MDR: O que traz o futuro - Parte 1 (2024)

A primavera começa

Agora que o inverno está atrás de nós e a primavera está começando, nosso gerente de produtos está recebendo uma detecção e resposta de serviços, Grant Eeling, uma olhada no restante de 2024 e depois.Como é o futuro?

Escrevi no ano passado que o mundo era um lugar louco.2023 não parece ter reduzido o caos.Como também escrevi no ano passado, as mídias sociais penetram em nossas vidas e influenciam o que fazemos, como nos comportamos e no que acreditamos.A privacidade continua sendo um atendimento global - não apenas em relação à maneira como as empresas usam nossos dados, mas como é aparente com os recentes tiktokcrevers, também em relação à forma como os governos podem se aproximar dos dados um do outro.E, é claro, o impacto da IA ​​é indispensável em nossas vidas diárias e na maneira como fazemos negócios.

Em relação ao crime cibernético, as coisas também parecem ser cada vez mais rápidas.A pressão agora aumenta a ser uma empresa cibernética resistente.Cerca de 17 anos atrás, quando comecei em segurança cibernética, não tínhamos nada assim.A pergunta na época era: "Precisamos disso?"A questão agora é: "Quanto podemos fazer?"E isso não é fácil de equilibrar.A economia global permanece sob pressão e, portanto, geralmente temos a fazer mais com menos.Essa é em parte a razão pela qual, por exemplo, a Microsoft conseguiu conquistar uma grande participação de mercado em segurança, você podeaquiMais sobre leitura.

O impacto na sociedade também está começando a ser sentido por aqueles que estão fora das empresas afetadas.Quando pensamos em oleodutos coloniais e outros incidentes, vemos que esses incidentes influenciam as coisas mais fundamentais que esperamos ser estáveis ​​em nossas vidas - combustível, abastecimento de água, fornecimento de energia, alimentos, componentes de tecnologia - essa lista continua.E isso não se deve à abundância de ataques especificamente destinados à própria infraestrutura de OT, como pode ser lido em nossoblog sobre este assunto, mas continua sendo uma preocupação e quase um "quando, não como" cenário.Afinal, ataques de ransomware e cobertura cibernética (CY-X) não eram tão fáceis de executar no passado.Portanto, a perspectiva pode ser sombria.

Ai virá para salvar o dia ou arruinar o dia?

Eu vejo muita discussão sobre issoChatgptE ai em geral.

• A IA pode realmente nos ajudar a melhorar nosso jogo no campo da segurança cibernética?Para nos oferecer uma mão amiga ou até mesmo substituir trabalhos inteiros?
• Ou será usado por criminosos cibernéticos apenas para nos dar mais miséria?

Minha tendência atual não é.Continuo fã dos escritos de Rodney Brooks sobre o assunto IA.E o primeiro de seus "sete pecados capitais" está superestimando e subestimação.Ele se refere à lei de Amara - "tendemos a superestimar o efeito da tecnologia no curto prazo e a subestimar o efeito a longo prazo".

Refrigo essa declaração altamente falando e penso imediatamente no hype atual em torno da IA ​​generativa, como o ChatGPT.A realidade é que a IA está presente na segurança cibernética há vários anos.A IA representa a substituição de funções específicas, não a replicação completa da mente humana.Mas essa é a definição de IA - infelizmente é frequentemente mal interpretada por pessoas que realmente não têm um conhecimento aprofundado do próprio IA, com exceção de algumas outras palavras do burburinho, como "aprendizado de máquina", "Deeplearning" e "Datascience ".

Então, qual é a minha visão do impacto da IA ​​e o impacto na segurança cibernética?

Acredito que continuará ajudando nossos defensores (e com a crescente complexidade de defender uma empresa contra ataques cibernéticos - precisamos).Eu também acredito que ele continuará sendo abusado, mas novamente não para criar novos vetores de ataque, mas para melhorar a eficiência do uso de existência.Anteriormente, mostrei em uma apresentação que levou o ChatGPT 40 segundos para fazer a base de um belo perfil falso do LinkedIn para mim.Lá hoje está seu uso principal.Manipulação social.Porque infelizmente é extremamente eficiente nisso.

MDR cresceu?

Eu disse em 2022Que eu pensei que a detecção e a resposta gerenciada (MDR) deveria ser muito mais madura.E com isso, nossos conceitos de MDR também podem ter que ser reunidos.

Ainda existem alguns problemas pouco claros.

Sim, como setor, ainda dizemos: "Quero monitorar a AWS" e "Quero monitorar o Azure".Então, vou repetir um pouco o que escrevi no ano passado - não porque sou preguiçoso (afinal, eu poderia ter escrito se quisesse, certo?) Mas porque tudo o que eu disse ainda é relevante.

A mensagem mais importante da MDR de que somos transferidos para nossos clientes sempre foi:"Faça bem o básico".O ajuste pode vir mais tarde, mas a maioria das ameaças com as quais somos confrontadas hoje vêm através de técnicas livremente padronizadas.O crime cibernético é um grande negócio e isso significa que o ecossistema deve crescer com a demanda.Por sua vez, isso produziu "empresas" como o Ransomware como serviço.O foco em ameaças importantes e comuns é um bom ponto de partida e, quando se trata da nuvem, o mesmo mantra se aplica.Os princípios básicos podem ser um pouco diferentes nesse caso, mas ainda há coisas essenciais que podemos fazer que terão um enorme impacto na parada de ataques antes que seja tarde demais.Exemplos disso são:

• detectar identidades/contas comprometidas que realizam atividades suspeitas em seu ambiente de nuvem;
• Detectar dados expostos sobre o cloudsources não garantidas, como armazenamento vinculado, bancos de dados expostos ou páginas do github;
• Detectar o abuso das tecnologias de cooperação baseadas na nuvem para garantir que elas não abrem a porta dos fundos da empresa;
• Ajustando os processos e procedimentos para a resposta a incidentes para levar em consideração o modelo de responsabilidade compartilhada na nuvem.

Ainda existem maneiras diferentes (tudo dentro da capacidade do tradicional triângulo SOC de log, endpoint e detecção baseada em rede) de detectar ataques na nuvem, mas temos que começar com os riscos.

Em resumo, "a nuvem" não é um risco.É uma fonte de muitos riscos.E, portanto, temos que reconhecer os riscos de poder detectá -los e poder responder a eles.Se você quiser saber mais, venha falar sobre os riscos que vemos e eles devem ser abordados na segurança da nuvem em diferentes níveis de maturidade da segurança.Estamos felizes em ajudá-lo no seu caminho com uma extensa estratégia de detecção, seja você um Azure, AWS, GCP ou um ambiente de várias nuvens.

Eu preciso de automação.Dê -me automação!

Soar é o novo Siem.

Não faço uma piada, recebi várias solicitações no ano passado em que nos perguntam se podemos fazer qualquer forma de automação e orquestração.Se oferecemos um serviço gerenciado em torno da tecnologia Soar?

Minha resposta é sempre a mesma: "Claro ... o que você quer automatizar?"

Automatishering é uma estratégia poderosa e que todos temos que abraçar;Não duvido disso por um segundo.Se você não automatizar o máximo possível, sua empresa não é tão eficiente quanto poderia ser.

Mas, ao mesmo tempo, você verá que mencionei a automação como uma estratégia.Porque deve ser considerado, programado, planejado e executado continuamente.Você não pode automatizar o que ainda não está fazendo.Você não pode tornar os processos mais eficientes se eles não existirem.

Portanto, embora a tecnologia esteja lá, leva tempo.Construir demos nas quais um simples manual é feito em alguns minutos pode não ajudar.Eles criam a ilusão de simplicidade quando se trata de automação e orquestração.Não é tão fácil.

Então, vamos olhar para os resultados.Comecei com a afirmação "Soar é o novo Siem" porque são tecnologias muito semelhantes, no sentido de que são muito flexíveis e poderosas, mas se você não sabe o que está fazendo ou mais importante, eles podem se tornar erros muito caros .

Estamos aqui para impedir que você cometa esses erros!Trabalhamos duro na automação, para identificar constantemente oportunidades e avaliar essas oportunidades e dar prioridade.Tudo vem de um sólido processo de melhoria contínua.Os programas de automação devem fazer parte disso e, em seguida, você descobrirá que há muito a ser obtido.

Estes são alguns pontos importantes que vejo o futuro da detecção e resposta gerenciadas (MDR).

EmA segunda parte deste blogObservamos a crescente importância da inteligência de ativos no MDR e por que isso pode fazer a diferença.