A media führte kürzlich ein virtuelles Interview mit Nir Zuk, dem Gründer und Chief Technology Officer (CTO) von Palo Alto Networks, dem führenden Unternehmen in der Zukunft der Cybersicherheit. In der Diskussion stand die entscheidende Rolle des maschinellen Lernens zur Verbesserung der Leistung von Security Operations Centers (SOC) und dessen Integration in die Cortex XSIAM-Architektur.
Bevor er 2005 Palo Alto Networks gründete, war Zuk CTO bei NetScreen Technologies, das 2004 von Juniper Networks übernommen wurde. Er war Mitgründer von OneSecure, einem Pionier im Bereich der Intrusion Prevention Systeme, und arbeitete als Principal Engineer bei Check Point Software Technologies, wo er zur Entwicklung der stateful Inspection-Technologie beitrug.
Für das zweite Fiskalquartal 2024, das am 31. Januar endete, berichtete Palo Alto Networks von einem Umsatzanstieg um 19 % auf 2 Milliarden USD im Vergleich zu 1,7 Milliarden USD im gleichen Quartal des Vorjahres. Der GAAP-Nettoeinkommen des Unternehmens stieg auf 1,7 Milliarden USD von 0,1 Milliarden USD im Q2 2023. Derzeit bedient Palo Alto Networks über 85.000 Kunden weltweit, darunter die Mehrheit der Global 2000.
A media: Warum ist maschinelles Lernen (ML) entscheidend für die Verbesserung der SOC-Leistung?
Zuk: Maschinelles Lernen ist entscheidend, da es unseren Ansatz von der Untersuchung bekannter, selten auftretender Angriffe hin zu einer Bewertung jedes Ereignisses in der Infrastruktur als potenzielle Bedrohung verlagert. Dieser Übergang ermöglicht es uns, Millionen potenzieller Angriffe pro Sekunde zu bewerten, was für Menschen unmöglich allein zu bewältigen ist.
VB: Wie transformiert maschinelles Lernen die Sicherheitsoperationen und optimiert zentrale SOC-Kennzahlen?
Zuk: Wir nähern uns der Cybersicherheit auf zwei Arten. Die erste ist präventiv, konzentriert sich darauf, Angreifer fernzuhalten – traditionelle Netzwerksicherheit, Endpoint-Sicherheit und Zugangsmanagement. Allerdings müssen wir auch die Realität berücksichtigen, dass Sicherheitsvorfälle eintreten können. Wenn ein Eindringling Zugang erhält, besteht die Aufgabe des SOC darin, aktiv nach ihm zu suchen, was durch maschinelles Lernen entscheidend unterstützt wird – zur Erkennung und Reaktion, ob die Bedrohungen außen oder bereits innen sind.
VB: Beobachten Sie einen Anstieg der Anzahl an Cloud-Plattformen, die Ihre Kunden nutzen? Versuchen sie, die Komplexität von Cloud-Detection und -Response zu navigieren?
Zuk: Absolut. Die Sicherheitsoperationsteams sind oft von der Komplexität der Cloud-Umgebungen im Vergleich zu traditionellen Rechenzentren überwältigt. Diese Komplexität erfordert effektive Tools, um die Cloud-Sicherheit zu managen. Das frühere Konzept, Sicherheitsoperationen in DevOps zu integrieren, hat sich als ineffektiv erwiesen, da beide ähnliche Herausforderungen haben. XSIAM adressiert diese Komplexitäten und bietet eine Lösung für SOCs – egal ob cloud-orientiert oder allgemein.
VB: Welche Rolle spielt maschinelles Lernen in der Cortex XSIAM-Architektur?
Zuk: Cortex XSIAM ist von Natur aus ein System für maschinelles Lernen, das maßgeschneiderte Modelle zur Erkennung verschiedener Arten von Angriffen verwendet. Derzeit verfügen wir über rund 1.400 spezialisierte Modelle, die von Cybersecurity-Experten, darunter ehemalige Militär- und Geheimdienstcyberoperativen, entwickelt wurden, die ihre Erfahrung in effektive Modelle zur Bedrohungserkennung umsetzen.
VB: Anonymisieren Sie Angriffs Daten, um Ihre Modelle aus verschiedenen Kundeninteraktionen zu trainieren?
Zuk: Unser Ansatz für maschinelles Lernen unterscheidet sich von den gängigen Markttrends. Wir trainieren unsere Modelle nicht mit Kundendaten, sondern mit Angriffs Daten aus verschiedenen Quellen. Dies ermöglicht es uns, das Normale für die Infrastruktur eines Kunden festzustellen und Anomalien zu identifizieren, ohne die Datensicherheit zu gefährden.
VB: Wie gehen Ihre Kunden mit SOC-Kennzahlen um?
Zuk: Wir ermutigen unsere Kunden aktiv, wichtige Kennzahlen wie die mittlere Zeit bis zur Entdeckung (MTTD) und die mittlere Zeit bis zur Reaktion (MTTR) zu messen. Aktuelle Recherchen zeigen, dass die MTTD im Durchschnitt Monate beträgt, aber ich glaube, wir können dies auf Wochen und sogar Tage verbessern. Das gleiche gilt für die MTTR, die oft in Stunden gemessen wird. Die meisten unserer Kunden und Interessenten messen diese wichtigen Kennzahlen derzeit nicht.
VB: Wie gestalten Sie Preisgestaltung und Upgrades?
Zuk: Die Preisgestaltung für XSIAM basiert auf dem Volumen der analysierten Daten. Wir streben an, unsere Preise mit bestehenden SOC-Lösungen in Einklang zu bringen, obwohl wir deutlich mehr Daten verarbeiten – oft 10 bis 100 Mal mehr als typische SIEM-Systeme. Unser Ziel ist es, zu verhindern, dass SOCs mit einem drastischen Anstieg ihrer Budgets konfrontiert werden.
Rangliste
