiều hơn vào các hệ thống khác.
- Mối đe dọa có thể là ai đó xóa dữ liệu khỏi các máy chủ quan trọng — và bây giờ bạn gặp sự cố về ransomware.
JEFF: Vì vậy, bạn có nói rằng săn tìm mối đe dọa mạng là một thực hành để xem một cuộc tấn công rất phức tạp và ngăn chặn nó trước khi thiệt hại thực sự được thực hiện?
TUYỆT VỜI: đúng Jeff, và việc săn lùng mối đe dọa cần nhiều hơn SIEM nhật ký. Bạn cần lưu lượng truy cập mạng, phân tích hành vi và nhận thức về ứng dụng. Bằng cách đối chiếu dữ liệu từ nhiều công cụ khác nhau, bạn có thể chủ động ghép nối các cuộc tấn công phức tạp trên toàn bộ cơ sở hạ tầng CNTT. SIEMChỉ riêng họ mới thiếu tầm nhìn toàn diện này. Chúng tôi cũng xem trí tuệ nhân tạo (AI) là yếu tố then chốt giúp cộng đồng các công ty rộng lớn hơn tận dụng được những tiến bộ công nghệ. SOC các giải pháp. Máy tính rất giỏi trong việc nhận diện các mẫu hình, và học máy là một cách để giúp... SOC Các nhóm có thể mở rộng quy mô để tập trung vào công việc chiến lược.
JEFF: Tôi hiểu rồi, AI đang là chủ đề nóng ở Hồng Kông - Trước khi chúng ta tìm hiểu sâu hơn về công nghệ, bạn có thể chia sẻ những thách thức chung mà khách hàng của bạn gặp phải trước khi bạn giúp họ với Săn đe dọa không?
TUYỆT VỜI: Ngay cả khi có tất cả các công cụ phù hợp, rất nhiều khách hàng của chúng tôi đã chia sẻ những thất bại hơn là thành công. Để giúp hiểu lý do tại sao, chúng tôi gần đây đã làm việc với Nhóm Chiến lược Doanh nghiệp - họ do ESG thực hiện - để hiểu những thách thức của khách hàng ở Châu Á. Chúng ta hãy xem xét các kết luận chính. Đầu tiên, các mối đe dọa đang gia tăng. Hơn 70% số người được hỏi thấy các cuộc tấn công phức tạp hơn theo thời gian — tuy nhiên, họ không biết phải làm gì
JEFF: Chúng tôi thấy những thách thức tương tự ở đây ở Hồng Kông. Trên thực tế, sổ tay chính sách của cơ quan quản lý tài chính được cập nhật mới nhất nhấn mạnh tầm quan trọng của việc quản lý mối đe dọa và tính dễ bị tổn thương cũng như sự cần thiết của các quy trình giám sát có hệ thống.
TUYỆT VỜI: Kết quả thứ hai cho thấy mối lo ngại về lượng dữ liệu quá lớn đang được đưa vào. SOCRất dễ bỏ sót dữ liệu QUAN TRỌNG, hoặc mất nhiều thời gian tìm kiếm trong các nhật ký không phản ánh đúng thực trạng cơ sở hạ tầng CNTT của bạn.
JEFF: Vì vậy, đây là lý do tại sao thị trường việc làm Hồng Kông rất cạnh tranh đối với những người làm an ninh tốt. Tất cả họ đều bận rộn với việc viết các truy vấn để tìm kiếm qua rất nhiều dữ liệu.
TUYỆT VỜI: Cảm ơn Jeff đã chia sẻ, điều đó rất hợp lý, và cuối cùng, với việc làm việc từ xa hiện nay đã trở nên phổ biến và nhiều khía cạnh trong cơ sở hạ tầng của bạn hiện nay được triển khai cả tại chỗ và trên các nền tảng đám mây công cộng, hơn 70% khách hàng cho biết họ vẫn cảm thấy có những điểm mù. Một lần nữa SIEMChỉ riêng việc quan sát thôi sẽ không giúp bạn nhận ra các mối đe dọa.
JEFF: Đối với thông thường mới, khả năng mở rộng và khả năng tương tác trên các môi trường không đồng nhất là điều cần thiết khi đó. Bây giờ, hãy nói về các giải pháp, vì chúng ta hiểu tại sao các nhóm bảo mật cần những ý tưởng mới.
TUYỆT VỜI: Tin tặc ngày nay không tấn công bạn theo những cách truyền thống — đây là chìa khóa — phương pháp tiếp cận chu vi không còn đảm bảo an toàn cho bạn Giờ đây, họ có quyền truy cập vào các tài sản có cấu hình thấp và bắt đầu thu thập thông tin tình báo về các hệ thống quan trọng hơn, sau đó họ tìm kiếm thông tin có giá trị hơn.
JEFF: Bạn có thể giải thích ví dụ trên slide không?
SỨC KHỎE: Chắc chắn, giả sử bạn đã gắn thẻ Giám đốc điều hành của mình là một người quan trọng, và bạn chỉ cần thấy rằng họ đăng nhập ở Tokyo và sau đó ở Sydney Australia hai giờ sau đó. Đó rõ ràng là một sự kiện du lịch không thể xảy ra, nhưng thông tin đăng nhập của anh ấy vẫn hợp lệ. Sau đó, bạn thấy anh ta sử dụng các lệnh để truy cập một ứng dụng, chẳng hạn như SSL để truy cập dữ liệu trên máy chủ SQL.
JEFF: Tại sao CEO lại sử dụng SSL và tại sao ông ấy lại tìm kiếm dữ liệu SQL? Có điều gì đó rất đáng ngờ, nhưng cả ba hành động vẫn hợp lệ dựa trên mọi thứ chúng ta có thể thiết lập từ các công cụ và dữ liệu hiện có — phải không?
SỨC KHỎE: Chính xác là Jeff, để tóm tắt những gì mà Săn đe dọa thực sự cần là một cách để kết hợp tất cả các công cụ và nguồn cấp dữ liệu của bạn lại với nhau và xử lý nó với AI để giúp tìm ra các mẫu, được xây dựng có mục đích để tìm ra dữ liệu ĐÚNG. Chúng tôi gọi đây Mở-XDR – Phát hiện và phản hồi mở rộng Với khả năng tích hợp với bất kỳ hệ thống, công cụ hoặc nguồn dữ liệu nào. Giống như cách chúng ta đã tăng cường sức mạnh cho tường lửa bằng cách... SIEMVì vậy, đã đến lúc chúng ta cần xem xét lại cách xây dựng một SOC. Một bộ sưu tập các công cụ - hoặc là - một nền tảng thông minh là chìa khóa.
JEFF: Vì vậy, cách tôi nghe điều này là, nó thực sự là về Khả năng hiển thị tốt hơn! Và tận dụng AI để lấy dữ liệu ĐÚNG giúp bạn thấy cuộc tấn công phức tạp hiệu quả hơn.
TUYỆT VỜI: Đúng vậy Jeff
JEFF: Vì vậy, chúng ta hãy tìm hiểu sâu hơn về ý tưởng về khả năng hiển thị và AI này.
TUYỆT VỜI: Chắc chắn rồi Jeff, đây là nền tảng của cách chúng ta suy nghĩ. Chúng tôi rất vui khi chia sẻ những suy nghĩ của mình. Đầu tiên, như bạn có thể thấy ở bên trái, là một kiểu truyền thống. SOC có một bộ sưu tập các công cụ. Tất cả các công cụ này đều hoạt động rất tốt trong lĩnh vực cụ thể của chúng – ví dụ như SIEM đối với nhật ký, UEBA Đối với hành vi và NTA đối với lưu lượng mạng. Bây giờ, vấn đề mà chúng tôi đang phát hiện là vẫn có những điểm mù giữa các công cụ này và các phát hiện quan trọng đang cho bạn biết về một cuộc tấn công phức tạp và đang bị bỏ sót. Ngay cả khi một số công cụ này đang sử dụng máy học, các điểm mù ngăn cản một cách tiếp cận gắn kết.
JEFF: Tôi thấy điều đó rất có ý nghĩa. Tôi rất muốn biết bạn nghĩ khách hàng nên làm việc như thế nào để thu hẹp những khoảng cách này và đạt được cả trí thông minh và khả năng hiển thị toàn diện.
TUYỆT VỜI: Hoàn toàn đúng, ở bên phải - chúng tôi nghĩ một cách để kết hợp tất cả các công cụ của bạn lại với nhau là suy nghĩ về các nền tảng, sử dụng một hệ thống mở nằm trên cơ sở hạ tầng hiện tại của bạn; để giúp ghép các cuộc tấn công phức tạp lại với nhau. Và bây giờ chỉ có một hồ dữ liệu chung, với tất cả dữ liệu khi nhập đều được chuẩn hóa - phân tích hiện nhanh hơn nhiều và AI giúp bạn áp dụng xu hướng dữ liệu lớn để sắp xếp các xu hướng dài hạn và dài hạn Tóm lại, bạn có một ô kính để trực quan hóa, phân tích và phản hồi tất cả các phát hiện — tất cả dữ liệu — tất cả các nguồn, nhật ký, lưu lượng truy cập, khả năng hiển thị vào đám mây, mạng, điểm cuối, người dùng và ứng dụng.
JEFF: Cảm ơn Snehal, tôi nghĩ đã đến lúc để xem sản phẩm hoạt động! Hãy xem xét một trường hợp sử dụng trực tiếp - bạn có thể làm một bản demo ngắn không?
TUYỆT VỜI: Chắc chắn rồi, Jeff, tôi sẽ đến Threat Hunt ngay bây giờ, và chỉ cho bạn 4 bước quan trọng, tôi sẽ phát hiện một thiết bị bị tấn công và ngăn chặn cuộc tấn công. Tên, Tôi vừa xác định một máy chủ bị nhiễm, nó đã bị tấn công.
JEFF: Bạn hiểu đúng điều đó, trang tổng quan của bạn trông dễ sử dụng.
TUYỆT VỜI: Cảm ơn Jeff, khách hàng của chúng tôi đồng ý và nói với chúng tôi rằng việc đào tạo chỉ mất vài ngày, không phải vài tuần. Bây giờ hãy để tôi chỉ cho bạn 2 bước, tôi đang mở bản ghi Interflow của chúng tôi, đó là JSON có thể đọc được, bây giờ tôi có thể thấy cách họ tấn công máy chủ này.
JEFF: Có vẻ như rất nhiều chi tiết trong một tệp, nhiều khách hàng của chúng tôi phàn nàn rằng họ phải sử dụng một số công cụ để xây dựng một bức tranh hoàn chỉnh về một sự kiện
TUYỆT VỜI: Cảm ơn Jeff, đúng vậy, nó cũng bao gồm cách AI xử lý từng sự kiện, vì vậy bạn có một bản ghi có thể hành động. Bây giờ chúng ta hãy nhìn vào thứ ba bước này, tôi sẽ chặn thiết bị gửi lưu lượng truy cập. Tôi đã sử dụng thư viện Đe dọa Săn lùng của chúng tôi để kích hoạt phản hồi, để đóng cổng.
JEFF: Tôi nhận thấy sức mạnh của một nền tảng tích hợp – bạn có thể nhanh chóng thực hiện hành động chỉ với vài cú nhấp chuột. Đó rõ ràng là cách bạn giúp các tổ chức vận hành một cách hiệu quả hơn. SOC dễ dàng hơn
TUYỆT VỜI: Đúng vậy, Jeff, khách hàng của chúng tôi nói với chúng tôi rằng họ đã tăng năng suất đáng kể, trong nhiều trường hợp, một số đơn hàng lớn—đó là cách tốt nhất để chứng minh sức mạnh của AI. Bây giờ chúng ta hãy hoàn thành trường hợp sử dụng Săn đe dọa này với thứ tư và bước cuối cùng, bằng cách xem liệu máy chủ hiện có đang lây nhiễm cho các thiết bị khác hay không, như chúng ta đã thảo luận lần đầu, đây là cách phổ biến mà tin tặc lây nhiễm sang các thiết bị khác trong môi trường của bạn.
Thấy không, nhiều thiết bị khác bây giờ cần được quan tâm.
JEFF: Cảm ơn Snehal, tôi tin rằng tôi có thể thấy bạn thực sự đã làm rất nhiều điều đó thật đơn giản và thực sự chỉ mất vài phút.
JEFF: Snehal, tôi nghĩ chúng ta cần kết thúc chuyện này, bạn có thể tóm tắt cuộc thảo luận của chúng ta ngày hôm nay được không?
TUYỆT VỜI: Chắc chắn rồi, Jeff, tôi nghĩ điều quan trọng nhất mà tôi có thể nói là bây giờ tin tặc đang sử dụng các cách tiếp cận mới, khách hàng cần xem xét các công cụ mới để chống lại chúng. Và thay vì các công cụ ngu ngốc, hãy nghĩ về một nền tảng liên kết các công cụ với nhau. Giờ đây, bạn có cách tốt hơn để xem dữ liệu phù hợp, biết nhiều hơn và hành động để phản hồi nhanh hơn. Chúng tôi cho rằng khách hàng cảm thấy mệt mỏi với hệ thống đóng, họ thất vọng với việc nhà cung cấp khóa - hệ thống nên mở. Chúng tôi cũng cho rằng các ý tưởng mới cần sử dụng và tận dụng tất cả các công cụ và nguồn cấp dữ liệu hiện có - và làm cho chúng hoạt động tốt hơn thông qua sức mạnh của AI.
Tiếp theo, hãy nghĩ về ứng dụng, không phải tập lệnh. Có một thư viện các ứng dụng playbook được tạo sẵn để giúp các nhà phân tích của bạn di chuyển nhanh hơn và giúp bạn mở rộng tài năng mà bạn có thể thuê.
JEFF: Cảm ơn Snehal, Vì vậy, mục tiêu của phiên này là đảm bảo khách hàng / khách hàng có thể bắt đầu thấy các phát hiện mới có ý nghĩa và được lấy từ các công cụ và dữ liệu mà bạn đã tin tưởng. Tôi tin rằng thị trường Hồng Kông sẽ thích cách suy nghĩ này!
