第一部分:揭开网络健康和网络威胁狩猎的神秘面纱
杰夫: 欢迎参加Cloud Expo,您能帮忙解释什么是网络威胁搜寻吗?
SNEHAL: 杰夫,感谢您主持我们。 首先,让我们谈谈什么是网络威胁-有人试图通过侵入您的关键数字系统来获取您的数据。 让我描述三种类型:
- 威胁可能是来自黑客所在国家/地区的IP地址,并且流量表明存在违规行为。
- 威胁可能是有人侵入您的电子邮件系统并窃取身份,现在他们可以获得对其他系统的更多访问权限。
- 威胁可能是从关键服务器中删除数据的人,现在您遇到了勒索软件问题。
杰夫: 那么,您是说网络威胁搜寻是一种看到非常复杂的攻击并在造成实际损失之前将其阻止的做法吗?
SNEHAL: 正确的杰夫(Jeff),而威胁搜寻的需求不止 SIEM 日志。 您需要网络流量,行为分析和应用程序意识。 通过关联来自更广泛工具集的数据,您可以主动拼凑出整个 IT 基础设施中的复杂攻击。 SIEM仅凭自身缺乏这种全面的可视性。 我们还认为人工智能(AI)是帮助更广泛的企业群体利用先进技术的关键推动因素。 SOC 解决方案。计算机擅长识别模式,而机器学习是帮助计算机识别模式的一种方法。 SOC 团队规模扩大,以便专注于战略性工作。
杰夫: 我知道,人工智能是香港的热门话题-在我们深入研究技术之前,您能否分享您的客户在帮助他们进行威胁狩猎之前所面临的共同挑战?
SNEHAL: 即使使用了所有正确的工具,我们的许多客户也分享失败而不是成功。 为了帮助理解原因,我们最近与Enterprise Strategy Group合作-他们由ESG负责-了解亚洲的客户挑战。 让我们看一下主要结论。 首先,威胁正在上升。 超过70%的受访者会随着时间的推移看到更复杂的攻击-仍然,他们不确定该怎么做
杰夫: 我们在香港看到了类似的挑战。 实际上,最新更新的金融监管机构的政策手册强调了对威胁和漏洞管理的重要性以及对系统监控流程的需求。
SNEHAL: 第二个结果表明,人们对涌入的数据量过大感到担忧。 SOC很容易错过正确的数据,或者花费大量时间搜索日志,但这些日志并不能真实反映您的 IT 基础架构。
杰夫: 因此,这就是为什么香港的就业市场对优秀保安人员如此具有竞争力的原因。 他们都忙于编写查询以搜索大量数据。
SNEHAL: 谢谢杰夫的分享,很有道理。最后,随着远程办公的普及,以及基础设施的许多方面同时部署在本地和公有云上,超过70%的客户表示他们仍然认为自己存在盲点。 SIEM单凭这些信息无法帮助你发现威胁。
杰夫: 对于新标准,跨异构环境的可伸缩性和互操作性至关重要。 现在,让我们讨论解决方案,因为我们了解了安全团队为何需要新的想法。
SNEHAL: 当今的黑客不再以传统方式攻击您-这是关键-外围方法不再能保护您的安全 现在,他们可以访问低调资产并开始收集有关更关键系统的情报,然后他们寻求更有价值的信息。
杰夫: 您可以在幻灯片上解释该示例吗?
SNHEAL: 当然,假设您已将CEO标记为关键人物,而您只是看到他们在两个小时后分别登录东京和澳大利亚悉尼。 这显然是不可能的旅行事件,但他的登录仍然有效。 然后,您看到他使用命令访问应用程序,例如说SSL访问SQL Server上的数据。
杰夫: CEO为什么要使用SSL,为什么要寻找SQL数据? 某件事非常可疑,但根据我们可以从现有工具和数据中建立的所有信息来看,所有这三个操作仍然有效,对吗?
SNHEAL: 正是杰夫(Jeff)总结了威胁狩猎的真正需求,是一种将所有工具和提要整合在一起,并使用AI对其进行处理以帮助您找到专门为找到正确数据而专门设计的模式的方法。 我们称之为 打开-XDR –扩展检测和响应 它能够与任何系统、工具或数据源集成。就像我们用它增强防火墙一样。 SIEM因此,是时候重新思考我们如何构建一个 SOC. 工具集 - 或者 - 智能平台是关键。
杰夫: 因此,我所听到的是,这完全是关于“更好的可视性”! 并利用AI获取正确的数据,帮助您更有效地查看复杂的攻击。
SNEHAL: 杰夫没错
杰夫: 因此,让我们更深入地了解可见性和AI。
SNEHAL: 当然,杰夫,这是我们思考方式的基础。 我们很高兴分享我们的想法。 首先,正如您在左侧看到的,这是一个传统的 SOC 它拥有一系列工具。这些工具在其各自的领域都表现出色——例如 SIEM 对于日志, UEBA 用于行为分析和网络流量 NTA 分析。 现在,我们发现的问题是这些工具与关键检测之间仍然存在盲点,这些盲点告诉您复杂的攻击并被遗漏了。 即使其中一些工具正在使用机器学习,盲点也会阻止凝聚方法。
杰夫: 我认为这很有道理。 我很想知道您认为客户应该如何努力缩小这些差距并获得情报和全面的可见性。
SNEHAL: 绝对正确,我们认为,将所有工具组合在一起的一种方法是考虑平台,使用位于当前基础架构之上的开放系统。 帮助将复杂的攻击组合在一起。 现在只有一个通用的数据湖,所有摄取的数据都已归一化–分析现在更快了,人工智能可以帮助您应用大数据趋势对长期趋势和长期趋势进行排序 总而言之,您只有一个窗格可以可视化,分析和响应所有检测(所有数据),所有源,日志,流量,对云,网络,端点,用户和应用程序的可见性。
杰夫: 谢谢Snehal,我认为是时候看到该产品了! 让我们看一个实际的用例–您可以做一个简短的演示吗?
SNEHAL: 当然,杰夫,我现在要进行威胁搜索,并通过4个关键步骤向您展示,我将检测到被黑客入侵的设备并停止攻击。 名字,我刚刚发现一台受感染的服务器,它已被黑客入侵。
杰夫: 您完全可以做到,您的仪表板看起来易于使用。
SNEHAL: 感谢Jeff,我们的客户同意并告诉我们培训只需要几天,而不是几周。 现在让我向您展示 第二 步骤,我打开我们的Interflow记录,该记录是可读的JSON,现在我可以看到他们是如何入侵此服务器的。
杰夫: 这看起来像是一个文件中的许多细节,许多客户抱怨他们必须使用多种工具来构建事件的完整图片
SNEHAL: 谢谢杰夫,没错,它还包括人工智能如何处理每个事件,因此您拥有可操作的记录。 现在让我们看一下 第三 步骤,我将阻止设备发送流量。 我使用威胁搜寻库触发响应,以关闭端口。
杰夫: 我看到了集成平台的强大之处——只需点击几下鼠标,就能快速采取行动。这显然就是你们帮助组织简化运营的方式。 SOC 更轻松!
SNEHAL: 是的,杰夫,我们的客户告诉我们,他们大大提高了生产率,在许多情况下,提高了几个数量级,这是证明AI力量的最佳方法. 现在,让我们使用 第四 最后一步,就像我们首先讨论的那样,通过查看服务器是否正在感染其他设备,这是黑客感染您环境中其他设备的一种常见方式。
看到,许多其他设备现在需要注意。
杰夫: 感谢Snehal,我确信我可以看到您确实做了很多事情,这很简单,实际上只花了几分钟。
杰夫: 潜行,我想我们需要总结一下,您能总结一下我们今天的讨论吗?
SNEHAL: 当然,杰夫,我认为我能说的最重要的事情是,黑客正在使用新方法,客户需要研究新工具来与之抗衡。 而不是孤立的工具,而要考虑将工具联系在一起的平台。 现在,您有了更好的方法来查看正确的数据,了解更多信息并采取行动做出更快的响应。 我们认为客户对封闭的系统感到厌倦,他们对供应商锁定感到沮丧-系统应该是开放的。 我们还认为,新想法需要使用和利用所有现有工具和数据馈送-并使它们更好地工作 通过人工智能的力量.
接下来,考虑应用程序,而不是脚本。 拥有一个预先构建的剧本应用程序库,可帮助您的分析师更快地行动,并帮助您扩展可以从中聘请的人才
杰夫: 感谢Snehal,所以本次会议的目标是确保客户/客户可以开始查看有意义的新检测结果,这些检测结果是从您已经信任的工具和数据中派生的。 我相信香港市场会喜欢这种思维方式!
