Recentemente, uma mídia conduziu uma entrevista virtual com Nir Zuk, fundador e Chief Technology Officer (CTO) da Palo Alto Networks, líder na transformação do futuro da cibersegurança. A discussão enfocou o papel crucial do aprendizado de máquina na melhoria do desempenho dos Centros de Operações de Segurança (SOC) e sua integração na arquitetura Cortex XSIAM.
Antes de fundar a Palo Alto Networks em 2005, Zuk foi CTO da NetScreen Technologies, adquirida pela Juniper Networks em 2004. Ele cofundou a OneSecure, um dos primeiros inovadores em sistemas de prevenção de intrusões, e foi engenheiro principal na Check Point Software Technologies, onde contribuiu para o desenvolvimento de tecnologia de inspeção estado a estado.
No segundo trimestre fiscal de 2024, encerrado em 31 de janeiro, a Palo Alto Networks reportou um aumento de 19% na receita, atingindo $2 bilhões em comparação a $1,7 bilhões no mesmo trimestre do ano anterior. O lucro líquido sob os princípios contábeis geralmente aceitos (GAAP) da empresa disparou para $1,7 bilhões, de $0,1 bilhões no Q2 de 2023. Atualmente, a Palo Alto Networks atende mais de 85.000 clientes globalmente, incluindo a maioria das empresas do Global 2000.
Uma mídia: Por que o aprendizado de máquina (ML) é essencial para melhorar o desempenho do SOC?
Zuk: O aprendizado de máquina é crucial porque muda nossa abordagem de investigar ataques conhecidos, que são infrequentes, para avaliar cada evento na infraestrutura como uma potencial ameaça. Essa transição nos permite avaliar milhões de possíveis ataques a cada segundo—algo impossível de gerenciar apenas por humanos.
VB: Como o aprendizado de máquina está transformando as operações de segurança e otimizando métricas-chave do SOC?
Zuk: Abordamos a cibersegurança de duas maneiras. A primeira é a preventiva, focada em manter os adversários afastados—segurança de rede tradicional, segurança de endpoints e gerenciamento de acesso. No entanto, precisamos também lidar com a realidade de que violações podem ocorrer. Assim, se um intruso obtiver acesso, o papel do SOC é caçá-lo ativamente, onde o aprendizado de máquina desempenha um papel central—habilitando a detecção e resposta tanto a ameaças externas quanto internas.
VB: Você está percebendo um aumento no número de plataformas em nuvem que seus clientes estão utilizando? Eles estão buscando navegar nas complexidades da detecção e resposta na nuvem?
Zuk: Com certeza. As equipes de operações de segurança frequentemente se sentem sobrecarregadas pela complexidade dos ambientes de nuvem em comparação aos data centers tradicionais. Essa complexidade exige ferramentas eficazes para os SOCs gerenciarem a segurança na nuvem. O conceito anterior de integrar operações de segurança ao DevOps não se mostrou eficaz, pois ambos enfrentam desafios semelhantes. O XSIAM aborda essas complexidades, oferecendo uma solução para os SOCs—seja focada em nuvem ou geral.
VB: Qual é o papel do aprendizado de máquina na arquitetura Cortex XSIAM?
Zuk: O Cortex XSIAM é, por natureza, um sistema de aprendizado de máquina que utiliza modelos personalizados para detectar diversos tipos de ataques. Atualmente, temos cerca de 1.400 modelos especializados desenvolvidos por especialistas em cibersegurança, incluindo ex-operacionais de ciberinteligência e militares, que traduzem sua experiência em modelos eficazes para a detecção de ameaças.
VB: Você está anonimizaçãoando dados de ataques para treinar seus modelos a partir de várias interações de clientes?
Zuk: Nossa abordagem de aprendizado de máquina é distinta das tendências comuns de mercado. Não treinamos modelos com dados de clientes, mas sim com dados de ataques coletados de várias fontes. Isso nos permite estabelecer o que é normal para a infraestrutura de um cliente e identificar anomalias sem comprometer a privacidade dos dados.
VB: Como seus clientes estão abordando as métricas do SOC?
Zuk: Estamos incentivando ativamente os clientes a medir métricas-chave como o tempo médio para detectar (MTTD) e o tempo médio para responder (MTTR). Pesquisas atuais sugerem que o MTTD médio está na casa dos meses, mas acredito que podemos melhorar isso para semanas e até dias. O mesmo se aplica ao MTTR, que frequentemente é quantificado em horas. A maioria de nossos clientes e prospects atualmente não está medindo essas métricas importantes.
VB: Como vocês lidam com preços e atualizações?
Zuk: O preço do XSIAM é baseado no volume de dados analisados. Nossa meta é alinhar nossos preços com soluções de SOC existentes, mesmo que processamos significativamente mais dados—frequentemente de 10 a 100 vezes mais que sistemas típicos de gerenciamento de informações e eventos de segurança (SIEM). Nosso objetivo é evitar que os SOCs enfrentem um aumento drástico em seus orçamentos.
Classificação
