Sqrrl – Vadászati fenyegetések, mielőtt valódi károkat okoznának
Nem lenne nagyszerű, ha a biztonsági támadásokra való reagálás helyett proaktívan le tudjuk vadászni és megszakíthatjuk őket, még mielőtt bármilyen károkat elkövetnének? Mark Terenzoni, az Sqrrl – egy fenyegetést vadító társaság – vezérigazgatója szerint ez valami, ami manapság nem csak lehetséges, de ma is tényleg szükséges ahhoz, hogy a kiber-támadások előtt maradjunk.
A mai feltevésnek azt kell feltételeznie, hogy a biztonsági fenyegetések már behatoltak a hálózat falaiba és támadásra készültek. Az Sqrrl fenyegetés vadászat platformja az NSA (Nemzetbiztonsági Ügynökség) által kifejlesztett és használt technológiát használja annak érdekében, hogy a biztonsági elemzők megtalálják ezeket az ellenfeleket rejtett hálózatukban, még mielőtt késő lenne..
Kérem, mondja el nekem egy kicsit magadról és háttéréről.
Négy évvel ezelőtt csatlakoztam az Sqrrl-hez. A befektetõk behívtak, hogy irányítsák a társaság stratégiai irányítását. Előtte különböző hálózati és tároló cégeknél dolgoztam – mind induló vállalkozásoknál, mind nagyvállalatoknál. Legutóbbi pozícióm, mielőtt csatlakoztam az Sqrrl-hez, az F5 Networks vezető alelnökeként dolgoztam.
Mielőtt belemerülne a termék részleteibe, beszéljünk magas szinten a cégéről és a termékről. Azt állítja, hogy az Sqrrl a „fenyegetés vadászcég” – mit értesz pontosan ezen?
A kibernetikus fenyegetés vadászatát úgy határozzuk meg, mint „proaktív és iteratív kutatás gyakorlása egy hálózaton vagy adatkészleten keresztül az automatizált megoldásokat elkerülő fejlett fenyegetések észlelésére és elkülönítésére”.
A ma jellemző tipikus helyzet az, hogy miután egy vállalat biztonsági csapata napokat töltött a biztonsági támadások elemzésével, előbb feltette a kérdést: “Miért nem fedeztük fel ezt korábban?”. Meg kell változtatni, hogy ne várjon, amikor reagál a kibernetikus támadásokat. Proaktívnak kell lennie, hogy megértse, mi történik a hálózatán, még mielőtt késő lenne.
Három lépésre vagy fázisra osztjuk a folyamatot:
- Cél:Terjessze ki a vizsgálatra felhasznált adatkészleteket. A vadászat különféle kiindulási pontokon ágazhat.
- Vadászat:Proaktív módon és iteratívan keressen hálózati és végponti adatokat az olyan speciális fenyegetések észlelésére és elkülönítésére, amelyek elkerülik a hagyományosabb biztonsági megoldásokat.
- megszakítása:Zökkenőmentesen foroghat a vadászattól a kriminalisztikai elemzésig, hogy megtámadja az ellenfeleket, mielőtt támadásaikat teljes mértékben végrehajtják. Ezek az elemzések új mutatókat generálhatnak, amelyeket be lehet építeni a kiegészítő biztonsági rendszerekbe, és így értékes biztonsági visszacsatolási ciklust hozhatnak létre.
Az egyik termék a Sqrrl Enterprise – kérlek, mondja el nekem.
Sqrrl Enterprise platformunk globális vezető szerepet játszik a fenyegetések vadászatában. Hisszük, hogy ahhoz, hogy valóban elérjük a fenyegetés vadászat korábban meghatározott célját, a vadászplatformnak a következő tulajdonságokkal és képességekkel kell rendelkeznie:
- Big Data képességek
- Viselkedés elemzése
- Valós idejű biztonsági viselkedés grafikon
- Vadászati munkafolyamat
- Sokféle adatforrás egységes szerkezeti nézete
- Nyújthatóság
- Nagymértékben skálázható
Hadd ossza meg Önnel a társaság néhány hátterét. A társaság alapítói és a fejlesztési csapat nagy része az NSA (Nemzeti Biztonsági Ügynökség) részéről jött ki. 2008-ban egy nagyon nagy, elosztott adatbázis-projekten dolgoztak együtt, amelyet elindítottak az NSA gyorsan növekvő adatszükségletének kielégítése érdekében. A projekt végül Apache Accumulo néven vált ismertté, és ma a Védelmi Minisztérium és az Egyesült Államok hírszerző közössége területén alkalmazzák. Ez egy NoSQL adatbázis, amely rendkívül skálázható és nagyon nagy teljesítményt nyújt.
2011-ben a központi motor nyílt forráskódú szoftverként került kiadásra. 2012-ben az Accumulo projekt egyik fő alkotója és közreműködője társalapítója volt az Sqrrl-nek, ezt a motort átvetve és elhelyezve a vállalati környezetben történő felhasználáshoz..
Mit mondhat nekem az árazási modelljéről??
Megpróbáljuk megtartani elég egyszerű és az ügyfél kezében van. Ez egy előfizetési modell, amelynek költsége két fő tényezőtől függ:
- Mennyi adatot szeretne tárolni a rendszerben
- Hány megnevezett elemző (azaz felhasználó) van.
Felkínál-e olyan szolgáltatást, ahol azonnal segítsen nekem, ha tudom, vagy gyanítom, hogy számítógépes támadást szenvedtem el?
Ez egy jó kérdés. Valójában nem megyünk utána a piacra. Vevőink többsége kapcsolatba lép velünk a folyamatos infrastruktúra támogatása érdekében. Van azonban néhány olyan partnerünk, akik az eszközöket használó vészhelyzeti eseményekre szakosodtak.
Milyen típusú támadásokat lehet legegyszerűbben vadászni? Melyek a legnehezebbek?
Nem az egyszerű dolgokra koncentrálunk. Az alapvető támadásokkal szembeni védelem érdekében azt mondjuk ügyfeleinknek, hogy biztosak legyenek a megfelelő irányelvek bevezetésében (és érvényesítsük azokat)..
Szoftverünk vadászik a különféle kompromisszummutatókra (IoC). IoC-k széles választéka van, az alapvető fájlkivonatoktól a taktikák, technikák és eljárások (TTP) feltöréséig. Biztonsági tanácsadónk, David Bianco a fájdalom piramisának nevezett fogalmat használja a IoC-k kategorizálásához. A diagram megmutatja, hogy milyen nehéz (fájdalmas) összegyűjteni az IoC-t a kiberbiztonsági eszközökkel, valamint azt, hogy az IoC-k milyen nagy fájdalmat okozhatnak az internetes ellenfeleknek.
Melyek a 3 legfontosabb tipp, amelyet a vállalatoknak ajánlhatnak a biztonsági támadások elkerülése érdekében?
Sajnos elmúlunk azon a szakaszon, ahol a megelőzés a válasz, tehát a következő három tipp:
- Gyűjtse össze a naplóit.
- A vonat az emberek.
- Tudja meg, hol található az összes eszköz.
Hogyan határozza meg piacát? Ki az Ön konkrét célközönsége azon a piacon?
Elsősorban a globális 1000 legfontosabb vállalatot célozzuk meg, bár bármely szervezet, amelynek SIEM (biztonsági információs és eseménykezelő) rendszere vagy SOC (biztonsági műveleti központ) működik, természetes potenciális ügyfél lenne számunkra. Minden vertikális piacon, beleértve a kormányokat is, kapcsolatba lépünk a vállalatokkal.
Hány aktív ügyfele van ma? Ahol elsősorban találhatóak?
Kínálunk cégeket az egész világon. Jelenleg mintegy 40 aktív ügyfelünk van, köztük tíz Fortune 100 vállalat.
Hogyan írná le jelenlegi tipikus vevőjét??
Jellemző üzletmennyiségünk 300K – 500K USD. Célunk, hogy termelékenyebbé tegyük az 1. szintű biztonsági elemzőket, és proaktívabbá tegyük a 3. szintű elemzőket.
Milyen módszereket használ általában új ügyfelek vonzása és vele való kapcsolattartás céljából?
Nem költenek sok időt vagy erőfeszítést a kimenő marketingre. Ehelyett a gondolatvezetésre és a jó minőségű tartalom megosztására koncentrálunk webhelyünkön. Ez arra készteti az ügyfeleket, hogy hozzánk jussanak, így több ügyfelünk bejövő. A biztonsági iparban egyre inkább „szem előtt tartva” válunk.
Kivel látja a fő versenytársait??
Ma fő versenytársaink azok a vállalatok, amelyek naplókezelő rendszereket használnak, hogy megpróbálják egyes információkat összegyűjteni.
Hogyan látja eszközöit annyira különbözõ és / vagy jobb, mint az övék??
Platformunk teljesen csomagolt, teljes mértékben támogatott és készen áll a dobozból történő működésre. Maga az eszköznek számos fő előnye van:
- Modern analitikai technológia, amely az árucikkek hardverén Petabytes méretarányú
- Viselkedési gráf, amely valós időben egyesíti az eltérő információkat
- A teljes helyzettudatosság vizuális bemutatása
Hogyan látja a fenyegetéskeresési technológiát és a biztonsági piacot általában az elkövetkező években??
A mai helyzetben a vállalatok költségvetésének 90% -át költenek a megelőzésre, 10% -át a felderítésre és a reagálásra. A tendencia a 40% -os megelőzés, valamint a 60% -os észlelés és reagálás felé mozdul el. Ez annak a ténynek a felismerése és elismerése, hogy a rossz fiúk akarat bejutni.
Néhány további megfigyelésem a következő:
- A CSO (biztonsági biztonsági tiszt) szerepe egyre fontosabbá és kiemelkedőbbé válik.
- A támadási felület gyorsan változik és gyorsan növekszik, a mobil eszközök és a felhőalapú megoldások fokozott használatával.
- A piac továbbra is nagyon „zajos”. A túlélő társaságok azok, amelyek valóban innovációkat folytatnak és ügyfelek problémáit oldják meg.
Milyen jövőbeli tervei vannak az Sqrrl-re vonatkozóan?
Azt tervezzük, hogy továbbra is piacvezetővé váljunk. Ez nem könnyű – a termék ütemterve soha nem ér véget, mert a támadók mindig innovációt folytatnak. Folyamatosan bővítjük további észlelési elemző eszközöket, finomítjuk a megjelenítő eszközöket, és zökkenőmentesen integráljuk ügyfeleink meglévő infrastruktúráját..
Mi a történet az Sqrrl név mögött??
Ez is az NSA gyökerein alapul. A Titkos Mókus rajzfilmfigura volt az 1960-as években.
Hány alkalmazottja van ma? Hol vannak??
Jelenleg 50 alkalmazottunk van, akiknek többsége Cambridge-ben, Massachusetts központjában található. Bővítési terveinkkel gyorsan növekedni fogunk az év második felében.
Naponta hány órát dolgozik? Mit szeretsz csinálni, ha nem dolgozik??
Időm nagy részét azon gondolkodom, hogy miként segíthetek az ügyfelek megvédeni magukat az internetes fenyegetésekkel szemben. Ez időnként hosszú napokra is lefordulhat. Ugyanakkor nem érzem magam, mivel a nap ilyen gyorsan elmúlik.
Amikor nem dolgozom, szeretek időt tölteni a gyerekeim sporteseményein, és csak együtt tölteni a családomat.
Randy
17.04.2023 @ 21:28
gy segítenek megelőzni a jövőbeli támadásokat. Az Sqrrl azért nevezi magát fenyegetés vadászcégnek, mert olyan platformot kínál, amely lehetővé teszi a biztonsági elemzők számára, hogy proaktívan vadásszanak a fenyegetésekre, még mielőtt károkat okoznának a hálózaton. Az egyik termék a Sqrrl Enterprise – kérlek, mondja el nekem. Az Sqrrl Enterprise egy olyan platform, amely lehetővé teszi a biztonsági elemzők számára, hogy proaktívan vadásszanak a fenyegetésekre, még mielőtt károkat okoznának a hálózaton. Az Enterprise lehetővé teszi a felhasználók számára, hogy bővítsék a vizsgálatra felhasznált adatkészleteket, és proaktívan keressenek hálózati és végponti adatokat az olyan speciális fenyegetések észlelésére és elkülönítésére, amelyek elkerülik a hagyományosabb biztonsági megoldásokat. A platform lehetővé teszi a felhasználók számára, hogy zökkenőmentesen forogjanak a vadászattól a kriminalisztikai elemzésig, hogy megtámadják az ellenfeleket, mielőtt támadásaikat teljes mértékben végrehajtják. Mit mondhat nekem az árazási modelljéről? Az Sqrrl árazási modellje a felhasználók számára rugalmas lehetőségeket kínál. Az árak a felhasználók számára személyre szabottak, és a felhasználók csak azokat a szolgált