VentureBeat 最近与 Palo Alto Networks 的创始人兼首席技术官 (CTO) Nir Zuk 进行了虚拟对话。Zuk 被认为是定义当前和未来网络安全格局的领先技术领导者之一。我们的采访重点介绍了机器学习如何帮助提高安全运营中心 (SOC) 的性能,以及机器学习在其 Cortex XSIAM 架构中的重要作用。
在 2005 年创立 Palo Alto Networks 之前,Zuk 是 NetScreen Technologies 的首席技术官,该公司于 2004 年被瞻博网络收购。在加入 NetScreen 之前,Nir 曾担任 OneSecure 的联合创始人兼首席技术官,OneSecure 是入侵防御和检测设备的早期先驱。Nir 还是 Check Point Software Technologies 的首席工程师,也是状态检测技术的开发者之一。
在截至 2024 年 1 月 31 日的 2024 财年第二季度,Palo Alto Networks 报告收入增长 19%,达到 20 亿美元,高于去年同期的 17 亿美元。该公司本季度的GAAP净收入增至17亿美元,而2023财年第二季度为1亿美元。Palo Alto Networks 为全球超过 85,000 家客户提供服务,其中包括全球 2000 强中的大多数。
VentureBeat:为什么机器学习 (ML) 对于提高安全运营中心 (SOC) 性能至关重要?
祖克: 为什么机器学习是必不可少的,因为我们希望从一种模式转变为一种模式,即你只调查你所知道的攻击,你发现哪些攻击在SOC中很少,调查基础设施中任何地方发生的每个事件,就好像它是攻击一样,然后处理它。我们正在从每隔几小时或每隔几天调查一次攻击,转变为每秒调查数十万或数千次潜在攻击。人类做不到这一点,我们需要机器学习。
VB:你已经谈了很多关于机器学习如何减少检测和响应时间的问题,包括你最近在2024年交响乐活动中的一次会议。机器学习如何彻底改变安全运营并帮助交付关键 SOC 指标?
祖克:我们从两个方面来看待安全性。网络安全的第一部分是试图将对手拒之门外。多年来,这确实是该行业的焦点。我认为我们已经意识到,因为我们不可能 100% 都是正确的,他们会尝试一百万次,如果我们错过了他们,一旦他们进去了。我们还应该在“让我们假设他们在里面。现在我们去找他们吧。
因此,当涉及到数据中心安全时,您必须两者兼而有之。你必须把他们拒之门外。这就是传统网络安全的作用。所以网络安全,当然包括数据中心和以太网之间的安全,内部安全进行分段。它包括端点安全性,可确保漏洞不被利用,恶意软件不运行。它包括身份和访问管理。甚至是特权访问管理 (PAM),我们不这样做。我们不进行身份访问或 PAM。它包括许多不同的东西。这是关于把他们挡在外面或不让他们横向走进去。
然后是它的第二部分,也就是你的问题,现在让我们假设他们在里面,所有的防御都失败了。SOC 的职责是寻找它们。我们称之为狩猎,即 SOC 中的狩猎函数。我们是怎么做到的?你需要机器学习,而不是[大型语言模型] LLM 或 GPT,而是真正的传统机器学习,既要把它们拒之门外,又要找到它们,如果它们已经在里面了。因此,我们可以在这里讨论两者,以及我们如何在这里使用机器学习,以及我们如何在那里使用机器学习。
VB:你是否看到你的客户正在增加他们使用的云平台的数量?他们是否来找你说,他们想要跨越云平台和数据中心之间的差异,以更好地处理云检测和响应?
尼尔·祖克:是的,我什至会走得更远。我认为安全运营团队正在与云作斗争。这意味着他们习惯于使用传统数据中心的更传统的企业,而云非常非常复杂。绝对。因此,他们正在与云作斗争。当然,安全运营中心 (SOC) 当然需要工具来帮助他们使用云。
您可能还记得几年前的某个时期,其中一个流行语是 DevSecOps。我们的想法是,SOC无法处理云,因此我们将在DevOps内部建立一个安全运营团队,我们将在那里处理云。事实证明,这不是正确的方法,因为他们面临着同样的挑战。因此,XSIAM 是一种解决方案,可以帮助安全运营中心(无论它们是专用于云还是通用的)处理云的复杂性。
VB:机器学习在Cortex XSIAM架构中扮演什么角色?
祖克:就XSIAM而言,它是一个基于机器学习的系统。而且由于它是一个基于机器学习的系统,它需要机器学习模型来模拟不同的攻击。其中一部分是我们如何使用机器学习来发现攻击。因此,我们专门开发了这些机器学习模型,今天,我们有大约 1,400 个。它们由网络安全专家开发,具体来说,它们是由具有攻击经验的研究人员开发的。更具体地说,我们使用前军事和情报网络攻击者来获取他们的网络攻击知识并将其转化为这些机器学习模型。
VB:当您交易这 1,400 个模型时,您是否正在考虑聚合和匿名化攻击数据,并使用攻击数据来训练您从各种客户交互中捕获的模型,而不是客户数据,而是攻击数据?
祖克: 因此,当涉及到LLM时,这种机器学习与您在市场上听到的机器学习不同。没有基于客户数据进行训练的机器学习模型。因此,这些都是机器学习模型,它们对客户数据进行训练,然后使用该训练来查找客户数据中的攻击。因此,您需要进行一段时间的培训,以了解客户基础架构的正常情况。然后,你使用这种训练来找到正常的异常情况和事情的偏差。你必须确保攻击者不会给你点煤气灯。模型经过训练,并分别对每个客户数据的客户数据运行。
VB:您认为客户对 SOC 指标的采用和使用有何看法?
祖克:是的,所以首先,我想说的是,我们在这里的使命是说服我们的客户开始测量检测的平均时间和响应的时间。在检测的同时,你发现发生了一些事情;当您发现事件时,您可以回到过去查看渗透发生的时间。这就是与此同时,这是检测它们的时候了。随着时间的推移,你平均它。这是检测的平均时间,一些研究表明它以月为单位。我不相信。我认为这是在几周内,但你知道,即使是几天的检测看起来也很糟糕。与此同时,恢复也是如此。它至少需要几个小时才能测量,甚至可能更多。因此,我们首先要完成的任务是说服客户开始测量这些。大多数,我们的绝大多数客户和潜在客户都没有衡量这些数字。
VB:你们是如何处理定价和升级的?
Zuk:XSIAM 的定价基于需要分析的数据量。我们尝试将其与现有 SOC 解决方案的定价顺序相同,尽管我们收集的数据至少是典型客户当前安全信息和事件管理 (SIEM) 的十倍,可能是一百倍。我们不希望 SOC 不得不将价格和预算提高到 10 倍或 100 倍。
椰有料原创,作者:小椰子啊,转载请注明出处:http://www.studioyz.com/5998.html
文章评论