Mitte der 2000er Jahre hatte ich das Glück, eine Einladung zu einer der führenden Forschungsgruppen für Cybersicherheit der US-Regierung am Idaho National Laboratory (INL) des Energieministeriums zu erhalten. Dort hatte ich die einmalige Gelegenheit, mit einer Vielzahl von Cyberexperten aus Geheimdienst, Militär und Privatwirtschaft zusammenzuarbeiten. Einige meiner besten Erinnerungen an die Zeit am INL sind die Workshops zum Wissenstransfer, die wir durchgeführt haben - einer davon ist mir besonders in Erinnerung geblieben.
Wir haben eine Gruppe von Soldaten des US-Militärs für Spezialeinsätze zu einer Schulung in Cybersicherheit und technischer Forensik eingeladen. Dabei ging es unter anderem darum, wie man Truppen an feindlichen Standorten dabei helfen kann, ihre digitalen Systeme zu schützen, elektronische Fußabdrücke zu minimieren, wertvolle feindliche Systeme zu erkennen, sie sicher zu beschlagnahmen und sie zu Experten zu bringen, um den Inhalt dieser Geräte zu analysieren.
Der Lärm der Sicherheitswarnungen - das ist alles eine große Ablenkung.
Während einer der Sitzungen unterhielt ich mich mit einem Offizier der Spezialeinheiten und fragte ihn, was die drei wichtigsten Schlüssel für eine erfolgreiche Operation seien. Die ersten beiden Antworten waren typisch - ein gutes Team haben, sicherstellen, dass die Ausrüstung so gut wie möglich ist - aber die dritte überraschte mich. Er sagte in seinem Südstaaten-Drawl: "Trage immer eine Tasche mit toten Schädlingen bei dir".
Für diejenigen, deren Muttersprache nicht Englisch ist und die mit den ländlichen Dialekten der USA nicht vertraut sind, ist ein Varmint normalerweise ein kleines Tier, das oft als Schädling betrachtet wird. Mäuse, Ratten, Kröten, Elstern - all das könnte man ohne weiteres als "Schädling" bezeichnen. Ich lehnte mich zurück und dachte eine Minute lang über seine Bemerkung nach und musste dann fragen: "Was um alles in der Welt hat ein Sack toter Kreaturen mit einem erfolgreichen Spezialeinsatz zu tun?"
Mit einem Augenzwinkern beugte er sich vor und senkte die Stimme, als würde er das wertvollste Geheimnis seines Handwerks verraten, und erklärte mir, wie wichtig ein Sack mit toten Kleintieren sei, um die Wachen zu ermüden, die ihr Missionsziel schützen. Ich habe es immer noch nicht verstanden. Etwas verärgert lehnte er sich zurück und sagte: "Wenn Sie einen Wachmann haben, der auf jeden Alarm reagieren muss, den ein Bewegungssensor auslöst, wird er müde." Er fuhr fort:
"Nehmen wir an, eine Hochsicherheitseinrichtung hat einen elektrischen Zaun und Bewegungsmelder. Man wirft eine tote Ratte gegen den Zaun, die einen Alarm auslöst, der Soldat kommt heraus, sieht die tote Ratte, schüttelt den Kopf und geht zurück auf seinen Posten. Ein paar Minuten oder Stunden später wirft man ein weiteres Tier gegen den Zaun, der Wachmann kommt heraus, sieht das tote Tier, schüttelt den Kopf und geht zurück auf seinen Überwachungsposten. Wenig später nehmen Sie einen weiteren Schädling aus Ihrem Sack und werfen ihn erneut an dieselbe Stelle. Die meisten Wachen der unteren Ebene werden es leid sein, sich einen Fehlalarm anzusehen, und nach dem dritten oder vierten Mal werden sie nicht mehr herauskommen, um nachzusehen. Sobald du merkst, dass die Wachen müde sind, führst du einen echten Angriff auf dieselbe Stelle aus, auf die du die toten Tiere geworfen hast. Manchmal kann man sich einen Vorsprung von bis zu 10 Minuten gegenüber den Wachen verschaffen, weil sie nicht auf einen weiteren Alarm an diesem Ort reagieren werden, und diese 10 Minuten können den Unterschied zwischen Erfolg und Misserfolg der Mission ausmachen."
Nach dieser Erklärung verstand ich, warum dieser spezielle Operator seinem Sack mit toten Tieren Vorrang einräumte. Ich dachte sofort an die Rolle eines Security Operations Center (SOC)-Analysten und daran, wie sich Ermüdung auf seine Reaktion auf Alarme und Warnungen auswirkt. Sobald ein Analyst mehrfach auf einen als falsch empfundenen Alarm reagiert hat, erstellt er in der Regel Skripte, um die Aufhebung der Prioritäten oder die Neueinstufung dieser Alarme zu automatisieren. Raffinierte Cyber-Angreifer gehen ähnlich vor: Sie erzeugen Lärm, damit ein SOC-Team reagiert, was sie in eine Sackgasse führt, die sie für bestimmte Alarme unempfindlich macht. Dann führen sie die eigentliche Operation durch, sobald sie glauben, dass das Cybersicherheitsteam nicht so schnell oder effektiv reagieren würde, wenn sie den eigentlichen Hack durchgeführt hätten.
Genug Lärm. Denken Sie wie ein Angreifer.
VectraDer Cybersecurity-Ansatz des Unternehmens soll Sicherheitsteams helfen, wie ein Angreifer zu denken, zu wissen, was bösartig ist, und sich auf das Wesentliche zu konzentrieren. Wenn Sicherheitsteams übermüdet sind, kann ihre Wahrnehmung von Angriffen die Art und Weise, wie sie kritische Systeme verteidigen, grundlegend verändern. Durch den Einsatz der besten künstlichen Intelligenz, die es im Bereich der Cybersicherheit gibt, leidet die Technologie von Vectra nicht unter Ermüdung, wie es bei menschlichen Analysten der Fall ist. Vectra Die Technologie von kann eine schnelle Metadatenanalyse durchführen, um den Kontext eines Fehlalarms aus den Artefakten eines tatsächlichen Angriffs zu bestimmen. Diese Fähigkeit, die mit tatsächlichen Angriffen verbundenen Signale zu verstärken und das Rauschen, das die SOC-Teams ablenkt, zu dämpfen, unterscheidet Vectra von allen anderen Cybersicherheitsplattformen.
Mit der Umstellung vieler Teile ihrer technologischen Infrastruktur auf cloud und der damit verbundenen Abkehr von traditionellen, rechenzentrumszentrierten Sicherheitskontrollen haben Unternehmen ihre Angriffsfläche exponentiell vergrößert. Oftmals macht es diese erhöhte Komplexität einem Menschen fast unmöglich, all die neuen Angriffswege zu erkennen, die in der Komplexität einer hybriden Umgebung entstanden sind. Nur sehr wenige Unternehmen werden jemals ihre gesamte IT-Infrastruktur auf cloud umstellen. In einer hybriden Welt bietet nur Vectra den Sicherheitsteams die Möglichkeit, cloud, SaaS, Identitätsanbieter und lokale Systeme zu erkennen und darauf zu reagieren, um das Alarmrauschen zu reduzieren, die Erkennungseffizienz zu erhöhen und Angriffe zu untersuchen und zu beantworten, bevor sie zu einem Verstoß werden.
Vectra bietet eine vollständige Abdeckung der Angriffsoberfläche, Signalklarheit und intelligente Kontrolle, um threat hunting und Untersuchungen in einer Weise zu erleichtern, die Punktlösungen nicht bieten können. Wenn ich über meine jahrzehntelange Reise durch verschiedene Rollen in der Cybersicherheits-Community nachdenke, ist die Vision von Vectra, wie man die menschliche Wahrnehmung von Cyberangriffen mit maschinellem Lernen erweitern kann, einzigartig und eine der wenigen, die mir die Hoffnung gegeben hat, dass Verteidiger den Angreifern voraus sein können. Während wir die einzigartigen KI-Fähigkeiten von Vectra ausbauen, entwickelt das Vectra-Team auch einzigartige Fähigkeiten, um das Management der Angriffsfläche durch Automatisierung und maschinelles Lernen zu priorisieren, um die Zeit zu verkürzen, in der Unternehmen durch Fehlkonfigurationen anfällig für Angriffe sind, was die Wahrscheinlichkeit eines Einbruchs weiter verringert.
Ich bin stolz darauf, Teil des Vectra-Teams zu sein und dabei zu helfen, diese Vision Wirklichkeit werden zu lassen. Mit der KI-gesteuerten Sicherheitslösung Attack Signal Intelligence kann Vectra Verteidigern dabei helfen, das ablenkende Rauschen zu reduzieren und sich viel schneller als jede andere Sicherheitsplattform auf dem Markt auf die wirklich wichtigen Angriffe zu konzentrieren.
Sehen Sie, wie Vectra Attack Signal Intelligence die Sicherheitsteams unterstützt, die die Vectra Threat Detection and Response-Plattform nutzen.