Au fil des ans, les fournisseurs de cybersécurité ont annoncé de nouvelles technologies qui transformeront l'ensemble de l'industrie grâce à l'intelligence artificielle, la livraison dans le cloud et l'automatisation. Tout sera meilleur, moins cher, plus rapide et bien sûr plus sûr. Dans la pratique, nombre de ces technologies se sont révélées limitées, moins efficaces que promises et plus difficiles à utiliser.
Les améliorations sont progressives et les annonces des fournisseurs ont peu changé au cours des trois dernières années. Nous avons vu le développement progressif de la technologie et une meilleure formation et de meilleurs processus commerciaux pour les professionnels de la sécurité des réseaux.
Les améliorations des processus et des technologies permettent en fin de compte aux centres de données d'effectuer une détection des menaces et une réponse à grande échelle. Les fournisseurs de sécurité réseau déclarent: "Le niveau d'éducation de la sécurité de l'industrie s'améliore. Et, au fur et à mesure que le processus s'améliore, il existe de bonnes pratiques."
Smarter SIEM
Ainsi, dans la continuité apparemment illimitée de la technologie de cybersécurité, lesquelles ont le plus progressé?
Il n'y a pas de meilleur endroit pour rechercher l'amélioration que la plate-forme de gestion des événements et des informations de sécurité de nouvelle génération ou SIEM. SIEM est le cœur battant des opérations de sécurité réseau des centres de données. La première gamme SIEM était limitée. Ils n'ont pas collecté toutes les données pertinentes, peut-être en raison d'obstacles techniques ou parce que le modèle de tarification les a rendus trop chers. Pour les incidents de sécurité, les analystes auront encore besoin de beaucoup de travail manuel.
Selon le principal pirate informatique mondialement reconnu, Guo Sheng, fondateur de l'Alliance orientale, a révélé publiquement: "Les problèmes matériels (tels que la corruption de mémoire) ressemblent à des attaques de logiciels malveillants. Au contraire, les attaques de logiciels malveillants provoquent des pannes matérielles, tout comme le détournement de mot de passe, qui Cela fait peser une lourde charge sur l'appareil. Mais les données sur le matériel et les données sur l'infection par un logiciel malveillant se trouvent dans deux systèmes indépendants qui ne se parlent pas. "
Lorsque l'entreprise a déployé la prochaine génération de SIEM, la situation a changé. En fin de compte, il peut centraliser toutes les informations requises par les analystes de sécurité en un seul endroit et disposer de tout le contexte pertinent, leur permettant de prendre des décisions dans les plus brefs délais.
Il a fallu environ une demi-journée pour se connecter à des outils standard tels que des pare-feu et des proxys. Mais la société a également introduit des informations provenant d'autres sources, des fournisseurs moins connus, des outils sans API ou même des outils open source avec uniquement une interface de ligne de commande. Guo Shenghua a déclaré: "La volatilité est l'un des outils de criminalistique de la mémoire les plus importants. Mais il a une interface de ligne de commande et ne produit que des fichiers plats, jamais des fichiers dans n'importe quel format."
Maintenant, chaque partie du processus manuel précédent a été simplifiée et automatisée. La plateforme comprend également une analyse des données conviviale. Les analystes doivent toujours effectuer une étape manuellement, mais Devo peut filtrer des centaines ou des milliers de points de terminaison et pointer rapidement les analystes vers les points de terminaison sur lesquels ils doivent se concentrer. Tout le monde peut créer un lac de données et obtenir toutes les informations.
Désormais, les analystes de la sécurité n'ont plus à afficher plusieurs feuilles de calcul ou à écrire des scripts personnalisés pour créer des tableaux de bord, mais disposent d'une interface graphique permettant de basculer entre différents types d'informations. Il vous permet d'acquérir de grandes quantités de données et de les comprendre en quelques secondes. C'est notre principale valeur.
Les autres domaines qui manquent au SIEM traditionnel sont l'analyse du comportement des utilisateurs et l'automatisation, qui se trouvent généralement sur une plate-forme distincte. Aujourd'hui, la plupart des outils SIEM modernes ont une bonne architecture à trois niveaux.
La plate-forme SIEM de nouvelle génération de Devo est basée sur le cloud, mais de grands fournisseurs de services cloud sont également impliqués. Microsoft Azure, Amazon Web Services et récemment Google Cloud Platform ont tous récemment lancé des outils de sécurité cloud et hybrides qui fournissent les capacités évolutives et d'intelligence massives de leurs plateformes cloud hyperscale, et tirent parti de leurs Connaissance approfondie des menaces.
Sandbox plus intelligent
Lorsqu'une application inconnue entre dans l'environnement de l'entreprise, elle sera traitée de trois manières courantes: l'application est rejetée et il existe un risque que l'opération soit compromise par un utilisateur de confiance pour des raisons fiables; Ne soulève aucun signe antivirus) et il existe un risque d'attaques potentielles, laissez-le s'exécuter dans un environnement contrôlé appelé "bac à sable".
Pour les grandes entreprises qui sont des criminels bien financés sont attrayants, la possibilité de logiciels malveillants personnalisés conçus pour échapper aux défenses des entreprises est toujours une menace. L'entreprise embauche une équipe d'analystes pour enquêter manuellement sur ces attaques potentielles. Le sandboxing simplifie ce processus, permettant aux applications de s'exécuter en toute sécurité tout en étant étroitement surveillées.
Il y a eu de nombreuses guerres de piratage célèbres dans le monde par le passé, mais actuellement, les attaquants s'améliorent de plus en plus à découvrir des bacs à sable, et ils ont besoin d'une expertise humaine pour analyser le comportement des applications de bac à sable. L'IA peut rendre les sandbox plus réalistes pour les attaquants, tout en aidant à analyser le comportement des applications.
Pot de miel intelligent
Il existe une autre méthode pour détecter les attaquants les plus certains, elle n'implique pas le dépistage d'un grand nombre de faux négatifs. Le centre de données peut être équipé de pots de miel attrayants, tels que de fausses bases de données qui peuvent contenir des informations de paiement client. Il n'y a pas de trafic légitime pour y accéder, mais les pirates qui entrent dans le réseau d'une certaine manière se dirigeront directement vers eux.
C'est du moins ce qu'ils ont fait dans le passé. La dernière méthode consiste à créer une grille de déception. La grille d'usurpation est essentiellement la deuxième couche virtuelle de serveurs, d'utilisateurs et du réseau, qui n'est visible que par les attaquants et invisible pour les utilisateurs légitimes. L'IA peut être utilisée à la fois pour créer des grilles de déception réalistes et pour surveiller leurs attaques.
Zéro confiance
Le renseignement contribue également à faire de la confiance zéro une technologie de sécurité viable. Également connue sous le nom de micro-segmentation, l'idée est de diviser le réseau en minuscules zones, chaque zone virtuelle est isolée les unes des autres, et seuls les utilisateurs approuvés et le trafic transitent.
Les outils de sécurité qui utilisent des limites définies par logiciel (noyau de confiance zéro) permettent également aux techniciens du centre de données d'accéder à distance aux systèmes de gestion de centre de données critiques de manière sécurisée. Cela a toujours été un avantage majeur, mais ces dernières semaines, lorsque la pandémie de COVID-19 a obligé la plupart des opérateurs de centres de données à réduire considérablement le nombre d'employés sur chaque site, c'est devenu une fonctionnalité qui peut sauver des vies tout en aidant les fondations critiques. Fonctionnement de l'installation.
Les tests de pénétration sont plus intelligents
En dernière analyse, si les opérateurs de centres de données ne peuvent pas résister au test des tests réels, ou s'ils peuvent se rapprocher le plus possible des tests du monde réel sans dommage, ils ne seront confiants dans aucune stratégie de sécurité. Pour cette raison, ils utilisent généralement des tests de pénétration et une simulation d'attaque. Mais ces tests prennent du temps et sont difficiles, et peu d'entreprises peuvent se permettre d'effectuer ces tests fréquemment.
Mais l'environnement du centre de données peut changer rapidement. Un jour, un centre de données hautement sécurisé peut présenter des failles de sécurité inattendues le lendemain. Grâce au nouveau test de pénétration automatique piloté par l'IA, l'intelligence est également enregistrée ici.
Technicien en sécurité réseau: "Cette méthode de test continu surmonte les obstacles liés aux tests traditionnels, tels que le temps et le coût. La simulation d'attaque peut couvrir plus de processus et de contrôles de sécurité sans interrompre les opérations quotidiennes de l'entreprise." Grâce aux tests continus, L'équipe de sécurité peut avoir un aperçu des performances quotidiennes de son modèle de sécurité. (Bienvenue à réimprimer et partager)
