Sqrrl – Որսորդական սպառնալիքներ, նախքան նրանք իսկական վնաս են հասցնում


Լավ չի՞ լինի, եթե փոխարենը չարձագանքելով անվտանգության հարձակումներին, մենք կարողանայինք փաստորեն ակտիվորեն հետապնդել դրանք և խանգարել նրանց ՝ նախքան որևէ վնաս հասցնելը: Ըստ Sqrrl- ի ՝ սպառնալիք որսորդական ընկերության գործադիր տնօրեն Մարկ Թերենցոնիի կարծիքով, սա մի բան է, որն այսօր ոչ միայն հնարավոր է, այլև իրականում անհրաժեշտ է այսօր ՝ կիբերհարձակումներից առաջ մնալու համար:.

Ենթադրվում է, որ այսօր ենթադրվում է, որ անվտանգության սպառնալիքներն արդեն ներթափանցել են ցանցի պատերը և պատրաստվում են հարձակման: Sqrrl սպառնալիք որսորդական պլատֆորմը օգտագործում է ԱԱԾ-ի կողմից մշակված և օգտագործված տեխնոլոգիան `անվտանգության վերլուծաբաններին հնարավորություն տալու համար գտնել իրենց հակառակորդներին ցանցի մեջ թաքնված այս հակառակորդներին նախքան դա շատ ուշ է.

Contents

Խնդրում եմ, պատմեք մի փոքր ձեր և ձեր նախապատմության մասին.

Ես միացել եմ Sqrrl- ին չորս տարի առաջ: Ներդրողների կողմից ինձ բերեցին ընկերության ռազմավարական ուղղությունը ղեկավարելու համար: Դրանից առաջ ես աշխատել եմ ցանցային և պահեստային մի շարք ընկերություններում `ինչպես սկսնակ, այնպես էլ խոշոր ընկերություններ: Իմ վերջին պաշտոնը Sqrrl- ին միանալուց առաջ F5 Networks- ի ավագ փոխնախագահն էր.

Նախքան ապրանքի մանրամասներին սուզվելը, եկեք խոսենք ձեր ընկերության և արտադրանքի մասին բարձր մակարդակի վրա: Դուք պնդում եք, որ Sqrrl- ը «սպառնալիք որսորդական ընկերությունն» է, կոնկրետ ի՞նչ նկատի ունեք?

Մենք սահմանում ենք կիբեր սպառնալիքների որսումը որպես «պրակտիկորեն և iteratively ցանցի կամ տվյալների միջոցով որոնման պրակտիկա ՝ ավտոմատացված լուծումներից խուսափող առաջատար սպառնալիքները հայտնաբերելու և մեկուսացնելու համար»:

Սովորական իրավիճակն այսօր այն է, որ ընկերության անվտանգության թիմի կողմից անվտանգության ծառայության հարձակումը վերլուծող օրեր անցկացնելուց հետո նրանք նախ հարցնում են. «Ինչո՞ւ մենք դա չենք հայտնաբերել ավելի վաղ»: Փոխելն այն է, որ չպետք է սպասել, որ կիբերհարձակումներին արձագանքեն: Դուք պետք է ակտիվ լինեք ՝ հասկանալու համար, թե ինչ է կատարվում ձեր ցանցում, նախքան այն շատ ուշ է.

Մենք գործընթացը տրոհում ենք երեք քայլի կամ փուլերի.

  1. Թիրախ.Ընդունեք տվյալների հավաքածուները, որոնք կօգտագործվեն ձեր քննության մեջ: Որսորդները կարող են ճյուղավորվել տարբեր մեկնարկային կետերից.
  2. ՈրսProանցային և վերջնակետային տվյալների միջոցով պրակտիկորեն և պարբերաբար որոնել որոնում առաջատար սպառնալիքները հայտնաբերելու և մեկուսացնելու համար, որոնք խուսափում են անվտանգության ավելի ավանդական լուծումներից:.
  3. Խանգարել.Առանձնապես առանցքային շեղվել որսից մինչև դատաբժշկական վերլուծություն ՝ հակառակորդներին խանգարելու համար, նախքան նրանք լիովին կատարեն իրենց հարձակումները: Այս վերլուծությունները կարող են նաև առաջացնել նոր ցուցանիշներ, որոնք կարող են ներառվել անվտանգության լրացուցիչ համակարգերի մեջ ՝ ստեղծելով անվտանգության արժեքավոր հետադարձ կապի հանգույց.

Ձեր մեկ արտադրանքը Sqrrl Enterprise- ն է, խնդրում եմ պատմեք ինձ այդ մասին.

Մեր Sqrrl Enterprise պլատֆորմը սպառնալիքների որսորդության համաշխարհային առաջատարն է: Մենք հավատում ենք, որ իրականում հասնելու սպառնալիքների որսորդական նպատակին, որը ես նախանշել էի, որսորդական պլատֆորմը պետք է ունենա հետևյալ բնութագրերն ու հնարավորությունները.

  • Մեծ տվյալների հնարավորություններ
  • Վարքի վերլուծություն
  • Անվտանգության իրական ժամանակի պահվածքի գծապատկեր
  • Որսաշրջանառություն
  • Տվյալների բազում տարբեր աղբյուրների միասնական կառուցվածքային տեսակետ
  • Ընդարձակելիություն
  • Զանգվածաբար մասշտաբային

Թույլ տվեք ձեզ հետ կիսել ընկերության ֆոնին: Ընկերության հիմնադիրներն ու զարգացման թիմի մեծ մասը դուրս են եկել ԱԱԾ-ից (Ազգային անվտանգության գործակալություն): Դեռևս 2008 թ.-ին նրանք միասին աշխատեցին բազում բաշխված տվյալների բազայի վրա, որը սկսվել էր NSA- ի տվյալների արագ աճող կարիքները բավարարելու համար: Ծրագիրը, ի վերջո, հայտնի դարձավ որպես Apache Accumulo և այսօր օգտագործվում է Պաշտպանության դեպարտամենտում և ԱՄՆ հետախուզական համայնքում: Դա NoSQL տվյալների շտեմարան է, որը ծայրաստիճան փոփոխական է և ապահովում է շատ բարձր կատարողականություն.

2011-ին հիմնական շարժիչը թողարկվեց որպես բաց կոդով ծրագրակազմ: 2012 թ., Մի խումբ հիմնական ստեղծողներ և Accumulo նախագծի ներդրողներ համահիմնադրեցին Sqrrl- ն ՝ վերցնելով այս շարժիչը և տեղադրելով այն ձեռնարկության միջավայրում օգտագործման դեպքերի համար:.

Ի՞նչ կարող եք ինձ ասել ձեր գների մոդելի մասին?

Մենք փորձում ենք պահել, որը շատ պարզ է և հաճախորդի ձեռքում: Այն բաժանորդագրման մոդել է, որտեղ արժեքը կախված է երկու հիմնական գործոնից.

  1. Որքա՞ն տվյալ եք ուզում համակարգում պահել
  2. Քանի՞ անուն վերլուծաբան ունեք (այսինքն ՝ օգտագործողներ).

Դուք առաջարկում եք այնպիսի ծառայություն, որտեղ ես կարող եմ ձեզ օգնություն ցույց տալ, եթե ես իմանամ կամ կասկածում եմ, որ կիբերհարձակման եմ ենթարկվել?

Դա լավ հարց է: Մենք իրականում չենք գնում այդ շուկայի հետևից: Մեր հաճախորդների մեծ մասը ներգրավվում է մեզ հետ `ենթակառուցվածքների շարունակական աջակցության համար: Այնուամենայնիվ, մենք ունենք մի քանի գործընկերներ, որոնք մասնագիտանում են արտակարգ դեպքերի արձագանքման գործընթացում, որոնք օգտագործում են մեր գործիքները.

Որո՞նք են հարձակման այն տեսակները, որոնք ամենահեշտ որսն են: Որոնք են ամենադժվարը?

Մենք չենք կենտրոնանում պարզ իրերի վրա: Հիմնական հարձակումներից պաշտպանվելու համար մենք ասում ենք, որ մեր հաճախորդները համոզված լինեն, որ համապատասխան քաղաքականություն կիրականացվի (և դրանք կիրարկեն).

Մեր ծրագրակազմը որսում է փոխզիջման տարբեր ցուցանիշների (IoC): Գոյություն ունեն IoC- ների լայն բազմազանություն ՝ սկսած հիմնական ֆայլերի ընդհատումներից մինչև մարտավարությունը, տեխնիկան և ընթացակարգերը (TTP) թալանել: Մեր անվտանգության հարցերով խորհրդական Դեվիդ Բիանկոն IoC- ները դասակարգելու համար օգտագործում է «calledավի բուրգ» հասկացությունը: Դիագրամը ցույց է տալիս, թե որքան դժվար (ցավալի) է հավաքել և կիրառել IoC- ն կիբեր անվտանգության գործիքների, ինչպես նաև, թե որքան ցավ կարող է ազդել IoC- ները կիբեր հակառակորդների վրա:

բուրգ

Որո՞նք են այն 3 լավագույն խորհուրդները, որոնք կառաջարկեիք ընկերություններին ՝ անվտանգության հարձակումներից խուսափելու համար?

Դժբախտաբար, մենք անցնում ենք այն փուլը, որտեղ կանխարգելումը պատասխանն է, այնպես որ իմ առաջին երեք խորհուրդները կլինեն.

  1. Հավաքեք ձեր տեղեկամատյանները.
  2. Վերապատրաստեք ձեր ժողովրդին.
  3. Իմացեք, թե որտեղ են գտնվում ձեր բոլոր ակտիվները.

Ինչպե՞ս եք սահմանում ձեր շուկան: Ո՞վ է այդ շուկայում ձեր հատուկ թիրախային լսարանը?

Մենք հիմնականում թիրախավորում ենք համաշխարհային առաջատար 1000 ընկերությունները, չնայած որ SIEM (Security Information and Event Management) համակարգ կամ ցանկացած SOC (անվտանգության գործողությունների կենտրոն) ցանկացած կազմակերպություն մեզ համար բնական հնարավոր հաճախորդ կլիներ: Մենք համագործակցում ենք ընկերությունների հետ բոլոր ուղղահայաց շուկաներում, ներառյալ կառավարությունները.

Քանի՞ ակտիվ հաճախորդ ունեք այսօր: Որտեղ դրանք հիմնականում գտնվում են?

Մենք սպասարկում ենք ընկերություններին ամբողջ աշխարհում: Ներկայումս մենք ունենք մոտ 40 ակտիվ հաճախորդ, այդ թվում տաս Fortune 100 ընկերություն.

Ինչպե՞ս կբնութագրեք ձեր ներկայիս բնորոշ հաճախորդը?

Գործարքի մեր բնորոշ չափը $ 300K – $ 500K է: Մեր նպատակն է 1-ին մակարդակի անվտանգության վերլուծաբաններին առավել արդյունավետ դարձնել և 3-րդ մակարդակի վերլուծաբաններին առավել ակտիվ դարձնել.

Ինչ մեթոդներ եք սովորաբար օգտագործում նոր հաճախորդների ներգրավման և ներգրավման համար?

Մենք մեծ ժամանակ կամ ջանք չենք ծախսում արտագնա շուկայավարման համար: Փոխարենը մենք կենտրոնանում ենք մտքի ղեկավարության վրա և մեր կայքում բարձրորակ բովանդակության փոխանակման վրա: Սա ստիպում է, որ հաճախորդները գան մեզ մոտ, այնպես որ մեր ավելի շատ ուղիներ ներգնա: Մենք ավելի ու ավելի ենք դառնում «մտքի գագաթնակետ» անվտանգության ոլորտում.

Ո՞վ եք տեսնում որպես ձեր հիմնական մրցակիցներ?

Այսօր մեր հիմնական մրցակիցներն այն ընկերություններն են, որոնք օգտագործում են տեղեկամատյանների կառավարման համակարգեր, որոնք փորձում են ինքնուրույն հավաքել որոշ տեղեկություններ.

Ինչպե՞ս եք տեսնում, որ ձեր գործիքները տարբեր են և / կամ ավելի լավ, քան իրենցը?

Մեր պլատֆորմը լիովին փաթեթավորված է, ամբողջովին օժանդակ է և պատրաստ է դուրս աշխատել վանդակից: Գործիքը ինքնին ունի մի քանի հիմնական առավելություններ.

  • Ժամանակակից վերլուծական տեխնոլոգիան, որը ապրանքանիշի ապարատային մասշտաբի է հասցնում Petabytes- ին
  • Վարքագծի գրաֆիկ, որը միավորում է անհամապատասխան տեղեկատվությունը իրական ժամանակում
  • Ամբողջ իրավիճակային իրազեկության վիզուալ ներկայացում

Ինչպե՞ս եք տեսնում սպառնալիք որսի տեխնոլոգիան և առհասարակ անվտանգության շուկան ՝ զարգանալով առաջիկա տարիներին?

Այսօր իրավիճակն այն է, որ ընկերությունները իրենց բյուջեի 90% -ը ծախսում են կանխարգելման համար, իսկ 10% -ը `հայտնաբերման և արձագանքման վրա: Թրենդը անցնում է դեպի 40% կանխարգելում և 60% հայտնաբերման և արձագանքման: Սա ի գիտություն և ընդունում է այն փաստը, որ չար մարդիկ են կամք ներս մտնել.

Իմ դիտարկումներից ևս մի քանիսն են.

  • ՔՀԿ-ի (անվտանգության գլխավոր պատասխանատու) դերը գնալով դառնում է ավելի կարևոր և ակնառու.
  • Հարձակման մակերեսային տարածքը փոփոխվում և արագորեն աճում է ՝ բջջային սարքերի և ամպի վրա հիմնված լուծումների մեծացման միջոցով.
  • Շուկան դեռ շատ «աղմկոտ» է: Ընկերությունները, որոնք գոյատևում են, իրականում նորարարություն են ներկայացնում և լուծում են հաճախորդների խնդիրները.

Որո՞նք են Sqrrl- ի հետագա անելիքները?

Մենք նախատեսում ենք շարունակել լինել շուկայի առաջատարը: Սա հեշտ չէ. Արտադրանքի ճանապարհային քարտեզը երբեք չի ավարտվում, քանի որ հարձակվողները միշտ նորամուծություններ են ունենում: Մենք շարունակաբար կավելացնենք հայտնաբերման անալիզի ավելի շատ գործիքներ, կբարելավենք մեր վիզուալացման գործիքները և ավելի սերտորեն ինտեգրվելու մեր հաճախորդների առկա ենթակառուցվածքին:.

Ինչ է պատմությունը Sqrrl անվան տակ?

Դա նույնպես բխում է մեր NSA արմատներից: Secret Squirrel- ը 1960-ականներին մուլտֆիլմերի լրտեսական կերպար էր.

Այսօր քանի՞ աշխատակից ունեք: Որտեղ են նրանք գտնվում?

Մենք ներկայումս ունենք 50 աշխատող, որոնց մեծ մասը գտնվում է Մասաչուսեթսի մեր Քեմբրիջ քաղաքում: Մենք ունենք ընդլայնման ծրագրեր, որոնք այս տարվա երկրորդ կեսին արագ աճ կունենան.

Օրական քանի ժամ եք աշխատում: Ինչ եք սիրում անել, երբ դուք չեք աշխատում?

Ես ժամանակի մեծ մասն եմ ծախսում ՝ մտածելով, թե ինչպես կարող եմ օգնել հաճախորդներին պաշտպանվել իրենց կիբեր սպառնալիքներից: Սա կարող է ժամանակ առ ժամանակ թարգմանվել երկար օրերի: Այնուամենայնիվ, այդքան էլ չի զգում, քանի որ օրն այդքան արագ թռչում է.

Երբ ես չեմ աշխատում, ես սիրում եմ ժամանակ անցկացնել երեխաներիս մարզական միջոցառումների ժամանակ և պարզապես հանգստանալ ընտանիքիս հետ.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me