由于支持云基础架构、数字优先业务计划和正在进行的虚拟劳动力项目捉襟见肘,IT 和网络安全部门正在转向托管安全服务 (MSS) 提供商,以帮助缩小其网络安全基础架构中的差距。仅在一年内,MSS行业就增长了9.8%[需要订阅],收入达到139亿美元。MSS的核心部分是托管检测和响应(MDR),去年增长了48.9%。
网络安全战略首先是业务决策
MSS提供商提供各种第三方专业监控和管理服务,旨在保护其客户的IT基础设施免受破坏企图和网络攻击。他们的服务为所有客户 IT 资产提供 24/7 全天候保护,并且许多客户已经开发出独特的方法来识别、隔离和消除风险和威胁。
由于创建速度快于许多组织跟踪的更多计算机身份,再加上新的数字优先业务计划,威胁面呈指数级增长,这使得网络安全首先成为业务决策,其次是 IT。因此,MSS 解决方案是从头开始设计的,旨在提供推动业务成果所需的运营、管理和安全技术。
领先的 MSS 提供商在提供日志管理、暴露评估和管理、监控、端点安全和实施安全技术方面拥有良好的业绩记录。然而,他们对零信任网络访问(ZTNA)的看法受到客户在采用该框架的同时实现业务目标的实际需求的影响。MSS提供商也看到了所有客户对虚拟劳动力支持的强烈需求,因为许多IT和网络安全部门面临着快速增长的复杂工作量的倦怠。
托管安全服务的状态
在当今在托管服务领域竞争的众多MDR提供商中,Pondurance以其对人工智能(AI)的创新使用,完全透明和网络安全服务的范围而脱颖而出,所有这些都得到了训练有素的专家威胁猎人的加强。该公司的威胁分析师挫败了同时针对多个威胁面的漏洞、勒索软件和复杂的社会工程攻击。
VentureBeat最近与Pondurance的创始人兼首席客户官Ron Pelletier和首席战略官Lyndon Brown进行了交谈。Pondurance专注于高度监管的行业 - 包括医疗保健和金融服务,这些行业受到网络犯罪分子,有组织犯罪团伙和高级持续威胁(APT)组织的攻击 - 使他们能够深入了解这些行业中组织面临的特定威胁。该公司还深入了解这些组织必须保护的系统,以及他们需要管理的持续风险。
VentureBeat:哪些网络安全威胁因素对MDR和MSS市场的当前和未来增长影响最大?
罗恩·佩尔蒂埃:我们必须考虑推动MDR市场的两个因素 - 业务方面和威胁方面。在业务方面,信不信由你,其中一个风险与了解您的MDR或MSS提供商有关,因为MDR是一个热门话题,一些提供商希望利用该术语进行相关性。仅仅因为供应商说他们做MDR,是吗?我认为公司必须经过尽职调查过程才能知道他们正在获得真正的MDR解决方案。从网络威胁的角度来看,有趣的是,我们已经看到多因素身份验证(MFA)等控制非常有效,这导致威胁行为者证明他们是进取的。
林登·布朗: 他们希望找到绕过 MFA 或其他有效控制(如 EDR[端点检测和响应])的方法,并确保他们仍然可以获利并取得成功。我们在这里看到了一些不同的东西:高级攻击者正在为零日漏洞利用投入大量精力,试图对技术进行逆向工程并进行直接利用。无论是边缘设备还是像 MFA 这样的安全解决方案,如果他们能通过它,他们就可以绕过以前阻止他们闯入的控制。最近,VPN 设备受到攻击和破坏,为内部系统提供了直接路径,尤其是在尚未在整个组织中实施 MFA 的情况下。因此,我们继续看到威胁行为者的真正进取本质。
VentureBeat:MSS将如何在未来的服务产品中发展其方法,以应对当前和未来的威胁因素?
佩尔蒂埃: 因此,我们知道的一件事是,只要威胁行为者是活生生的,呼吸的,人类,你就总是需要人类在防御方面。几十年来,技术确实取得了进步,特别是在过去几年的MDR方面,我们的平台也取得了进步。我们已将其构建为可扩展、云原生和可扩展,以扩展和满足客户的未来需求。我们知道,威胁行为者、技术、战术等会随着时间的推移而变化,因此能够拥有持久的安全性至关重要。机器学习和其他功能有助于确保我们的 MDR 服务具有弹性,我们的团队在检测当今的威胁并预测其演变时,一直在学习和培训以提高弹性。
棕色: 对我们来说,机器学习和自动化始终同时包含技术和人员发展。在人员方面,关键是支持和培训我们的分析师,以进一步了解他们的知识并将其应用于保护客户。我们需要能够将不同信息之间的点连接起来并有效地应用其直觉的分析师。我们知道的一些事情仍将是一个挑战,特别是围绕威胁行为者被激励访问网络。进一步推进我们基于风险的方法,并继续将机器学习与人类智能相结合,仍然是我们的MSS和MDR服务产品如何应对当前和未来威胁的核心。
VentureBeat:MDR如何成熟,以应对当今勒索软件攻击的数量和威胁?
佩尔蒂埃:MDR 和 MSS 解决方案的关键是它必须灵活和动态。它不能是静态的。最终状态不仅仅是部署 MDR 解决方案。林登提到了人为因素,技术和使用它的人类都必须进化并继续吸收各种数据。不仅是从嵌入式机器学习和人工智能中流入的技术,还有可以通过其他渠道确定的威胁情报。我给你举个例子。我今天刚刚向董事会介绍了一起正在进行加密攻击的事件。这是在他们完全部署 MDR 解决方案之前。我们能够对一条情报采取行动,并在[威胁]变成更多事件之前摆脱它。
VentureBeat:人工智能机器学习和威胁猎人能否阻止勒索软件,这些猎人具有识别和消除威胁的专业知识?
佩尔蒂埃:它可以,人工智能已经走了很长一段路。从真正意义上讲,它的能力仍然相当狭窄。它是扩展编程。提高威胁的可视性是我们竞争的方式,也是托管安全服务未来的核心。不良行为者也将开始使用人工智能等技术。因此,我们几乎产生了反作用,正如林登所说,人类健康变得更加重要。所以是的,我认为使用人工智能是有好处的。我们已经证明,借助 EDR 解决方案,我们现在在防止恶意软件方面的有效性超过了 90%。但是,我们必须记住,不良行为者使用相同的技术来绕过它们。
VentureBeat:Pondurance如何利用其MDR和MSS方法帮助客户更好地量化和降低风险?
佩尔蒂埃: 我们确保最终状态不是简单地部署解决方案或为了解决方案而部署技术。我们必须确保我们调整环境规模。我们带来的是一个非常精明和称职的咨询计划,就虚拟CISO或vCISO而言,这是一个真正的安全能力,可以帮助建立和了解我们的客户必须保护什么,以便正确的技术可以指向最有价值的资产。因此,这一咨询服务部分变得非常重要,并且与MDR高度互补。
VentureBeat:您如何向运营领导者(包括首席运营官和首席执行官)保证,您的MDR方法非常适合他们不断变化的网络安全需求,甚至是他们的传统技术堆栈?
佩尔蒂埃: 我们强调 MDR 服务的动态性质;不依赖于部署的内容,而是不断获取许多不同的威胁数据源,无论是威胁公告还是入侵的确定性指标,将它们输入解决方案,然后确保可见性。我们还提供了一个额外的咨询组件来查看和评估风险,包括扩展解决方案以确保我们涵盖客户数据资产的所有点。确保我们拥有构成扩展网络的系统和所有组件的完整清单(假设可能会发生变化)至关重要。
棕色:从结构上讲,我们去年收购了一个名为MyCyberScorecard的产品和技术,现在这是我们提供的解决方案的一部分,以帮助客户了解他们的网络安全差距,任何合规性缺陷以及为什么值得保护他们的政策。我们还可以帮助他们根据自己过去的安全评估或结果对他们的安全状况进行基准测试,以帮助他们了解存在的风险。
VentureBeat:您的客户是否要求您在实施中设计风险管理指标,以便他们可以使用数据构建业务案例,以证明花费更多是合理的?
佩尔蒂埃:我们发现,试图量化风险可能会让人负担过重。我们使用CSF框架,网络安全框架,作为一个很好的基线,因为我们可以从监管要求和其他事情中映射各种控制元素,从定性的角度看待它。我们还尝试根据实施因素和控制的工作方式以及客户运营成熟的速度来评估成熟度。关键是不要在量化风险可能性和影响方面陷入太深的泥潭。如果您可以使用“可能”和“高”等术语定性地分配风险,那么您仍然可以根据控制的有效性来衡量结果。这就是我们认为指标在更务实的方面发挥作用的地方。
VentureBeat:您从整合 MDR 技术(包括 AI 机器学习和您独特的专业威胁搜寻方法)中学到的最有价值的经验教训是什么?
佩尔蒂埃:仅靠技术无法解决网络安全问题;这也需要人类的判断。我们不断培训和培养我们的精英威胁猎人,实时使用数据进行操作。我们识别以前未知的威胁,利用机器学习或使用它来揭示感兴趣的事物的能力也是它的另一部分。客户正在与 MDR 提供商合作,专注于他们的核心业务并擅长他们正在做的事情。无论是医院、制造工厂还是金融服务公司,他们的业务都不安全,而我们的业务却是。对于每个组织来说,了解威胁参与者及其活动的所有技术细微差别以及机器学习模型可能应用的各种技术和功能的细微差别是不可行的;这是我们的工作。这就是为什么与合适的组织合作非常重要的原因。他们应该成为您团队的延伸,具有有效所需的特定能力。
VentureBeat:您的客户在将新的安全技术引入您的MSS框架并要求它们集成到您的MSS框架方面有多灵活?
佩尔蒂埃: 端点安全技术就是一个很好的例子。MDR 客户通常会选择 EDR 提供商,然后选择我们,因为我们将帮助他们做出最佳的网络安全设计决策,以推动他们的业务增长。因此,我们做出了许多设计决策并进行了大量分析,并且我们正在提出一个核心技术堆栈 - 通常是我们的技术和最佳解决方案的组合 - 旨在满足他们的需求。同时,我们在吸收和使用现有技术数据方面为他们提供灵活性。
棕色: 我可以强调网络安全的一个领域,它有助于或使我们脱颖而出,与众不同并增加价值:数据湖及其对客户网络安全的影响。我们希望我们的客户以与我们的分析师相同的方式看待它,以便他们能够做出数据驱动的决策。他们可能会将数据湖用于运营目的,但我们的重点在于保护它。一致的数据是关键,因此我们都通过同一个管理平台查看相同的结果。
VentureBeat:在服务连续性、可靠性和客户满意度方面,您运营哪些类型的SLA?
棕色:是的,我们在那里做了几件事。我们做的第一件事就是把钱放在嘴边。在与客户签订的合同中,如果出现我们无法满足他们严格的可用性要求的情况,我们会将他们归功于他们。因此,我们的内部要求远远高于行业平均水平,衡量标准包括可用性、响应能力、减少停机时间的能力,以及我们灵活调整或适应客户不断变化的业务需求的速度。为了超越这些数字,并对我们实现内部基准的能力感到兴奋,我们利用我们的平台来衡量客户参与的不同方面,同时寻求新的方法来精简我们的团队。这可确保在正确的时间向分析师提供正确的信息,并确保信息以易于使用的方式呈现。我们业务的所有这些方面都是可以实现的,因为我们将它们构建到我们的平台中;我们了解我们的表现,并可以确保我们不断移动针头,使我们的团队更有效地实现和超越客户目标。
VentureBeat:在向具有广泛多云架构的客户提供MDR服务时,最大的挑战是什么?
佩尔蒂埃: 在过去几年中,我们已经看到了有关云采用的增长和快速加速的一些事情。客户更关注多云配置,认识到一个云中的中断可能会给整个基础架构带来安全风险。我们看到客户也更精确地定义云路线图。一个特别关注的领域是从他们的 AWS 投资中获得更多价值,特别是在数据包镜像方面。
棕色: 我们看到了一个不同的功能集,用于云平台在四年后需要提供的功能集。责任共担模型是在云中定义网络安全业务案例的核心。但是,云本质上是不安全的,需要明确定义如何逐个客户使用共担责任模型。在基础架构和 API 级别保护共享混合云也至关重要。我们正在投资研发,以确保我们的客户能够拥有安全的混合云配置,这是一个今天得到回报的领域。
VentureBeat:为什么人工智能和机器学习非常适合MDR/MSS的未来,需要改进这些技术,使其在解决复杂的MDR挑战时更有价值?
棕色: 根据安全性中存在的数据量,AI 和机器学习非常适合。随着组织在更多样化的基础架构中采用更多控制,攻击者可以更好地隐藏在接缝之间,从而使整个平台的可见性和可观察性变得至关重要。有如此多的数据,以至于期望人类能够对所有数据进行分类是不合理的。这就是这些基于统计的方法,如机器学习和人工智能,发挥作用的地方。
许多威胁利用异构方法,因此需要多个输入和数据源。更具挑战性的是,每个潜在威胁背后的逻辑都是有条件的。人类擅长的是制作复杂的逻辑树并应用直觉。在这个领域,机器学习仍处于其发展和整体采用率的早期阶段,但我们对今天在研发中看到的情况感到非常兴奋。
VentureBeat:没有零信任,任何关于网络安全的采访都是不完整的。那么,与MDR格局相关的零信任的未来是什么?
棕色:我们的客户看到了这个概念的价值,因为它为不同的网络带来了可见性和控制力,而隐含信任的概念造成了网络弱点。对任何网络集成点的信任度越高,它就越容易出错和被破坏。
每个资源、每个会话授予的最低特权访问权限是要走的路。假设跨网络、应用程序和云平台的信任允许不良行为者攻击宝贵的资源。但是,我们已经了解到,我们不能对网络安全技术和零信任感到自满。我们必须假设攻击者将通过业务、电子邮件入侵或其他方式获得访问权限。公司如何与MDR和MSS提供商合作解决这一挑战将决定最终是否成为头条新闻。
椰有料原创,作者:小椰子啊,转载请注明出处:http://www.studioyz.com/4268.html
文章评论