Sqrrl – Veiðihótanir áður en þeir gera raunverulegt tjón


Væri ekki frábært ef í staðinn fyrir að bregðast við öryggisárásum gætum við raunverulega leitað að þeim með fyrirvara og truflað þær áður en þær gera eitthvað tjón? Samkvæmt Mark Terenzoni, forstjóra Sqrrl – ógnarveiðifyrirtækis – er þetta eitthvað sem er ekki aðeins mögulegt í dag, heldur er það í raun nauðsynlegt í dag til að vera á undan netárásum.

Forsendan í dag þarf að vera sú að öryggisógnir hafi þegar komist inn í veggi netsins og séu að búa sig undir árás. Sqrrl ógnarveiðipallurinn notar tækni sem NSA (Þjóðaröryggisstofnunin) hefur þróað og notuð til að gera öryggissérfræðingum kleift að finna þessa andstæðinga falna inni í neti sínu áður en það er of seint.

Contents

Vinsamlegast segðu mér aðeins frá sjálfum þér og bakgrunn þínum.

Ég gekk til liðs við Sqrrl fyrir fjórum árum. Fjárfestarnir komu með mig til að knýja fram stefnumörkun fyrirtækisins. Þar áður starfaði ég hjá ýmsum net- og geymslufyrirtækjum – bæði sprotafyrirtækjum og stórum fyrirtækjum. Síðasta staða mín áður en ég hóf störf hjá Sqrrl var starfandi varaforseti hjá F5 Networks.

Við skulum tala um fyrirtækið þitt og vöruna á háu stigi áður en þú ferð í kafa. Þú heldur því fram að Sqrrl sé „ógnarveiðifyrirtækið“ – hvað meinarðu nákvæmlega með það?

Við skilgreinum veiðar á netógn sem „framkvæmdina við að leita fyrirbyggjandi og endurtekin í gegnum net eða gagnasett til að greina og einangra háþróaðar ógnir sem komast hjá sjálfvirkum lausnum.“

Dæmigert ástandið í dag er að eftir að öryggissveit fyrirtækisins eyðir dögum í að greina öryggisárás, spyrja þeir þá fyrst spurningarinnar „Af hverju fundum við ekki upp fyrr?“ Það sem þarf að breyta er að þú ættir ekki að bíða með að bregðast við netárásum. Þú verður að vera fyrirbyggjandi til að skilja hvað er að gerast á netinu áður en það er of seint.

Við skiptum ferlinu niður í þrjú skref eða áfanga:

  1. Skotmark:Gildissvið gagnapakkanna sem verða notuð við rannsókn þína. Hunter geta útibú frá ýmsum upphafsstöðum.
  2. Veiði:Leitaðu með fyrirvara og endurtekningu í gegnum net- og endapunktgögn til að greina og einangra háþróaðar ógnir sem komast hjá hefðbundnari öryggislausnum.
  3. Trufla:Snerta óaðfinnanlega frá veiðum til réttargreiningar til að trufla andstæðinga áður en þeir framkvæma árásir sínar að fullu. Þessar greiningar geta einnig búið til nýja vísa sem hægt er að gefa í viðbótaröryggiskerfi og skapa dýrmæta endurgjöf öryggis.

Eina vöru þín er Sqrrl Enterprise – vinsamlegast segðu mér frá henni.

Sqrrl Enterprise pallurinn okkar er leiðandi á heimsvísu í ógnveiðum. Við teljum að til þess að ná raunverulega markmiðinu um ógnveiðar sem ég skilgreindi áður verður veiðipallurinn að hafa eftirfarandi einkenni og getu:

  • Big Data getu
  • Hegðunargreining
  • Rauntími öryggisatferðarhegðun
  • Vinnuflæði veiða
  • Ein skipulagssýn yfir margar mismunandi gagnaheimildir
  • Stækkanleiki
  • Gríðarlega stigstærð

Leyfðu mér að deila með þér einhverjum af bakgrunn fyrirtækisins. Stofnendur fyrirtækisins og mikill hluti þróunarteymisins komu út úr NSA (National Security Agency). Árið 2008 unnu þeir saman að mjög stóru, dreifðu gagnagrunnsverkefni sem byrjað var til að mæta ört vaxandi gagnaþörf NSA. Verkefnið varð að lokum þekkt undir nafninu Apache Accumulo og er notað í dag um varnarmálaráðuneytið og bandaríska leyniþjónustusamfélagið. Þetta er NoSQL gagnagrunnur sem er afar stigstærð og veitir mjög mikla afköst.

Árið 2011 var kjarnavélin gefin út sem opinn hugbúnaður. Árið 2012 stofnaði hópur kjarnahöfunda og framlag til Accumulo verkefnisins Sqrrl, tók þessa vél og staðsetur hana til að nota mál í fyrirtækisumhverfi.

Hvað geturðu sagt mér um verðlagslíkanið þitt?

Við reynum að halda er nokkuð einfalt og í höndum viðskiptavinarins. Þetta er áskriftarlíkan þar sem kostnaðurinn fer eftir tveimur meginþáttum:

  1. Hversu mikið af gögnum þú vilt geyma í kerfinu
  2. Hve margir nefndir greiningaraðilar (þ.e.a.s. notendur) áttu.

Býður þú þjónustu þar sem ég get látið þig hjálpa mér strax ef ég veit eða grunar að ég hafi orðið fyrir netárás?

Það er góð spurning. Við erum í raun ekki að fara eftir þeim markaði. Flestir viðskiptavinir okkar eiga samskipti við okkur vegna áframhaldandi stuðnings við innviði. Hins vegar höfum við nokkra samstarfsaðila sem sérhæfa sig í viðbrögðum við neyðaratvikum sem nota tæki okkar.

Hvaða tegundir af árásum er auðveldast að veiða? Sem eru erfiðustu?

Við einbeitum okkur ekki að einföldu hlutunum. Til að verjast grunnárásum, segjum við viðskiptavinum okkar að vera viss um að hafa viðeigandi stefnu til staðar (og framfylgja þeim).

Hugbúnaðurinn okkar leitar að ýmsum vísbendingum um málamiðlun (IoCs). Það eru til margs konar IoC-tæki, allt frá grunnritum til tölvusnáms, tækni og aðferðum (TTP). Öryggisráðgjafi okkar, David Bianco, notar hugtak sem kallast Pýramídi sársauka til að flokka IoCs. Skýringarmyndin sýnir hversu erfitt (sársaukafullt) það er að safna og beita IoC á netöryggisverkfæri auk þess hve mikill sársauki IoCs geta valdið óvinum á netinu.

pýramída_of_Sársauki

Hver eru 3 bestu ráðin sem þú myndir bjóða þér til að forðast öryggisárásir?

Því miður erum við komin framhjá þeim áfanga þar sem forvarnir eru svarið, svo þrjú helstu ráðin mín væru:

  1. Safnaðu annálum þínum.
  2. Þjálfa fólkið þitt.
  3. Vita hvar allar eignir þínar eru staðsettar.

Hvernig skilgreinir þú markað þinn? Hver er sérstakur markhópur þinn á þeim markaði?

Við miðum aðallega við helstu 1.000 fyrirtækin á heimsvísu, þó að öll samtök með SIEM (Security Information and Event Management) kerfi eða SOC (öryggisrekstrarmiðstöð) væru náttúrulegur hugsanlegur viðskiptavinur fyrir okkur. Við höfum samskipti við fyrirtæki á öllum lóðréttum mörkuðum, þar með talið ríkisstjórnum.

Hversu marga virka viðskiptavini hefur þú í dag? Þar sem þau eru aðallega staðsett?

Við þjónum fyrirtækjum um allan heim. Við höfum nú um 40 virka viðskiptavini, þar af tíu Fortune 100 fyrirtæki.

Hvernig myndirðu lýsa núverandi dæmigerðum viðskiptavini þínum?

Dæmigerð samningsstærð okkar er $ 300K – $ 500K. Markmið okkar er að gera stig 1 öryggisfræðingar afkastaminni og gera stig 3 greiningaraðila fyrirbyggjandi.

Hvaða aðferðir notar þú venjulega til að laða að og eiga samskipti við nýja viðskiptavini?

Við eyðum ekki miklum tíma eða fyrirhöfn í markaðssetningu á útleið. Við einbeittum okkur í staðinn að hugsunarleiðtogi og deilum hágæða efni á vefsíðu okkar. Þetta veldur því að viðskiptavinir koma til okkar, svo að fleiri af okkar leiða eru á heimleið. Við erum sífellt að verða „ofarlega í huga“ í öryggisiðnaðinum.

Hver sérðu sem helstu keppinauta þína?

Helstu samkeppnisaðilar okkar í dag eru fyrirtæki sem nota stýrikerfi fyrir annál til að reyna að setja saman nokkrar upplýsingar á eigin spýtur.

Hvernig sérðu verkfæri þín eins og önnur og / eða betri en þeirra?

Pallurinn okkar er að fullu pakkaður, fullkomlega studdur og tilbúinn til að vinna úr kassanum. Tólið sjálft hefur nokkra helstu kosti:

  • Nútíma greiningartækni sem mælist til Petabytes á vörubúnaði
  • Hegðun línurit sem blandar saman ólíkum upplýsingum í rauntíma
  • Sjónræn framsetning á fullu ástandsvitund

Hvernig sérðu tækni fyrir ógnveiðar og öryggismarkaðinn almennt þróast á næstu árum?

Staðan í dag er sú að fyrirtæki ver 90% af fjárhagsáætlun sinni í forvarnir og 10% í uppgötvun og viðbrögð. Þróunin breytist í átt að 40% forvörnum og 60% uppgötvun og svörun. Þetta er í viðurkenningu og viðurkenningu á þeirri staðreynd að vondu strákarnir mun Komdu inn.

Nokkrar af athugunum mínum eru:

  • Hlutverk CSO (aðal öryggisfulltrúa) verður sífellt mikilvægara og áberandi.
  • Yfirborðsárás árásarinnar er að breytast og vaxa hratt með aukinni notkun farsíma og skýjabundinna lausna.
  • Markaðurinn er enn mjög „hávær.“ Fyrirtækin sem lifa af eru þau sem raunverulega eru nýjungar og leysa vandamál viðskiptavina.

Hver eru framtíðaráform þín fyrir Sqrrl?

Við áætlum að halda áfram að vera leiðandi á markaði. Þetta er ekki auðvelt – vegvísi vörunnar lýkur aldrei, vegna þess að árásarmennirnir eru alltaf með nýsköpun. Við munum stöðugt bæta við fleiri greiningartækjum fyrir uppgötvun, betrumbæta sjónskreytitæki okkar og samþætta betur í núverandi innviði viðskiptavina okkar.

Hver er sagan á bak við nafnið Sqrrl?

Þetta stafar líka af rótum okkar NSA. Secret Squirrel var teiknimynd njósnarapersóna á sjöunda áratugnum.

Hversu marga starfsmenn hefur þú í dag? Hvar eru þeir staðsettir?

Við höfum nú 50 starfsmenn, þar af meirihlutinn í höfuðstöðvum Cambridge í Massachusetts. Við höfum áætlanir um stækkun ört vaxandi á seinni hluta þessa árs.

Hversu marga tíma á dag vinnur þú venjulega? Hvað finnst þér gaman að gera þegar þú ert ekki að vinna?

Ég eyði mestum tíma mínum í að hugsa um hvernig ég get hjálpað viðskiptavinum að verja sig fyrir netógnunum. Þetta getur þýtt á langa daga stundum. Það líður þó ekki svo mikið þar sem dagurinn flýgur svona hratt yfir.

Þegar ég er ekki að vinna elska ég að eyða tíma á íþróttaviðburðum barnanna minna og að hanga bara með fjölskyldunni.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map