SecBI的XDR平台使企业能够在网络、端点、设备和云端的所有攻击向量中统一网络威胁检测和响应能力。在这次采访中,SecBI首席执行官吉拉德·佩莱格解释了如何进行自主调查[™], 再加上无监督机器学习、行为分析和自动响应,可以用来保护组织免受网络攻击。

请描述SecBI的背景和技术

SecBI的创始人5年前创建了这家公司,当时他们参与了一项重大网络漏洞调查,并决定必须有一种更快、更简单的方法来识别和应对网络攻击。对于SecBI的基本概念来说,非常重要的一点是利用现有的安全控制,而不是引入新的系统,这些系统只会触发额外的警报,让安全分析师无法管理大量的数据进行筛选。

大多数中型或大型组织已经有了多层安全控制,无论是防病毒、web网关、防火墙还是完整的安全运营中心。

问题是将从这些安全工具获得的所有数据结合到一个上下文相关、清晰且可操作的响应计划中。在路上,你必须做一些调查,以检测恶意活动,并为你发现的内容提出一个响应计划。只有当你有非常准确的检测,你才能有一个准确和完整的反应。我们把开发这个作为我们的使命。

我们首先关注基于网络流量的检测,因为那里有一座大多数组织都没有利用的数据金矿,这仅仅是因为它通常很难分析。这是一个非常大的挑战,所以我们首先集中精力克服它。随着我们的网络流量分析(NTA)解决方案的成功,我们开始向检测中添加更多数据源,以提供XDR平台。

我们的XDR平台基于非常先进的机器学习和人工智能。我们称这项技术为“自主调查”[™]” 因为良好侦查的关键是调查。我们可以很快地把它比作一部好的侦探小说。当夏洛克·福尔摩斯找到凶手时,需要经过一个非常漫长的调查过程,这是每个案件所特有的。

我们的自主调查技术就像一个虚拟分析师,以机器速度模仿专家分析师。这是核心技术。

一旦你有了这一块拼图,你就有能力接收多个数据源。更具体地说,您希望从网络、端点、电子邮件、云等接收数据。您还希望接收元数据、遥测、日志或事件;这些是本质上相同事物的不同名称。你想弄明白这一切。这是自主调查的关键。

这是用户界面上的快速预览:

使用SecBI的XDR技术保护您的业务运营-编程之家使用SecBI的XDR技术保护您的业务运营-编程之家

我们还添加了将调查和检测与自动响应联系起来的功能。它与SOAR(安全协调、自动化和响应)非常相似——全面检测和自动化响应之间的紧密集成对于准确补救和持续预防至关重要。

响应自动化对不同的人意味着不同的事情。您可以定义对员工丢失笔记本电脑的情况的自动响应,但我们不这么做。我们检测恶意活动,并基于此自动响应。市场对你的技术有何反应

长期以来,客户一直在说,这是网络安全中缺失的一个极其重要的部分。在这里,你可以最终理解所有的噪音、警报和误报,并通过即时且紧密耦合的响应获得准确的检测。这是我们在市场上的独特创新。

现在,越来越多的供应商,无论大小,都了解我们多年来所知道的,市场给它起了一个名字:延长拘留响应(XDR)。

AI和ML在网络安全中扮演什么角色

AI和ML可以缓解每个人都在谈论的网络安全专家和专业知识的巨大短缺。目前的差距超过300万,但差距不仅在于人力,还在于专业知识。这些人花费大量时间进行调查、发现和回应。要做到这一点,你需要专家,而专家并不多。

即使你雇佣一个人,在几个月内对他们进行培训,并给他们所需的所有工具和时间,他们仍然无法及时执行这些复杂的任务,以避免网络受损。他们能做的最好的事情就是得出一个结论,这个结论可能是正确的,关于它是否是恶意的,它是如何开始的,以及发生了什么。这是一个非常复杂的过程,需要很多专业知识,但通过机器学习和人工智能,它可以自动化。我并不是说我们将完全取代它们,我更喜欢“增强”这个词,但它的短缺如此之大,以至于任何能够缓解差距的东西都是重要的。这就是自主调查的用武之地,这就是我们的AI/ML技术。

关于你的聚类分析技术,你能告诉我们什么

这是我们无监督机器学习模块的主要组件之一。它所做的是调查并将与一个事件相关的所有事件组合在一起。这种分组过程很困难。

给你举个例子,假设你走进一间教室,你被赋予一项任务,把孩子们分组在一起。第一个问题是,我的目标是什么?是为了组建一支足球队吗?篮球队?乐队?找新娘?了解如何组建团队需要知识和专业技能。篮球教练会知道如何根据经验水平、体能等将他们分组。如果你有不同的目标,你需要不同的专家。

所以我们建立了一个专家组,将构成一个网络安全活动的所有事件组合在一起。

现在让我们从教室转向网络。电子邮件、网络访问、文件下载都在持续进行。想想在一个由100、1000或10000名员工组成的网络上发生了多少事件。这是数以十亿计的事件。最困难的任务是将这些事件分组到相关活动中,这正是无监督聚类分析发挥作用的地方。一旦完成,其他模块将对这些组/集群执行检测活动,完整的攻击叙事将被揭示:黑客发送的钓鱼电子邮件、用户点击这些电子邮件中的链接、访问被黑客攻击的网站,以及在不知不觉中下载了一些自动安装恶意软件的文件。这种恶意活动是隐藏的,在许多情况下都无法被发现。

总结:我们收集了数十亿条日志,并使用聚类分析将它们组合成数千个活动和行为。机器会持续观察这些活动和行为,并在其中找到妥协的迹象。这是我们自动化的另一个过程。

现在有这么多人同时在多个渠道上远程工作,组织如何统一他们的威胁检测和响应能力

我的第一个答案可能是部署SecBI来改善您的安全态势,但我会暂缓。远程工作并不新鲜。今天不同的是,有多少人这样做。

保护此类操作的简单方法是使用VPN,并从那里访问公司资产或云资产。当然,也有一些较新的技术。现在的热门话题是SASE安全访问服务边缘。有不同的安全控制来确保适当的安全性,如防病毒、端点解决方案、云安全等。

说到底,黑客会找到绕过这些解决方案的方法。我不是说你不需要它们,它们必须就位。如果你修补你的操作系统并确保所有的东西都更新了,你就可以将风险从100%降至10%或5%。不管是什么,还是有风险的。

远程工作增加了多层漏洞,因为它为攻击者添加了另一个攻击向量,增加了风险。

无论你采取什么措施,XDR平台都会扩展并加强你的网络防御,因为它的基本假设是黑客迟早会找到自己的出路。这每天都在发生。他们非常积极和聪明。你需要一些东西来分析网络中发生的所有事件和活动。SecBI将分析和检测恶意活动,并对检测到的任何情况做出快速响应。

在未来几年中,你希望看到更多的趋势和技术,为什么</显然,我们将看到更多针对云和SaaS的安全解决方案,但这已经发生了。近年来,我们看到了一个连续的钟摆,从保护端点到保护网络,再回到端点。每3-6年,关注点就会发生变化,我预计这种情况还会继续。

有一件事是明确的,ML和AI将增长更多。对于任何需要分析大量数据的人来说,无论是检测系统、预防系统还是其他任何系统,它都是一项基本的、必备的技术。

黑客及其动机不会有任何进展,因此我们需要继续寻找方法,在任何特定时间领先他们一步。