Sqrrl – medību draudi, pirms tie nodara reālu kaitējumu
Vai nebūtu lieliski, ja tā vietā, lai reaģētu uz drošības uzbrukumiem, mēs patiesībā varētu tos aktīvi nomedīt un izjaukt, pirms tie nodara kaitējumu? Pēc Marka Terenzoni, Sqrrl – draudu medību uzņēmuma – izpilddirektora teiktā, tas ir kaut kas ne tikai iespējams šodien, bet patiesībā vajadzīgs jau šodien, lai paliktu priekšā kiberuzbrukumiem.
Mūsdienās ir jāpieņem, ka drošības draudi jau ir iekļuvuši tīkla sienās un gatavojas uzbrukt. Sqrrl draudu medību platformā tiek izmantota NSA (Nacionālās drošības aģentūras) izstrādāta un izmantota tehnoloģija, kas ļauj drošības analītiķiem atrast šos pretiniekus paslēptos viņu tīklā, pirms nav par vēlu.
Lūdzu, pastāstiet man mazliet par sevi un savu fonu.
Es pievienojos Sqrrl pirms četriem gadiem. Mani ieveda investori, lai vadītu uzņēmuma stratēģisko virzību. Pirms tam es strādāju dažādos tīkla un uzglabāšanas uzņēmumos – gan jaunuzņēmumos, gan lielos uzņēmumos. Mana pēdējā pozīcija pirms pievienošanās Sqrrl bija F5 Networks vecākā viceprezidenta amatā.
Pirms ienirt detaļās par produktu, runājam par jūsu uzņēmumu un produktu augstā līmenī. Jūs apgalvojat, ka Sqrrl ir “draudu medību uzņēmums” – ko jūs tieši ar to domājat?
Kiberdraudu medības tiek definētas kā “aktīvas un atkārtotas meklēšanas prakse caur tīklu vai datu kopu, lai atklātu un izolētu progresīvus draudus, kas izvairās no automatizētiem risinājumiem”.
Šodienas tipiskā situācija ir tāda, ka pēc tam, kad uzņēmuma drošības komanda pavada dienas, analizējot drošības uzbrukumu, viņi vispirms uzdod jautājumu “Kāpēc mēs to neatklājām agrāk?”. Jāmaina, ka jums nevajadzētu gaidīt, lai reaģētu uz kibernoziegumiem. uzbrukumiem. Jums ir jābūt aktīvam, lai saprastu, kas notiek jūsu tīklā, pirms nav par vēlu.
Mēs sadalām procesu trīs posmos vai fāzēs:
- Mērķis:Apjēdziet datu kopas, kuras tiks izmantotas izmeklēšanā. Medības var atdalīties no dažādiem sākuma punktiem.
- Medības:Proaktīvi un iteratīvi meklējiet tīkla un parametru datus, lai atklātu un izolētu uzlabotus draudus, kas apiet tradicionālākos drošības risinājumus.
- Pārtraukt:Vienmērīgi grozāmies no medībām līdz kriminālistikai, lai izjauktu pretiniekus, pirms tie pilnībā izdara uzbrukumus. Šīs analīzes var arī radīt jaunus rādītājus, kurus var izmantot papildu drošības sistēmās, izveidojot vērtīgu drošības atgriezenisko saiti.
Jūsu viens produkts ir Sqrrl Enterprise – lūdzu, pastāstiet man par to.
Mūsu Sqrrl Enterprise platforma ir pasaules mēroga līderis draudu medībās. Mēs uzskatām, ka, lai patiešām sasniegtu iepriekš noteikto draudu medību mērķi, medību platformai ir jābūt ar šādām īpašībām un iespējām:
- Lielo datu iespējas
- Uzvedības analīze
- Reāllaika drošības uzvedības diagramma
- Medību darba gaita
- Daudzu dažādu datu avotu vienots struktūras skats
- Pagarināmība
- Masveidīgi pielāgojams
Ļaujiet man dalīties ar jums dažos uzņēmuma pamatos. Uzņēmuma dibinātāji un liela daļa attīstības komandas nāca no NSA (Nacionālās drošības aģentūras). Jau 2008. gadā viņi strādāja pie ļoti liela, izplatīta datu bāzes projekta, kas tika uzsākts, lai apmierinātu NSA strauji augošās vajadzības pēc datiem. Projekts galu galā kļuva pazīstams kā Apache Accumulo, un šodien to izmanto visā Aizsardzības departamentā un ASV izlūkošanas kopienā. Tā ir NoSQL datu bāze, kas ir ārkārtīgi mērogojama un nodrošina ļoti augstu veiktspēju.
2011. gadā galveno motoru izlaida kā atvērtā pirmkoda programmatūru. 2012. gadā galvenā veidotāju grupa un Accumulo projekta atbalstītāji līdzdibināja Sqrrl, ņemot šo motoru un novietojot to izmantošanai uzņēmējdarbības vidē.
Ko jūs varat man pateikt par savu cenu modeli?
Mēs cenšamies saglabāt diezgan vienkāršu un klienta rokās. Tas ir abonēšanas modelis, kura izmaksas ir atkarīgas no diviem galvenajiem faktoriem:
- Cik daudz datu vēlaties saglabāt sistēmā
- Cik nosauktu analītiķu (t.i., lietotāju) jums ir.
Vai jūs piedāvājat pakalpojumu, kurā es varu jums palīdzēt nekavējoties, ja zinu vai man ir aizdomas, ka esmu cietis no kiberuzbrukuma?
Tas ir labs jautājums. Mēs īsti neejam pēc šī tirgus. Lielākā daļa klientu sadarbojas ar mums, lai pastāvīgi atbalstītu infrastruktūru. Tomēr mums ir vairāki partneri, kas specializējas reaģēšanā ārkārtas gadījumos un izmanto mūsu rīkus.
Kādi ir uzbrukumu veidi, kurus ir visvieglāk medīt? Kuras ir vissmagākās?
Mēs nekoncentrējamies uz vienkāršām lietām. Lai aizsargātu pret pamatauzbrukumiem, mēs klientiem iesakām būt pārliecinātiem, ka viņiem ir piemērota politika (un tos ieviest)..
Mūsu programmatūra meklē dažādus kompromisa rādītājus (IoC). Ir ļoti daudz dažādu IoC, sākot no pamata failu sajaukšanas un beidzot ar taktiku, metožu un procedūru (TTP) uzlaušanas. IoC klasificēšanai mūsu drošības konsultants Deivids Bianco izmanto jēdzienu, ko sauc par sāpju piramīdu. Diagramma parāda, cik grūti (sāpīgi) ir savākt un piemērot IoC kiberdrošības instrumentiem, kā arī to, cik lielas sāpes IoC var radīt kiberpretiniekiem
Kādi ir trīs galvenie padomi, ko jūs varētu piedāvāt uzņēmumiem, lai izvairītos no drošības uzbrukumiem?
Diemžēl mēs esam pagājuši posmā, kurā atbilde ir profilakse, tāpēc mani trīs galvenie padomi būtu šādi:
- Apkopojiet savus žurnālus.
- Apmāci savus cilvēkus.
- Ziniet, kur atrodas visi jūsu aktīvi.
Kā jūs definējat savu tirgu? Kas ir jūsu konkrētā mērķauditorija šajā tirgū?
Mēs galvenokārt orientējamies uz 1000 vadošajiem pasaules uzņēmumiem, lai gan jebkura organizācija ar SIEM (drošības informācijas un notikumu pārvaldības) sistēmu vai SOC (drošības operāciju centrs) būtu mums dabisks potenciālais klients. Mēs sadarbojamies ar uzņēmumiem visos vertikālajos tirgos, ieskaitot valdības.
Cik aktīvu klientu jums šodien ir? Kur viņi galvenokārt atrodas?
Mēs apkalpojam uzņēmumus visā pasaulē. Pašlaik mums ir aptuveni 40 aktīvi klienti, tostarp desmit Fortune 100 uzņēmumi.
Kā jūs raksturotu savu pašreizējo tipisko klientu?
Parasti darījuma lielums ir USD 300–500. Mūsu mērķis ir padarīt 1. līmeņa drošības analītiķus produktīvākus un padarīt 3. līmeņa analītiķus aktīvākus.
Kādas metodes jūs parasti izmantojat, lai piesaistītu un iesaistītu jaunus klientus?
Mēs netērējam daudz laika vai pūļu izejošajam mārketingam. Tā vietā mēs koncentrējamies uz ideju vadīšanu un augstas kvalitātes satura apmaiņu mūsu tīmekļa vietnē. Tas liek klientiem nākt pie mums, tāpēc vairāk mūsu potenciālo pircēju ir ienākošie. Drošības nozarē mēs arvien vairāk kļūstam par “prāta augšdaļu”.
Kurus jūs redzat kā galvenos konkurentus?
Mūsu galvenie konkurenti šodien ir uzņēmumi, kas izmanto žurnālu pārvaldības sistēmas, lai mēģinātu atsevišķi apkopot kādu informāciju.
Kā jūs redzat savus rīkus tikpat atšķirīgus un / vai labākus kā savējos?
Mūsu platforma ir pilnībā iesaiņota, pilnībā atbalstīta un gatava darbam ārpus kastes. Šim rīkam ir vairākas galvenās priekšrocības:
- Mūsdienīga analītiskā tehnoloģija, kas pielāgojas Petabytes preču aparatūrai
- Uzvedības diagramma, kas reāllaikā sakausē atšķirīgu informāciju
- Pilnīgas situācijas apzināšanās vizuāls attēlojums
Kā jūs redzat draudu medību tehnoloģiju un drošības tirgu kopumā, kas attīstās nākamajos gados?
Pašreizējā situācijā uzņēmumi 90% no sava budžeta tērē profilaksei un 10% – atklāšanai un reaģēšanai. Tendence mainās uz 40% novēršanu un 60% atklāšanu un reaģēšanu. Tas ir fakts, ka sliktie puiši, atzīšana un atzīšana būs iekļūt.
Vēl daži no maniem novērojumiem ir:
- CSO (galvenā drošības inspektora) loma kļūst arvien nozīmīgāka un pamanāmāka.
- Uzbrukuma virsmas laukums mainās un strauji palielinās, arvien vairāk izmantojot mobilās ierīces un mākoņa balstītus risinājumus.
- Tirgū joprojām ir ļoti “skaļš”. Uzņēmumi, kas izdzīvo, ir tie, kas patiesi ievieš jauninājumus un risina klientu problēmas.
Kādi ir jūsu nākotnes plāni attiecībā uz Sqrrl?
Mēs plānojam turpināt būt tirgus līderi. Tas nav viegli – produkta ceļvedis nekad nebeidzas, jo uzbrucēji vienmēr veic jauninājumus. Mēs nepārtraukti pievienosim vairāk atklāšanas analīzes rīku, pilnveidosim savus vizualizācijas rīkus un labāk integrēsimies klientu esošajā infrastruktūrā.
Kāds ir stāsts aiz nosaukuma Sqrrl?
Arī tas izriet no mūsu NVD saknēm. Slepenā vāvere bija karikatūras spiegu varonis 60. gados.
Cik jums šodien ir darbinieku? Kur viņi atrodas?
Pašlaik mums ir 50 darbinieku, no kuriem lielākā daļa atrodas mūsu Kembridžā, Masačūsetsas štābā. Mums ir paplašināšanās plāni strauji augt šā gada otrajā pusē.
Cik stundas dienā jūs parasti strādājat? Ko jums patīk darīt, kad nedarbojaties?
Es lielāko daļu laika pavadu, domājot par to, kā es varu palīdzēt klientiem pasargāt sevi no kiberdraudiem. Dažkārt tas var pārvērsties garās dienās. Tomēr tas nejūtas tik ļoti, jo diena rit tik ātri.
Kad es nestrādāju, es mīlu pavadīt laiku savu bērnu sporta pasākumos un vienkārši pavadīt laiku kopā ar ģimeni.
17.04.2023 @ 21:26
s ir jābūt spējīgiem apvienot un analizēt dažādus datu avotus, lai atklātu un novērstu draudus. Sqrrl Enterprise piedāvā spēcīgu drošības analīzes rīku komplektu, kas ļauj uzņēmumiem aktīvi medīt un izjaukt draudus, pirms tie nodara kaitējumu. Platforma izmanto NSA izstrādātu tehnoloģiju, kas ļauj atrast un izolēt pretiniekus, kas paslēpušies tīklā. Tas ļauj uzņēmumiem būt priekšā kiberuzbrukumiem un nodrošināt savu drošību.
Ko jūs varat man pateikt par savu cenu modeli? Mūsu cenu modelis ir balstīts uz uzņēmuma lielumu un vajadzībām. Mēs piedāvājam elastīgu cenu politiku, kas ļauj uzņēmumiem izvēlēties to, kas vislabāk atbilst viņu vajadzībām. Mēs arī piedāvājam bezmaksas demo, lai uzņēmumi varētu izmēģināt mūsu platformu pirms lēmuma pieņemšanas.
Kādi ir uzbrukumu veidi, kurus ir visvieglāk medīt? Kuras ir vissmagākās? Visvieglāk medīt ir uzbrukumi, kas atkārtojas un ir paredzami. Piemēram, phishing uzbrukumi, kas izmanto vienādus vai līdzīgus e-pasta adreses, lai maldinātu cilvēkus. Vissmagākās ir uzbrukumi, kas ir ļoti sarežģīti un izmanto jaun