Недавно одно из медиа провело виртуальное интервью с Ниром Зуком, основателем и техническим директором (CTO) Palo Alto Networks, ведущей компании в области кибербезопасности. Обсуждение сосредоточилось на важной роли машинного обучения в повышении эффективности центров операций безопасности (SOC) и его интеграции в архитектуру Cortex XSIAM.
Перед основанием Palo Alto Networks в 2005 году Зук занимал должность CTO в NetScreen Technologies, которую в 2004 году приобрела Juniper Networks. Он также был соучредителем OneSecure, одной из первых компаний, предложивших системы предотвращения вторжений, и работал ведущим инженером в Check Point Software Technologies, где способствовал разработке технологий состоящей проверки.
По данным за второй финансовый квартал 2024 года, завершившийся 31 января, Palo Alto Networks зафиксировала рост выручки на 19%, достигнув $2 миллиардов по сравнению с $1.7 миллиардом в аналогичном квартале прошлого года. Чистая прибыль по стандартам GAAP увеличилась до $1.7 миллиарда с $0.1 миллиарда во втором квартале 2023 года. В настоящее время Palo Alto Networks обслуживает более 85,000 клиентов по всему миру, включая большинство компаний из Global 2000.
Медиа: Почему машинное обучение (ML) так важно для повышения производительности SOC?
Зук: Машинное обучение критически важно, так как оно меняет наш подход с расследования известных атак, которые случаются редко, на оценку каждого события в инфраструктуре как потенциальной угрозы. Эта трансформация позволяет нам анализировать миллионы возможных атак каждую секунду — то, что невозможно сделать вручную.
VB: Как машинное обучение преобразует операции безопасности и оптимизирует ключевые метрики SOC?
Зук: Мы подходим к кибербезопасности с двух сторон. Первая — это превентивная, направленная на предотвращение доступа противников — традиционная сетевая безопасность, безопасность конечных точек и управление доступом. Однако мы также должны понимать, что утечки могут происходить. Если злоумышленник все же проникает, задача SOC — активно его искать, и здесь машинное обучение играет ключевую роль, позволяя обнаруживать и реагировать на угрозы вне и внутри системы.
VB: Наблюдаете ли вы увеличение количества облачных платформ, которых используют ваши клиенты? Ищут ли они решения для навигации в сложностях облачной безопасности?
Зук: Безусловно. Команды по безопасности часто сталкиваются с огромной сложностью облачных сред по сравнению с традиционными дата-центрами. Эта сложность требует эффективных инструментов для SOC, чтобы управлять облачной безопасностью. Ранее предложенный подход интеграции операций безопасности в DevOps оказался неэффективным, так как обе стороны продолжают сталкиваться с похожими проблемами. XSIAM решает эти сложности, предоставляя решение для SOC как в облачной, так и в общей сферах.
VB: Какова роль машинного обучения в архитектуре Cortex XSIAM?
Зук: Cortex XSIAM — это по сути система машинного обучения, использующая специальные модели для обнаружения различных типов атак. В настоящее время у нас есть около 1400 специализированных моделей, разработанных экспертами в области кибербезопасности, включая бывших военных и разведывательных сотрудников, которые адаптируют свой опыт для эффективного обнаружения угроз.
VB: Учите ли вы данные атак для тренировки своих моделей на основе взаимодействий с клиентами?
Зук: Наша стратегия в области машинного обучения отличается от многих текущих рыночных трендов. Мы не обучаем модели на данных клиентов, а используем данные об атаках, собранные из различных источников. Это позволяет нам определить, что является нормой для инфраструктуры клиента, и выявлять аномалии, не нарушая конфиденциальность данных.
VB: Как ваши клиенты подходят к измерению метрик SOC?
Зук: Мы активно рекомендуем клиентам отслеживать ключевые метрики, такие как среднее время обнаружения (MTTD) и среднее время ответа (MTTR). Современные исследования показывают, что MTTD в среднем составляет месяцы, но я верю, что мы сможем улучшить это до недель и даже дней. То же самое касается MTTR, который часто рассчитывается в часах. Большинство наших клиентов и потенциальных клиентов в настоящее время не измеряют эти важные показатели.
VB: Как вы решаете вопросы ценообразования и обновлений?
Зук: Цены на XSIAM основаны на объеме анализируемых данных. Мы стремимся согласовать наше ценообразование с существующими решениями для SOC, даже несмотря на то, что мы обрабатываем значительно больше данных — зачастую в 10-100 раз больше, чем типичные системы управления безопасностью и событиями (SIEM). Наша цель — предотвратить резкое увеличение бюджетов SOC.