帕洛阿尔托网络如何抵御网络对手
作为Palo Alto Networks的CIO,Naveen Zutshi位于热门席位,每天都将展示一家面临大量网络攻击的公司的IT团队。
毕竟,作为一个网络安全供应商,Palo Alto Networks在成功的网络攻击时丢失了更多的东西 - 鉴于它已经建立的专业知识和知识产权,以帮助其他组织保持安全。
但Zutshi并不孤单地对抗网络对手。他与公司的首席信息安全官员(CISO)合作,推出措施,以防止黑客,包括使用各种技术来保护数据并扰乱网络杀戮链。
在对计算机每周的独家采访中,Zutshi在保护其系统和数据时,Zutshi股票更多地分享了关于Palo Alto网络的一般方法,最大限度地减少阴影IT实践和减轻供应链风险。
是什么样的是网络安全公司的cio?
Zutshi:我已经在公司到了三年了三年了。在网络安全公司中,预防工业和声誉损失非常重要。我们还专注于客户数据,员工数据和知识产权。我与CISO密切合作,在确保网络安全卫生,健康和福祉方面的共同责任概念。从我们考虑测试和寻找漏洞的方式,这就是在任何地方,以期待技术的变化。
您对网络安全的一般方法是什么?
Zutshi:从根本上说,我们对网络安全有零信任方法,并专注于预防的方法 - 任何可以阻止和阻止的警报都是警报SOC [安全运营中心]团队不必对并补救的反应。因此,我们希望能够防止尽可能多的已知和未知的攻击。
我们的方法非常简单 - 我们希望尽可能多地对流量的可视性,成为IT网络,云或端点,包括加密流量。这很重要,因为你无法保护你没有看到的东西。
其次,我们希望减少威胁和攻击表面。你不想有太多的洞和差距,有很多技术可以实现这一目标。
第三,我们看看绝大多数已知的威胁。事实上,对于已知的威胁,我们应该已经拥有正确的系统来阻止它们,即使在他们成为威胁之前也可以阻止它们。对于未知的威胁,我们将尽可能地阻止。
这与强大且稳健的检测和响应能力相辅相成。我们已经建立了将安全日志收集到系统中的能力 - 而不仅仅是提醒 - 我们可以快速关联它们以识别速度的威胁。
最后,我们希望自动化修复活动,以减少对人力的依赖。这使资源释放到桌面练习,红色组合和持续学习,以更好地找到和地址漏洞。
您能详细说明威胁检测的技术吗?您如何最小化误报的数量?
Zutshi:我们使用机器学习技术来补充传统的安全技术。例如,我们将防火墙与沙箱技术野火补充,以确定未知的威胁是否具有恶意性,将基于机器学习的启发式添加为额外的层。
我们的方法非常简单 - 我们希望尽可能多地对流量的可视性,成为IT网络,云或端点,包括加密流量。这很重要,因为你无法保护你没有看到的东西。帕洛阿尔托网络Naveen Zutshi这同样适用于用户行为分析。我们关联跨附近区,网络流量,云和端点的威胁和警报。在网络钓鱼攻击的情况下,我们试图了解错误横向移动,它们如何升级权限以及如何扰乱攻击生命周期。
我们使用的技术是放大镜,现在是Cortex XDR套件的一部分,使我们能够获得用户行为分析。它看起来将基线正常行为和组用户进入从机器学习分类建立的动态组。然后它决定了风险并找到了异常行为。通过到达SOC团队的新警报,我们训练模型以识别误报,因此我们可以最大限度地减少它们。
你在威胁情报中做了什么,特别是那些针对Palo Alto网络的人?
Zutshi:单元42是我们的威胁情报手臂。我们还有一个智慧和反应团队,往往是在识别妥协指标的最前沿。14份最近建造的对抗性剧本 - 可能有许多妥协指标,但黑客只部署了少数或某些的对抗性剧本。如果我们可以记录这些剧本并自动解决它们,那么我们可以更好地识别和修复相关的威胁。
我们还与其他公司,甚至是其他网络安全供应商合作,在网络威胁联盟中,我们积极分享威胁情报。我们的目标是不要竞争威胁情报,并专注于我们可以用它做的事情。
您认为是一个组织的攻击的规模和体积是多少?你每天都在封锁多少钱?
Zutshi:我不想给出一个数字,但你可以想象数百万攻击 - 99%的人被封锁。
您对数据保护的想法是什么?
Zutshi:在保护数据方面,我们需要做的一系列事情 - 数据治理和实践,数据资产库存,查看数据谱系,使用可以访问我们的数据的外部供应商,符合数据保护标准(一般数据保护规则,FEDRAMP认证),在休息和运输中查看加密,适当的数据卫生实践,查看谁可以访问数据(正常和特权访问用户)和最终用户行为。
Palo Alto网络中的用户教育如何?
Zutshi:我们的CISO团队在内部教育活动中做得很好。为了提高对网络钓鱼的认识,我们创造了涉及高级领导的有趣和幽默的教育视频。我们还在友好竞争中进行了网络钓鱼模拟课程和彼此的内部团队,随着时间的推移大大降低了基于网络钓鱼的点击。我们还为开发人员举行“捕获旗帜”活动,这是一种有趣的方式,以便为他们达到网络安全的必要性进入他们的规范。
作为CIO,您如何对应用程序安全进行评估?你会说你更保守或厌恶吗?
Zutshi:我认为我们非常倾向于倾斜。我们试图平衡两件事 - 令人难以置信的快速和缩放很快。我们平衡了对安全性和敏捷性的需求。
我们继续改进并正在制定更严格的选择新的SaaS [软件 - AS-Service]产品的过程。这很重要,因为我们的70%的部署是基于SaaS的。采取整体方法,我们研究架构,信息安全和应用程序的合理化。
任何新的应用程序请求都必须通过三个测试。首先,它与我们的建筑一致吗?其次,它是否符合我们建立的安全和隐私标准?第三,是否解决了现有应用程序可以解决的差距?我们将此过程与我们的业务合作伙伴采购,以确保我们避免暗影,这在一个大型组织中很可能。
你的团队全球有多大?
Zutshi:我们主要是美国的团队。我们在以色列,欧洲和亚洲有人们。它有大约200名员工,而安全团队现在拥有大约55至60名员工。我们还有一些承包商提供帮助表户和支持,但大多数工作由员工在圣克拉拉内部的员工完成。
您如何管理可能与外部供应商出现的潜在供应链风险?
Zutshi:我们对数据进行分类并跟踪哪些供应商可以访问哪些数据。我们经历了深度数据包检验评论,我们还在第一次进来时进行新的供应商审核。
您通常在新供应商评估练习中寻找什么?
Zutshi:除了他们的应用程序之外,我们查看他们到位的安全实践,它们是如何确保我们数据的安全性以及它们到位的类型的访问控制。除了调查问卷之外,我们还与他们的CISO和团队进行采访和讨论。
是什么让您在晚上担任一家大型网络安全公司的CIO?
Zutshi:确保我们正在努力保持组织安全的一切。对我的团队和CISO负责任并积极主动,这是一个重要的。