Sqrrl – Lov prijetnji prije nego što stvarno napravi štetu

Ne bi li bilo sjajno kada bismo umjesto reagiranja na sigurnosne napade mogli proaktivno ih loviti i rastjerati prije nego što naprave bilo kakvu štetu? Prema Marku Terenzoniju, izvršnom direktoru tvrtke Sqrrl – lovačke grupe na prijetnje – to je nešto što nije moguće samo danas, već je zapravo potrebno i danas kako bi ostali ispred cyber napada.

Danas je potrebna pretpostavka da su sigurnosne prijetnje već prodrle kroz zidove mreže i pripremaju se za napad. Platforma za lov na prijetnje Sqrrl koristi tehnologiju koju je razvio i koristio NSA (Nacionalna agencija za sigurnost) kako bi sigurnosni analitičari mogli pronaći ove protivnike skrivene unutar njihove mreže prije nego što bude prekasno.

Molim te, reci mi malo o sebi i svojoj pozadini.

Pridružio sam se Sqrrlu prije četiri godine. Doveli su me ulagači kako bih upravljao strateškim pravcem tvrtke. Prije toga radio sam u raznim mrežama i skladištima – kako startapima, tako i velikim tvrtkama. Moje najnovije mjesto prije nego što sam se pridružio Sqrrlu bio sam kao stariji potpredsjednik u F5 Networks.

Prije nego što se udubite u pojedinosti o proizvodu, razgovarajmo o svojoj tvrtki i proizvodu na visokoj razini. Tvrdite da je Sqrrl “tvrtka za prijetnju prijetnjama” – što pod tim točno mislite?

Mi definiramo cyber prijetnju prijetnjama kao “praksu pretraživanja proaktivno i iterativno putem mreže ili skupa podataka radi otkrivanja i izoliranja naprednih prijetnji koje izbjegavaju automatizirana rješenja.”

Tipična situacija danas je da nakon što sigurnosni tim tvrtke provede dane analizirajući sigurnosni napad, oni prvo postavljaju pitanje „Zašto to nismo ranije otkrili?“ Ono što treba promijeniti je da ne biste trebali čekati da reagirate na cyber- napadi. Morate biti proaktivni da biste shvatili što se događa u vašoj mreži prije nego što bude prekasno.

Proces razgrađujemo na tri koraka ili faze:

  1. Cilj:Opseg podataka koji će se koristiti u vašoj istrazi. Lovi se mogu granati s različitih polazišta.
  2. Lov:Proaktivno i iterativno pretražujte podatke putem mreže i krajnjih točaka kako biste otkrili i izolirali napredne prijetnje koje izbjegavaju tradicionalna sigurnosna rješenja.
  3. Poremetiti:Besprijekorno se okreću od lova do forenzičke analize, kako bi se poremetili protivnici prije nego što u potpunosti izvrše napade. Te analize također mogu generirati nove pokazatelje koji se mogu unijeti u komplementarne sigurnosne sustave, stvarajući vrijednu petlju sigurnosnih povratnih informacija.

Vaš jedan proizvod je Sqrrl Enterprise – molim vas recite mi o tome.

Naša platforma Sqrrl Enterprise globalni je lider u lovu na prijetnje. Vjerujemo da za postizanje cilja lova na prijetnje koji sam prethodno definirao, lovačka platforma mora imati sljedeće karakteristike i mogućnosti:

  • Velike mogućnosti podataka
  • Analitika ponašanja
  • Grafikon ponašanja u stvarnom vremenu
  • Lovski tijek rada
  • Jedinstveni strukturni prikaz mnogih različitih izvora podataka
  • rastegljivost
  • Masovno skalabilno

Dopustite da podijelim s vama neke od pozadina tvrtke. Osnivači tvrtke i veći dio razvojnog tima izašli su iz NSA (Nacionalne agencije za sigurnost). Još 2008., zajedno su radili na vrlo velikom projektu raspodijeljene baze podataka koji je pokrenut kako bi udovoljili NSA-ovim brzo rastućim podacima. Projekt je na kraju postao poznat pod nazivom Apache Accumulo i danas se koristi u cijelom Ministarstvu obrane i američkoj obavještajnoj zajednici. To je NoSQL baza podataka koja je izuzetno skalabilna i pruža vrlo visoke performanse.

U 2011. godini osnovni motor objavljen je kao softver otvorenog koda. Godine 2012., grupa glavnih stvaralaca i suradnika projekta Accumulo suosnivala je Sqrrl, uzevši ovaj motor i pozicionirajući ga za upotrebu u poslovnom okruženju.

Što mi možete reći o vašem modelu cijena?

Trudimo se da je prilično jednostavno i u rukama kupca. To je model pretplate, gdje trošak ovisi o dva glavna faktora:

  1. Koliko podataka želite pohraniti u sustav
  2. Koliko imenovanih analitičara (tj. Korisnika) imate.

Nudite li uslugu gdje mogu dobiti pomoć mi odmah, ako znam ili sumnjam da sam pretrpio cyber-napad?

To je dobro pitanje. Ne idemo stvarno nakon tog tržišta. Većina naših kupaca radi s nama za stalnu podršku infrastrukturi. Međutim, imamo nekoliko partnera koji su se specijalizirali za hitne slučajeve koji koriste naše alate.

Koje su vrste napada koje je najlakše loviti? Koje su najteže?

Ne fokusiramo se na jednostavne stvari. Da bismo se zaštitili od osnovnih napada, klijentima poručujemo da su sigurni da imaju primjerena pravila (i da ih provode).

Naš softver traži razne pokazatelje kompromisa (IoC). Postoji širok raspon IoC-ova, u rasponu od osnovnih hashe-datoteka do hakiranja taktike, tehnike i postupaka (TTP-a). Naš savjetnik za sigurnost David Bianco koristi koncept pod nazivom Piramida boli da bi kategorizirao IoC-ove. Dijagram prikazuje koliko je teško (bolno) prikupiti i primijeniti IoC na alate za cyber sigurnost, kao i koliko boli IoC mogu nanijeti cyber protivnicima

pyramid_of_Pain

Koja su tri najbolja savjeta koja biste ponudili tvrtkama da izbjegnu sigurnosne napade?

Nažalost, prošli smo fazu u kojoj je prevencija odgovor, pa bi moja prva tri savjeta bila:

  1. Prikupite svoje zapisnike.
  2. Osposobite svoje ljude.
  3. Znajte gdje se nalazi sva vaša imovina.

Kako definirate svoje tržište? Tko je vaša specifična ciljna publika na tom tržištu?

Ciljamo uglavnom na top 1.000 svjetskih tvrtki, iako bi svaka organizacija koja ima sustav SIEM (Sigurnosne informacije i upravljanje događajima) ili SOC (centar za sigurnosne operacije) prirodni potencijalni kupac za nas. Surađujemo s tvrtkama na svim vertikalnim tržištima, uključujući vlade.

Koliko aktivnih kupaca imate danas? Tamo gdje su uglavnom smješteni?

Opslužujemo tvrtke širom svijeta. Trenutno imamo oko 40 aktivnih kupaca, uključujući deset Fortune 100 tvrtki.

Kako biste opisali svog trenutnog tipičnog kupca?

Naša uobičajena veličina posla je 300 000 USD – 500 000 USD. Naš cilj je učiniti analitičare razine 1 produktivnijima i analitičare razine 3 učiniti proaktivnijima.

Koje metode obično koristite za privlačenje i suradnju s novim kupcima?

Ne trošimo puno vremena ili napora na odlazni marketing. Mi smo se umjesto toga usredotočili na misaono vodstvo i dijeljenje visokokvalitetnog sadržaja na našoj web stranici. To uzrokuje kupce da nam se obrate, tako da je više naših vodiča ulazno. Sve više postajemo „vrhom uma“ u sigurnosnoj industriji.

Koga vidite kao svoje glavne konkurente?

Naši glavni konkurenti danas su tvrtke koje koriste sustave upravljanja zapisnicima kako bi pokušale samostalno prikupiti neke podatke.

Kako vidite da su vaši alati različiti i / ili bolji od njihovih?

Naša je platforma u potpunosti zapakirana, potpuno podržana i spremna za rad izvan okvira. Sam alat ima nekoliko glavnih prednosti:

  • Suvremena analitička tehnologija koja na robnom hardveru mjeri do Petabajta
  • Grafikon ponašanja koji osigurava različite informacije u stvarnom vremenu
  • Vizualna prezentacija pune situacijske svijesti

Kako vidite tehnologiju lova na prijetnje i sigurnosno tržište općenito, razvijajući se u narednim godinama?

Danas je situacija da tvrtke troše 90% svog proračuna na prevenciju i 10% na otkrivanje i reagiranje. Trend se kreće prema 40% prevencije i 60% otkrivanja i reagiranja. To je u prepoznavanju i priznavanju činjenice da su negativci htjeti Uđi.

Još nekoliko mojih opažanja su:

  • Uloga OCD-a (glavnog sigurnosnog službenika) postaje sve važnija i istaknutija.
  • Površina napada napada se brzo mijenja i raste s povećanom upotrebom mobilnih uređaja i rješenja temeljenih na oblaku.
  • Tržište je i dalje vrlo “bučno”. Tvrtke koje su preživjele su one koje doista inoviraju i koje rješavaju probleme s kupcima.

Koji su vaši budući planovi za Sqrrl?

Planiramo nastaviti biti lider na tržištu. Ovo nije lako – plan proizvoda nikad se ne završava jer napadači uvijek izvode inovacije. Konstantno ćemo dodavati još alata za analizu otkrivanja, usavršavati alate za vizualizaciju i ravnomjernije se integrirati u postojeću infrastrukturu naših kupaca..

Koja je priča iza imena Sqrrl?

To također proizlazi iz našeg NSA korijena. Tajna vjeverica bila je crtani špijunski lik u šezdesetim godinama.

Koliko danas imate zaposlenih? Gdje se nalaze?

Trenutno imamo 50 zaposlenih, od kojih se većina nalazi u našem sjedištu u Cambridgeu, Massachusetts. Imamo planove za širenje koji će brzo rasti u drugoj polovici ove godine.

Koliko sati dnevno normalno radite? Što volite raditi kad ne radite?

Većinu vremena provodim razmišljajući o tome kako mogu pomoći kupcima da se zaštite od cyber prijetnji. To se ponekad može pretvoriti u duge dane. Ali ne osjeća se tako mnogo, jer dan tako brzo leti.

Kada ne radim, volim provoditi vrijeme na sportskim događajima svoje djece i družiti se s obitelji.