英特尔安全说,人类机器与网络防守的关键
英特尔安全性,即将作为一家独立公司在McAfee Banner下旋转,正在努力使人机团队能够成为未来网络安全防御能力的关键要素。
这种方法旨在将人力战略智力和调查方法与技术能力结合起来,以便在规模上处理安全智能数据,并突出最重要的问题。
据Chris Young,Intel Security Manager和New Company的未来首席执行官,公司基础设施今天正在不可想象的方式变化。
“这就是为什么我们描绘从集成到自动化的课程,最终策划了关于多个系统的策划解决方案。针对多种自动用途案例的工作流程,并与我们所在的基础设施进行弯曲和扩展,“他告诉英特尔安全的焦点2016年拉斯维加斯会议。
作为其中的一部分,年轻人表示,该公司正致力于为客户装备更好的分析,以使人类机器组合能够在面对攻击互联网(IOT)启用的分布式拒绝服务的攻击中至关重要(DDOS)于2016年10月对DNS服务提供商DYN攻击。
“对Dyn的攻击是我们越来越多的攻击规模的一个完美的例子,”他说。“我们需要机器来处理我们在那里的风险量,所以我们实际上可以让我们的人类智慧找到我们真正关心的隐藏威胁。”
人机团队将在任何网络安全运营中变得至关重要,公司看到其战略目标,使安全技术能够作为帮助驱动人工机组组织的重要途径。
“我们正在努力为一个人提供人类和机器的努力,即将产生的结果,这将产生作为动态,弹性和弹性的安全性,因为云基础设施的每个人都有,”年轻人说。
要了解有关人机团队的更多信息,计算机每周赶上Brian Dye,英特尔公司副总裁兼企业产品总经理,以英特尔安全。他说这是公司计划进一步探索的主题。
“我们觉得它对下一代自动化提供交付至关重要,以及更多分析的东西,”染料说。“分析越多,自动化越多,自动化越多,分析越多。”
英特尔安全正在努力实现产品集成的演变,以实现工作流的自动化,最终进行编排,安全产品共同实现更好的安全状态,而不是任何一个产品都可以实现。
“人机团队是关于创建一个专家系统,该系统包含了知识 - 在这种情况下,从先进的事件响应者 - 并允许我们找到更多的事件响应者,或者确实更快地找到同样的事情,”他说。
对这种能力的需求是由企业面临的威胁数量的快速增长和网络安全技能短缺的组合驱动。
“我们需要通过更多自动化来解决这种技能短缺来消除手动努力,吸引更多人,更好的教育和培训;更简单的用户界面,以使更多初级人员能够参与安全性;然后在高端,这个人机组合是关于使专家能够做到更多,“染料。
在技术方面,他表示,人机组合倡议被一定需要多于传统的安全信息事件管理系统(SIEM)可以做到的,因为它们对已知的行为。
“安全事件进来了。我们关联它,然后我们推动了这样的行动,”他说。“但它们不是很好地设计用于未知的。我们看到了技术需要采取法令。
“从企业的角度来看,我们将重点关注用户作为一个团队的用户体验,并观看了哪些结果运营中心(SoC)分析师正在做的事情,”染料说。“我们看到他们做工作有多困难,所以我们开始思考人机组合如何提供帮助。“
鉴于大量投资许多组织正在进行他们的SOC,他表示,人机团队将通过启动SoC团队成员来帮助推动更好的回报,即老年人和小辈,因为它是自动化的下一步。
“我们预见人员机器团队作为一个SoC可以使用的另一个能力,”他说。“我们并不是说暹粒并不重要。他们绝对是。他们需要一个大块事件类型和需要记录的日志聚合。我们想要添加的是一种新型的高级事件响应技术,组织正在寻找他们的SOC成熟。“
此外,人机团队还是英特尔安全致力于专注于更高级别的成果的一部分,组织通常努力衡量其对其安全性能力的真实,系统的改进,并将其映射到其真实风险。
“人机团队致力于使专家能够做更多”Brian Dye,英特尔“我们作为一个行业倾向于谈论”新威胁,新小部件“,”他说。“因此,行业中的一切都在小部件级别的指标和结果方面,这意味着CISO有一个大的跨度从小部件跳跃到他们的董事会关注的东西。随着我们对结果的新关注,我们不仅仅是提供技术,我们正在帮助市场学习他们应该跟踪的指标。“
询问人类组织如何在实践中运作,染料表示一个很好的例子是当一个级别的Socanalyst响应一个事件并确定可以立即解决的问题而无法解决。
“通常无法解决的问题是更广泛攻击的事件,但在未来,这些事件可能会被提及为人机组合系统,”他说。“这将从暹粒中获取活动,以及组织其他地方的洞察力,以使级别或三级SoC分析师能够进行攻击级调查。”
英特尔安全在这种人工机器组合能力之后是关键客户和公司的原版高端事件响应专业服务团队之间的联合开发工作,旨在找到使团队更有效的方法。
“这是一个合作开发项目,涉及与少数客户组织及其社会非常紧张的参与,以了解我们能找到的东西,”染料说。“如果我们能找到更多的东西,或者比他们能够更快地找到更快的东西,我们知道我们正在发展的工作。这不是CISO的工具。这是一个响应者的工具,它将从多个来源(例如SIEM)以及在现场环境中运行的各种调查工具组合在一起。这将有助于他们理解和解决攻击。“
英特尔安全预计将开始将该共同发展努力的成果提交,代号为Copperfield,2017年上半年上市。
该公司将这款人机技术视为市场定义。“现在没有其他这样的东西,”染料说。
他说,由于英特尔安全以人机合作的形式进行了更多的分析,它将在未来增加自动化。“我们将推动更多的自动化,以接受更多分析,这是我认为行业关注安全运营的关注将会发展,”他说。
“今天我们不堪重负数据并履行分析。我们需要摆放摆后来的钟摆,提供更多的分析,以便消耗我们拥有的数据。随着我们的分析能力改善,我们作为一个行业可以负担得起并获得更多数据。“
