Hur teknikleverantörer bÀst kan betjÀna nÀtverkshÀndelser

Neptune.ai samlar in 8 miljoner dollar för att effektivisera utvecklingen av ML-modeller


.

Eftersom ett ökande antal organisationer drabbas av cyberattacker Ă€r det uppenbart att incidentrespons under en aktiv intrĂ„ng Ă€r otroligt stressande. DĂ€rför mĂ„ste leverantörer höja sitt spel för att hjĂ€lpa kunder med data, verktyg, fokus och expertis – sĂ€rskilt i en tid dĂ„ de behövs som mest. I en vĂ€rld dĂ€r offentliga intrĂ„ng Ă€r ett problem för de flesta stora organisationer mĂ„ste teknikleverantörer ta sig tid att lyssna och förstĂ„ deras utmaningar för att vĂ€gleda dem att hitta rĂ€tt lösning. Leverantörer har tillgĂ„ng till de mest avancerade molnberĂ€knings-, lagrings- och sökteknikerna, insyn i attacker frĂ„n mĂ„nga kunder och kunskap om effektiva försvarsmetoder. SOC-team drar dock sĂ€llan nytta av dessa resurser.

Brist pÄ data: historisk tillbakablick och leverantörer

Det Ă€r ett vĂ€lkĂ€nt faktum att hot dröjer sig kvar lĂ€nge innan de upptĂ€cks – 280 dagar enligt IBMs forskning. Varför erbjuder dĂ„ SaaS NDR-leverantörer bara 30, 60 eller kanske till och med 90 dagars tillbakablick? Molnet erbjuder praktiskt taget obegrĂ€nsad lagring, sĂ„ borde inte en historisk tillbakablick Ă„tminstone matcha hur lĂ€nge hoten dröjer sig kvar?

Ett exempel:

20 februari 2020: SUNBURST-attacken kompilerades och distribuerades via SolarWinds Orion Platform DLL. 8 december 2020: Första upptÀckten av SUNBURST-attacken. 8 december 2020 till idag: 18 000 statliga enheter och Fortune 500-företag som reagerar pÄ attackerna och utreder attackerna. .

Dagarna efter den 8 december 2020 gick sÀkerhetsteam för att undersöka historiska data för att se om nÄgon av indikatorerna pÄ kompromiss hade passerat deras nÀtverk. Lagen utmanades dock av bristande nÀtverkssynlighet, dÀr tillgÀnglig metadata ofta strÀckte sig över nÄgra dagar. De lyckliga hade en mÄnads data, eller i bÀsta fall 90 dagar. Inget av detta tillÀt dem att undersöka tillbaka till SUNBURST-attacken som först utplacerades i februari 2020 för att förstÄ det exakta beteendet hos angriparna i deras nÀtverk och risknivÄn för organisationen.

Detta fÄr oss att undra varför vi har cloud computing med praktiskt taget obegrÀnsad lagring, men leverantörer tar inte tag i dessa utmaningar för sina kunder.

Tidsbrist

Om du nÄgonsin har varit en del av ett sÀkerhetsteam under en incident förstÄr du kapplöpningen mot tiden. Varje sekund rÀknas. Det hÀr Àr inte melodrama; det Àr en tryckkokare. Det Àr ocksÄ en av anledningarna till utbrÀndhet hos sÀkerhetsanalytiker.

Ta till exempel modern ransomware. FrÄn tidpunkten för första upptÀckten av nÀrvaron av en angripare i nÀtverket, Àr det en kapplöpning för att mildra deras handlingar innan du faller offer för dyra lösenutbetalningar, krypterad kritisk data som pÄverkar verksamheten, dubbel utpressning för exfiltrerad data och obeveklig mediabevakning med alla ger en Äsikt om vad du bör göra och dina handlingar.

Och Ă€ndĂ„ fokuserar sĂ€kerhetsleverantörer sĂ€llan pĂ„ att tillhandahĂ„lla verktyg som pĂ„skyndar utredningar. De Ă€r fasta pĂ„ att kunna “upptĂ€cka” och lĂ€mna resten upp till sĂ€kerhetsteamet. Återigen, varför? Leverantörer har praktiskt taget obegrĂ€nsad berĂ€kningskraft, men de flesta erbjuder inte detta grundlĂ€ggande vĂ€rde. Med nuvarande NDR-verktyg tvingas utredare söka efter hĂ€ndelser en i taget. Varför kan de inte söka parallellt? Varför kan inte flera teammedlemmar alla arbeta tillsammans för att dela sökningar, dela resultat och samarbeta? Vidare, varför erbjuder lösningarna inte hotspecifika spelböcker med “hĂ€r Ă€r ‘uppsatsen’ du bör verifiera”, eller Ă€nnu vĂ€rre, föreslĂ„r att du anvĂ€nder en annan produkt för att undersöka och börja mycket av arbetet igen dĂ€r.

MolnberÀkningsmöjligheterna finns men leverantörer sÀtter dem inte i arbete för sina kunder.

Brist pÄ fokus

Kommer du ihĂ„g löftet om SaaS-baserade sĂ€kerhetsverktyg? Flytta dina sĂ€kerhetslösningar frĂ„n on-prem till molnet, och du behöver aldrig underhĂ„lla din lösning – du fĂ„r alla fördelar med cloud computing. NĂ„vĂ€l, löftet kĂ€nns som att det har fallit lite platt, eller hur?

Det Ă€r sant att dina SaaS-sĂ€kerhetsprodukter fĂ„r de senaste uppdateringarna i tid – men som vi delade tidigare, fĂ„r du inte fördelarna med molnberĂ€kning med obegrĂ€nsad lagring och datorkraft. Vad som Ă€r vĂ€rre Ă€r att med hjĂ€lp av maskininlĂ€rning krĂ€ver mĂ„nga av de “tekniska framstegen” nu att din personal utför oĂ€ndliga detektionsinstĂ€llning och FP-reducerande anstrĂ€ngningar. Med andra ord, leverantörer har skickat pengarna till ditt team för att fĂ„ högtrogna resultat, vilket ofta gynnar dem lika mycket som du!

SĂ€ljare mĂ„ste kliva fram och eliminera dessa distraktioner. Vissa leverantörer anammar begreppet “guidad SaaS” dĂ€r lösningen Ă€gs och drivs av ditt team, men mjukvaruuppdateringar, upptĂ€ckt/falskpositiv justering, systemunderhĂ„ll och hĂ€lsokontroller utförs av leverantören sĂ„ att du kan fokusera pĂ„ “Jobb 1” — hothantering. Jag applĂ„derar detta tillvĂ€gagĂ„ngssĂ€tt och hoppas att andra leverantörer kommer att kliva fram och inkludera detta i sitt erbjudande, istĂ€llet för att bara ta ut avgifter för professionella tjĂ€nster för nĂ„got de borde ha gjort i första hand.

Brist pÄ vÀgledning

Vi har konstaterat att brist pĂ„ fokus, data och tid Ă€r tre stora utmaningar som sĂ€kerhetsteam stĂ„r inför. Det fjĂ€rde hindret för snabb respons Ă€r hotspecifik kunskap. Incident responders behöver kĂ€nna till en motstĂ„ndares taktik, tekniker, procedurer (TTP) och avsikter för att kunna svara heltĂ€ckande med sĂ€kerhet. Återigen, leverantörer gör ett dĂ„ligt jobb med att hjĂ€lpa sina kunder hĂ€r, och tvingar sĂ€kerhetsutövare att utföra sin egen forskning om TTP:er och information om motstĂ„ndarens avsikt sĂ„ att de sjĂ€lva kan bestĂ€mma hur de ska svara.

NDR-leverantörer sitter pÄ en guldgruva av kunskap om hotaktörens TTP:er och avsikter, men de delar inte med sig av sin kunskap med sina kunder. Leverantörers hotforskning samlar in en hel del handlingsbar intelligens om ett effektivt svar för ett givet hot, men de har inga mekanismer för att dela den informationen.

Vissa leverantörer erbjuder tillÀggsexpertis, men den delade informationen handlar nÀstan alltid om deras produkt, inte hur man reagerar pÄ en specifik incident. Varför hjÀlper inte NDR-leverantörer sina kunder i deras största behov genom att dela med sig av expertis som erhÄllits frÄn kunskap om överskridande distribution, crowdsourced data och hotforskning? Och inte pÄ tal frÄn leverantörer, men som en incidentreaktion skulle hjÀlpa en annan?

En utmaning för leverantörer: Höj ribban för framgÄng

Vi mÄste göra bÀttre ifrÄn oss. Vi mÄste kÀnna empati och förnya oss för att eliminera de verkliga utmaningarna som sÀkerhetsteam stÄr inför. Maj 2022 börjar, och fortsÀtter, med att verkligen lyssna pÄ kunderna.

.

DataDecisionMakers

VĂ€lkommen till VentureBeat-communityt!

DataDecisionMakers Àr dÀr experter, inklusive tekniska personer som arbetar med data, kan dela datarelaterade insikter och innovation.

Om du vill lĂ€sa om banbrytande idĂ©er och aktuell information, bĂ€sta praxis och framtiden för data- och datateknik, gĂ„ med oss ​​pĂ„ DataDecisionMakers.

Du kan till och med övervÀga att bidra med en egen artikel!

LÀs mer frÄn DataDecisionMakers