MDR: Hur ser framtiden ut - del 1?

När vi nu börjar lämna vintern bakom oss ser vår produktchef för Detect and Respond-tjänster, Grant Paling, framåt mot resten av 2023 och framåt. Hur ser framtiden ut? 

Jag skrev förra året att världen var en galen plats när vi går in i 2022. År 2023 verkar inte ha minskat förödelsen. Jag nämnde även att sociala medier infiltrera våra liv och påverka vad vi gör, hur vi beter oss och vad vi tror på. Integritet fortsätter att vara ett globalt problem - inte bara när det gäller hur företag använder våra uppgifter, utan även, vilket framgick av de senaste TikTok-kontroverserna, hur regeringar kan få tillgång till varandras uppgifter. Och naturligtvis finns det en liten sak som kallas ChatGPT som alla pratar om! 

När det gäller cyberbrottslighet går det allt snabbare och snabbare. Trycket ökar nu på att vara ett cyberresistent företag. Vi hade inget liknande för 16 år sedan när jag började inom cybersäkerhet - frågan var då "behöver vi det?". Nu är frågan "hur mycket har vi råd att göra?". Och det är inte lätt att hitta en balans. Den globala ekonomin är fortfarande pressad och som så ofta är fallet måste vi göra mer med mindre. Detta är en del av anledningen till att Microsoft till exempel har lyckats ta en stor del av säkerhetsmarknaden, men du kan läsa mer om detta här. 

Konsekvenserna för samhället börjar också bli kännbara för andra än de företag som drabbats av intrång. När vi tänker på Colonial Pipeline och andra incidenter sedan dess ser vi att sådana incidenter påverkar de mycket grundläggande saker som vi förväntar oss ska vara stabila i våra liv - bränsle, vattenförsörjning, elförsörjning, mat, tekniska komponenter - listan kan göras lång och alla dessa saker kan nu störas på några minuter. Och detta beror inte på en mängd attacker specifikt mot OT-infrastruktur i sig, om du tittar på vår senaste blogg om ämnet, men det är fortfarande ett bekymmer och nästan ett "när, inte om"-scenario. När allt kommer omkring var ransomware-attacker och cyberutpressning (Cy-x) inte alltid så här lätta att utföra, eller hur? Så utsikterna är kanske dystra.

Jag ser många diskussioner om ChatGPT och nu AI i allmänhet. 

Kan AI verkligen hjälpa oss att förbättra vår cybersäkerhet? Ge oss en hjälpande hand eller till och med ersätta hela jobb? 
Eller kommer den att användas av cyberkriminella för att bara tillfoga oss mer elände? 
Min nuvarande inställning är ingetdera. Jag är fortfarande ett fan av Rodney Brooks texter om AI. Och den första av hans "sju dödssynder "1 är över- och underskattning. Han hänvisar till Amaras lag - "Vi tenderar att överskatta teknikens effekt på kort sikt och underskatta effekten på lång sikt". 

Jag läste om detta mycket gripande uttalande och tänker genast på ChatGPT-hype just nu. sanningen är att AI har funnits inom cybersäkerhet i några år nu. AI representerar ersättningen av specifika funktioner, inte replikering av det mänskliga sinnet i sin helhet. Men det är definitionen av AI - den är bara tyvärr felaktigt framställd många gånger av personer som faktiskt inte har någon djupare kunskap om AI i sig självt annat än några andra modeord som "deep learning" och "data science". 

Så vad anser jag om AI:s inverkan och dess inverkan på cybersäkerheten? 

Jag tror att AI kommer att fortsätta att hjälpa våra försvarare (och med den ökande komplexiteten i att försvara ett företag från cyberattacker behöver vi det). Jag tror också att AI kommer att fortsätta att missbrukas, men återigen inte för att skapa nya angreppsvektorer utan för att effektivisera användningen av befintliga. Jag visade nyligen i en presentation att det tog ChatGPT 40 sekunder att skapa en fin falsk LinkedIn-profil för mig. Det är där som dess främsta användningsområde ligger i dag. Social ingenjörskonst. För den är vackert effektiv på det, tyvärr.

Förra året sa jag att jag tyckte att MDR hade mycket att växa upp med. Och vid sidan av detta måste kanske också våra begrepp om MDR anpassas. Du kan hitta den tidigare bloggen här.

Det finns fortfarande en del grumliga frågor. 

Japp, som bransch säger vi fortfarande "jag vill övervaka AWS" och "jag vill övervaka Azure". Så jag kommer att upprepa lite av förra årets blogg - inte för att jag är lat (jag hade trots allt kunnat få ChatGPT att skriva den om jag hade velat, eller hur?) utan för att allt jag sa då, ser jag fortfarande som relevant nu. 

Huvudbudskapet om MDR som vi trycker på till våra kunder har alltid varit att "göra grunderna rätt". Anpassning kan komma senare, men majoriteten av de hot vi möter idag kommer att komma via ganska standardiserade tekniker. Cyberbrottslighet är en stor affärsverksamhet och det innebär att ekosystemet måste skala med efterfrågan. Detta har i sin tur gett upphov till "företag" som Ransomware-as-a-Service. Att fokusera på viktiga, vanliga hot är en bra början och när det gäller molnet gäller samma mantra. Grunderna i det här fallet kan vara lite annorlunda, men det finns fortfarande viktiga saker vi kan göra som kommer att ha en enorm inverkan på att stoppa attacker innan det är för sent. Exempel som: 

• Upptäcka komprometterade identiteter/konton som utför misstänkta aktiviteter i din molnmiljö
• Upptäcka exponerade data på osäkra molnresurser, t.ex. ansluten lagring, exponerade databaser eller GitHub-sidor
• Upptäckt av missbruk av molnbaserad samarbetsteknik för att säkerställa att den inte öppnar en bakdörr in i verksamheten
• Anpassning av processer och förfaranden för incidenthantering för att ta hänsyn till modellen med delat ansvar i molnet

Det finns fortfarande olika sätt att upptäcka attacker i molnet (alla inom ramen för den traditionella SOC-triaden av logg-, endpoint- och nätverksbaserad upptäckt), men vi bör börja med riskerna. 

Sammanfattningsvis är "molnet" inte en risk. Det är en källa till många risker. Och därför måste vi känna igen riskerna för att upptäcka dem och reagera därefter. Om du är intresserad av att veta mer, kom och prata med oss om de risker vi ser som bör hanteras i molnsäkerhet på olika säkerhetsmognadsnivåer. Vi hjälper dig att komma igång med en heltäckande upptäcktsstrategi, oavsett om du är ett Azure-, AWS-, GCP- eller ett multimoln-hus.

SOAR är det nya SIEM. 

Jag har fått flera förfrågningar under det senaste året där vi har frågat om vi kan göra någon form av automatisering och orkestrering. Om vi erbjuder en förvaltat tjänst kring SOAR-teknik? 

Mitt svar är alltid detsamma: "Visst... vad vill du automatisera?". 

Automatisering är en kraftfull strategi som vi alla borde anamma, det tvivlar jag inte en sekund på. Om du inte automatiserar så mycket som möjligt är din verksamhet inte så effektiv som den skulle kunna vara. 

Men samtidigt ser du att jag hänvisade till automatisering som en strategi. Eftersom den måste tänkas igenom, programhanteras, planeras och genomföras kontinuerligt. Du kan inte automatisera det som du inte redan gör. Du kan inte effektivisera processer när de inte finns. 

Så även om tekniken finns där tar det tid. Kanske hjälper det inte att bygga demos som visar att en enkel spelbok skapas på ett par minuter. De skapar en illusion av enkelhet när det gäller automatisering och orkestrering. Så enkelt är det inte. 

Låt oss därför titta på resultaten. Jag började med påståendet "SOAR är den nya SIEM" eftersom de är mycket lika tekniker i det avseendet att de är mycket flexibla och kraftfulla, men om man inte vet vad man gör eller, ännu viktigare, varför, blir de mycket dyra misstag. 

Vi är här för att förhindra att du gör dessa misstag! Vi fortsätter att arbeta mycket med att automatisera oss själva, för att ständigt upptäcka möjligheterna och för att utvärdera och prioritera dessa möjligheter. Allt detta kommer från en solid process för kontinuerlig förbättring. Automatiseringsprogrammen bör vara en del av den, och då kommer ni att upptäcka att det finns massor av vinster att göra. 

Detta är några viktiga punkter som jag ser som drivkrafter för framtidens Managed Detection and Response.

I del två kommer vi att titta på den ökande betydelsen av tillgångsinformation inom MDR och varför den kan göra skillnad.