SecBI的XDR平臺使企業能夠在網絡、端點、設備和云端的所有攻擊向量中統一網絡威脅檢測和響應能力。在這次采訪中，SecBI首席執行官吉拉德·佩萊格解釋了如何進行自主調查[™], 再加上無監督機器學習、行為分析和自動響應，可以用來保護組織免受網絡攻擊。

請描述SecBI的背景和技術

SecBI的創始人5年前創建了這家公司，當時他們參與了一項重大網絡漏洞調查，并決定必須有一種更快、更簡單的方法來識別和應對網絡攻擊。對于SecBI的基本概念來說，非常重要的一點是利用現有的安全控制，而不是引入新的系統，這些系統只會觸發額外的警報，讓安全分析師無法管理大量的數據進行篩選。

大多數中型或大型組織已經有了多層安全控制，無論是防病毒、web網關、防火墻還是完整的安全運營中心。

問題是將從這些安全工具獲得的所有數據結合到一個上下文相關、清晰且可操作的響應計劃中。在路上，你必須做一些調查，以檢測惡意活動，并為你發現的內容提出一個響應計劃。只有當你有非常準確的檢測，你才能有一個準確和完整的反應。我們把開發這個作為我們的使命。

我們首先關注基于網絡流量的檢測，因為那里有一座大多數組織都沒有利用的數據金礦，這僅僅是因為它通常很難分析。這是一個非常大的挑戰，所以我們首先集中精力克服它。隨著我們的網絡流量分析（NTA）解決方案的成功，我們開始向檢測中添加更多數據源，以提供XDR平臺。

我們的XDR平臺基于非常先進的機器學習和人工智能。我們稱這項技術為“自主調查”[™]” 因為良好偵查的關鍵是調查。我們可以很快地把它比作一部好的偵探小說。當夏洛克·福爾摩斯找到兇手時，需要經過一個非常漫長的調查過程，這是每個案件所特有的。

我們的自主調查技術就像一個虛擬分析師，以機器速度模仿專家分析師。這是核心技術。

一旦你有了這一塊拼圖，你就有能力接收多個數據源。更具體地說，您希望從網絡、端點、電子郵件、云等接收數據。您還希望接收元數據、遙測、日志或事件；這些是本質上相同事物的不同名稱。你想弄明白這一切。這是自主調查的關鍵。

這是用戶界面上的快速預覽：

我們還添加了將調查和檢測與自動響應聯系起來的功能。它與SOAR（安全協調、自動化和響應）非常相似——全面檢測和自動化響應之間的緊密集成對于準確補救和持續預防至關重要。

響應自動化對不同的人意味著不同的事情。您可以定義對員工丟失筆記本電腦的情況的自動響應，但我們不這么做。我們檢測惡意活動，并基于此自動響應。市場對你的技術有何反應

長期以來，客戶一直在說，這是網絡安全中缺失的一個極其重要的部分。在這里，你可以最終理解所有的噪音、警報和誤報，并通過即時且緊密耦合的響應獲得準確的檢測。這是我們在市場上的獨特創新。

現在，越來越多的供應商，無論大小，都了解我們多年來所知道的，市場給它起了一個名字：延長拘留響應（XDR）。

AI和ML在網絡安全中扮演什么角色

AI和ML可以緩解每個人都在談論的網絡安全專家和專業知識的巨大短缺。目前的差距超過300萬，但差距不僅在于人力，還在于專業知識。這些人花費大量時間進行調查、發現和回應。要做到這一點，你需要專家，而專家并不多。

即使你雇傭一個人，在幾個月內對他們進行培訓，并給他們所需的所有工具和時間，他們仍然無法及時執行這些復雜的任務，以避免網絡受損。他們能做的最好的事情就是得出一個結論，這個結論可能是正確的，關于它是否是惡意的，它是如何開始的，以及發生了什么。這是一個非常復雜的過程，需要很多專業知識，但通過機器學習和人工智能，它可以自動化。我并不是說我們將完全取代它們，我更喜歡“增強”這個詞，但它的短缺如此之大，以至于任何能夠緩解差距的東西都是重要的。這就是自主調查的用武之地，這就是我們的AI/ML技術。

關于你的聚類分析技術，你能告訴我們什么

這是我們無監督機器學習模塊的主要組件之一。它所做的是調查并將與一個事件相關的所有事件組合在一起。這種分組過程很困難。

給你舉個例子，假設你走進一間教室，你被賦予一項任務，把孩子們分組在一起。第一個問題是，我的目標是什么？是為了組建一支足球隊嗎？籃球隊？樂隊？找新娘？了解如何組建團隊需要知識和專業技能。籃球教練會知道如何根據經驗水平、體能等將他們分組。如果你有不同的目標，你需要不同的專家。

所以我們建立了一個專家組，將構成一個網絡安全活動的所有事件組合在一起。

現在讓我們從教室轉向網絡。電子郵件、網絡訪問、文件下載都在持續進行。想想在一個由100、1000或10000名員工組成的網絡上發生了多少事件。這是數以十億計的事件。最困難的任務是將這些事件分組到相關活動中，這正是無監督聚類分析發揮作用的地方。一旦完成，其他模塊將對這些組/集群執行檢測活動，完整的攻擊敘事將被揭示：黑客發送的釣魚電子郵件、用戶點擊這些電子郵件中的鏈接、訪問被黑客攻擊的網站，以及在不知不覺中下載了一些自動安裝惡意軟件的文件。這種惡意活動是隱藏的，在許多情況下都無法被發現。

總結：我們收集了數十億條日志，并使用聚類分析將它們組合成數千個活動和行為。機器會持續觀察這些活動和行為，并在其中找到妥協的跡象。這是我們自動化的另一個過程。

現在有這么多人同時在多個渠道上遠程工作，組織如何統一他們的威脅檢測和響應能力

我的第一個答案可能是部署SecBI來改善您的安全態勢，但我會暫緩。遠程工作并不新鮮。今天不同的是，有多少人這樣做。

保護此類操作的簡單方法是使用VPN，并從那里訪問公司資產或云資產。當然，也有一些較新的技術。現在的熱門話題是SASE安全訪問服務邊緣。有不同的安全控制來確保適當的安全性，如防病毒、端點解決方案、云安全等。

說到底，黑客會找到繞過這些解決方案的方法。我不是說你不需要它們，它們必須就位。如果你修補你的操作系統并確保所有的東西都更新了，你就可以將風險從100%降至10%或5%。不管是什么，還是有風險的。

遠程工作增加了多層漏洞，因為它為攻擊者添加了另一個攻擊向量，增加了風險。

無論你采取什么措施，XDR平臺都會擴展并加強你的網絡防御，因為它的基本假設是黑客遲早會找到自己的出路。這每天都在發生。他們非常積極和聰明。你需要一些東西來分析網絡中發生的所有事件和活動。SecBI將分析和檢測惡意活動，并對檢測到的任何情況做出快速響應。

在未來幾年中，你希望看到更多的趨勢和技術，為什么</顯然，我們將看到更多針對云和SaaS的安全解決方案，但這已經發生了。近年來，我們看到了一個連續的鐘擺，從保護端點到保護網絡，再回到端點。每3-6年，關注點就會發生變化，我預計這種情況還會繼續。

有一件事是明確的，ML和AI將增長更多。對于任何需要分析大量數據的人來說，無論是檢測系統、預防系統還是其他任何系統，它都是一項基本的、必備的技術。

黑客及其動機不會有任何進展，因此我們需要繼續尋找方法，在任何特定時間領先他們一步。

總結

以上是生活随笔為你收集整理的使用SecBI的XDR技术保护您的业务运营的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。