Часть I. Демистификация киберздравоохранения и охота за киберугрозами
ДЖЕФФ: Добро пожаловать на Cloud Expo. Не могли бы вы объяснить, что такое охота за киберугрозами?
СНЕХАЛ: Джефф, спасибо, что приняли нас. Сначала давайте поговорим о том, что такое киберугроза - кто-то пытается захватить ваши данные, взломав ваши критически важные цифровые системы. Опишу три типа:
- Угрозой может быть IP-адрес из страны хакеров, и этот трафик является признаком взлома.
- Угрозой может быть кто-то, кто взломает ваши почтовые системы и украдет личные данные, теперь они могут получить больше доступа к другим системам.
- Угрозой может быть тот, кто удаляет данные с важных серверов - и теперь у вас есть проблема с программой-вымогателем.
ДЖЕФФ: Так вы говорите, что охота за киберугрозами - это практика наблюдения за очень сложной атакой и ее остановки до того, как будет нанесен реальный ущерб?
СНЕХАЛ: поправьте Джеффа, и охота за угрозами требует больше, чем SIEM журналы. Вам нужен сетевой трафик, аналитика поведения и осведомленность о приложениях. Сопоставляя данные, полученные с помощью более широкого набора инструментов, вы можете заблаговременно выявлять и моделировать сложные атаки на всю ИТ-инфраструктуру. SIEMТолько таким компаниям не хватает такой всесторонней видимости. Мы также рассматриваем ИИ — искусственный интеллект — как ключевой фактор, который поможет более широкому кругу компаний воспользоваться преимуществами передовых технологий. SOC решения. Компьютеры хорошо распознают закономерности, и машинное обучение может помочь в этом. SOC Команды масштабируются, чтобы иметь возможность сосредоточиться на стратегической работе.
ДЖЕФФ: Я вижу, искусственный интеллект - горячая тема здесь, в Гонконге. Прежде чем мы углубимся в технологии, можете ли вы рассказать об общих проблемах, с которыми сталкивались ваши клиенты до того, как вы помогли им с помощью Threat Hunting?
СНЕХАЛ: Даже при наличии всех необходимых инструментов многие наши клиенты разделяли скорее неудачи, чем успехи. Чтобы понять, почему, мы недавно работали с Enterprise Strategy Group - они называются ESG - чтобы понять проблемы клиентов в Азии. Давайте посмотрим на основные выводы. Во-первых, возрастают угрозы. Более 70% респондентов со временем видят более сложные атаки, но при этом не знают, что делать.
ДЖЕФФ: Мы видим аналогичные проблемы здесь, в Гонконге. Фактически, в последнем обновленном руководстве по политике финансового регулятора подчеркивается важность управления угрозами и уязвимостями и необходимость в процессах систематического мониторинга.
СНЕХАЛ: Второй результат свидетельствует об обеспокоенности по поводу слишком большого объема поступающих данных. SOCЛегко упустить из виду ПРАВИЛЬНЫЕ данные или потратить много времени на поиск в журналах, которые не дают истинного представления о вашей ИТ-инфраструктуре.
ДЖЕФФ: Вот почему рынок труда Гонконга настолько конкурентен для людей, которые хорошо охраняют свою безопасность. Все они заняты написанием запросов для поиска большого количества данных.
СНЕХАЛ: Спасибо, Джефф, что поделился этим, это имеет смысл. И последнее: поскольку удаленная работа стала обычным явлением, а многие аспекты вашей инфраструктуры теперь находятся как локально, так и в публичных облаках, более 70% клиентов отмечают, что по-прежнему считают, что у них есть «слепые зоны». SIEMОдних этих признаков недостаточно, чтобы выявить угрозы.
ДЖЕФФ: Тогда для нового стандарта важны масштабируемость и функциональная совместимость в гетерогенных средах. Теперь давайте поговорим о решениях, поскольку мы понимаем, почему командам безопасности нужны новые идеи.
СНЕХАЛ: Современные хакеры не атакуют вас традиционными способами - это ключевой момент - подход периметра больше не защищает вас. Теперь они получают доступ к низкопрофильным активам и начинают собирать сведения о более важных системах, а затем переходят к более ценной информации.
ДЖЕФФ: Вы можете объяснить пример на слайде?
СНИЛ: Конечно, допустим, вы отметили своего генерального директора как критически настроенного человека, и вы просто видите, что он вошел в систему в Токио, а затем в Сиднее, Австралия, два часа спустя. Это явно невозможное путешествие, но его вход в систему был действителен. Затем вы видите, как он использует команды для доступа к приложению, скажем, SSL для доступа к данным на сервере SQL.
ДЖЕФФ: Зачем генеральному директору использовать SSL и зачем ему искать данные SQL? Что-то очень подозрительное, но все три действия по-прежнему действительны на основе всего, что мы можем установить из существующих инструментов и данных, верно?
СНИЛ: Именно Джефф, чтобы подвести итог, что действительно нужно Threat Hunting, - это способ объединить все ваши инструменты и каналы и обработать их с помощью ИИ, чтобы помочь найти шаблоны, специально созданные для поиска ПРАВИЛЬНЫХ данных. Мы называем это Открыто-XDR –расширенное обнаружение и реагирование с возможностью интеграции с любой системой, инструментом или потоком данных. Точно так же, как мы дополнили межсетевые экраны SIEMПора переосмыслить подход к строительству. SOC. Коллекция инструментов - или же - интеллектуальная платформа - это ключ.
ДЖЕФФ: Насколько я понимаю, все дело в лучшей видимости! И использование ИИ для получения ПРАВИЛЬНЫХ данных, которые помогут вам более эффективно увидеть сложную атаку.
СНЕХАЛ: Совершенно верно Джефф
ДЖЕФФ: Итак, давайте углубимся в идею видимости и ИИ.
СНЕХАЛ: Конечно, Джефф, это основа нашего мышления. Мы рады поделиться своими мыслями. Как вы видите слева, сначала традиционный SOC Имеет набор инструментов. Все эти инструменты отлично справляются со своей задачей в определенных областях – например… SIEM для бревен, UEBA для анализа поведения и NTA для анализа сетевого трафика. Теперь проблема, которую мы обнаруживаем, заключается в том, что между этими инструментами и критическими обнаружениями все еще есть белые пятна, которые сообщают вам о сложной атаке и которые пропускаются. Даже когда некоторые из этих инструментов используют машинное обучение, слепые пятна мешают согласованному подходу.
ДЖЕФФ: Я вижу в этом большой смысл. Мне интересно узнать, как, по вашему мнению, клиенты должны работать, чтобы восполнить эти пробелы и получить как информацию, так и полную прозрачность.
СНЕХАЛ: Абсолютно верно - мы думаем, что один из способов собрать все ваши инструменты воедино - это подумать о платформах, использовать открытую систему, которая находится на вершине вашей текущей инфраструктуры; чтобы объединить сложные атаки воедино. И теперь есть только одно общее озеро данных, все данные при приеме нормализованы - анализ теперь выполняется намного быстрее, а ИИ помогает применять тенденции больших данных для сортировки краткосрочных и долгосрочных тенденций. Таким образом, у вас есть одна стеклянная панель для визуализации, анализа и реагирования на все обнаружения - все данные - все источники, журналы, трафик, видимость в облаке, сети, конечных точках, пользователях и приложениях.
ДЖЕФФ: Спасибо, Снехаль, думаю, пора увидеть продукт в действии! Давайте посмотрим на пример использования вживую - можете ли вы сделать короткую демонстрацию?
СНЕХАЛ: Конечно, Джефф, я собираюсь прямо сейчас на Threat Hunt и покажу вам 4 ключевых шага, я обнаружу взломанное устройство и остановлю атаку. Имя, Я только что обнаружил зараженный сервер, он был взломан.
ДЖЕФФ: Вы правы, ваша панель управления выглядит простой в использовании.
СНЕХАЛ: Спасибо, Джефф, наши клиенты соглашаются и говорят нам, что обучение занимает всего несколько дней, а не недель. Теперь позвольте мне показать вам второй Шаг, я открываю нашу запись Interflow, которая читается в формате JSON, теперь я вижу, как они взломали этот сервер.
ДЖЕФФ: Похоже, что много деталей в одном файле, многие наши клиенты жалуются, что им приходится использовать несколько инструментов, чтобы создать полную картину события.
СНЕХАЛ: Спасибо, Джефф, правильно, он также включает в себя то, как ИИ обрабатывал каждое событие, так что у вас есть действенная запись. Теперь посмотрим на в третьих шаг, я заблокирую устройство от отправки трафика. Я использовал нашу библиотеку Threat Hunting, чтобы вызвать ответ и закрыть порт.
ДЖЕФФ: Я вижу силу интегрированной платформы – вы быстро принимаете решения всего несколькими щелчками мыши. Именно так вы помогаете организациям упростить управление SOC Полегче!
СНЕХАЛ: Верно Джефф, наши клиенты говорят нам, что они резко повысили производительность, во многих случаях на несколько порядков -это лучший способ продемонстрировать силу ИИ. Теперь давайте закончим этот вариант использования Threat Hunting с помощью четвертый и последний шаг, увидев, заражает ли сервер другие устройства, как мы вначале обсуждали, это обычный способ, которым хакеры заражают другие устройства в вашей среде.
Видите ли, многие другие устройства сейчас требуют внимания.
ДЖЕФФ: Спасибо, Снехаль, я убежден, что вижу, что ты действительно много сделал, и это было просто и на самом деле заняло всего несколько минут.
ДЖЕФФ: Снехаль, я думаю, нам нужно подвести итоги, не могли бы вы подвести итоги нашей сегодняшней дискуссии?
СНЕХАЛ: Конечно, Джефф, я думаю, что самое важное, что я могу сказать, это то, что сейчас хакеры используют новые подходы, клиентам нужно искать новые инструменты для борьбы с ними. И вместо разрозненных инструментов подумайте о платформе, которая связывает инструменты вместе. Теперь у вас есть лучший способ увидеть нужные данные, узнать больше и действовать, чтобы быстрее реагировать. Мы думаем, что клиенты устали от закрытых систем, они разочарованы привязкой к поставщику - системы должны быть открытыми. Мы также считаем, что в новых идеях необходимо использовать все существующие инструменты и каналы данных, чтобы они работали лучше. через силу ИИ.
Затем подумайте о приложениях, а не о скриптах. Иметь библиотеку готовых приложений для игр, которые помогут вашим аналитикам работать быстрее и помогут расширить круг специалистов, которых вы можете нанять.
ДЖЕФФ: Спасибо, Снехал. Итак, цель этого сеанса - убедиться, что клиент / клиент может начать видеть новые значимые обнаружения, основанные на инструментах и данных, которым вы уже доверяете. Я считаю, что гонконгскому рынку понравится такой образ мышления!
