最近,一家媒體與 Palo Alto Networks 的創始人兼首席技術官 Nir Zuk 進行了一次虛擬訪談,討論了機器學習在提升安全運營中心(SOC)表現及其在 Cortex XSIAM 架構中的整合所扮演的重要角色。
在 2005 年創立 Palo Alto Networks 之前,Zuk 曾擔任 NetScreen Technologies 的首席技術官,該公司於 2004 年被 Juniper Networks 收購。他曾共同創立 OneSecure,這是一家早期入侵預防系統的創新者,並在 Check Point Software Technologies 擔任首席工程師,為狀態檢查技術的發展做出了重要貢獻。
在 2024 財政第二季度結束於 1 月 31 日,Palo Alto Networks 報告營收增長 19%,達到 20 億美元,相較於去年同期的 17 億美元。公司的 GAAP 淨收入從 2023 年第二季度的 1 億美元激增至 17 億美元。目前,Palo Alto Networks 的客戶遍佈全球,超過 85,000 家,包括大部分全球 2000 強企業。
媒體:為什麼機器學習對改善 SOC 表現如此重要?
Zuk:機器學習至關重要,因為它改變了我們對攻擊的調查方法,從偶發的已知攻擊轉向將每個事件視為潛在威脅。這一轉變使我們能夠每秒評估數以百萬計的潛在攻擊,而這是人類無法單獨管理的。
媒體:機器學習如何改變安全運營並優化關鍵 SOC 指標?
Zuk:我們從兩個方面看待網絡安全。首先是預防性,專注於防止對手入侵——包括傳統網絡安全、終端安全和訪問管理。然而,我們也必須承認漏洞可能發生的現實。因此,如果入侵者成功進入,SOC 的角色就變成了主動追捕,這就是機器學習的關鍵所在——無論威脅是在外還是已在內部,都能實現檢測和響應。
媒體:您是否注意到客戶使用的雲平台數量在增加?他們是否希望應對雲端檢測和響應的複雜性?
Zuk:當然。安全運營團隊通常面對的雲環境複雜性遠超傳統數據中心。這一複雜性需要有效的工具來幫助 SOC 管理雲安全。將安全運營整合進 DevOps 的概念未能有效應對這些挑戰。XSIAM 則針對這些複雜性提供了解決方案,無論是針對雲的還是一般的 SOC。
媒體:機器學習在 Cortex XSIAM 架構中扮演什麼角色?
Zuk:Cortex XSIAM 本質上是一個利用專門模型來檢測各類攻擊的機器學習系統。我們目前擁有大約 1,400 種由網絡安全專家(包括前軍事和情報網絡操作人員)開發的專門模型,這些專家將他們的經驗轉化為有效的威脅檢測模型。
媒體:您是否在從不同客戶互動中對攻擊數據進行匿名化以訓練模型?
Zuk:我們的機器學習方法與市場上常見趨勢截然不同。我們不會在客戶數據上訓練模型,而是使用從各種來源收集的攻擊數據。這使我們能够確立客戶基礎設施的正常狀態,並在不影響數據隱私的情況下識別異常。
媒體:您的客戶如何看待 SOC 指標?
Zuk:我們積極鼓勵客戶測量關鍵指標,如平均探測時間(MTTD)和平均響應時間(MTTR)。目前研究顯示,MTTD 平均涵蓋數月,但我相信我們可以將其改進至周甚至天。MTTR 同樣常以小時計算,但我們的大多數客戶和潛在客戶尚未測量這些重要指標。
媒體:您如何處理定價和升級?
Zuk:XSIAM 的定價是基於分析的數據量。我們努力將定價與現有 SOC 解決方案保持一致,儘管我們處理的數據量通常比典型的安全信息和事件管理(SIEM)系統多 10 到 100 倍。我們的目標是防止 SOC 預算劇增。
排行榜
