Происхождение энергии на основе субподряда службы безопасности и технологической оснастки от управляемого обслуживания, как часть более широкой цифрового преобразования и перемещения в публичном облаке.

CISO Кристоф Strizik рассказал на саммите AWS в Сиднее, что происхождение более или менее прошла “революция безопасности. Мы занимаемся безопасностью по-разному”, – сказал он.

Происхождение четко заявил о своем намерении принять публичное облако на шкале обратно в 2016 году, создав одну из центральных ролей в его после некоторых частях организации начали запускать облачные экземпляры сами.

Первоначальная цель была более чем 1000 рабочих нагрузок. Область была расширена до 1500 нагрузок в 2018 году, одновременно с реструктуризацией облако практике компании. В прошлом году, было выявлено, что часть нагрузки будет работать в VMware Cloud на платформе AWS.

На саммите AWS в Сиднее, сказал Strizik происхождения “теперь на 60 процентов выполнена с подвижными большинство наших систем в публичном облаке”.

Он также поставил дату окончания миграции: 2022.

В слайдов, сопровождающих презентацию, Strizik назвал переход на публичное облако “раз в поколение возможность трансформировать [в] организация и обеспечение безопасности”.

“Как часть нашего путешествия публичном облаке, мы изменили нашу безопасность”, – сказал он.

“Мы разработали принципы безопасности, которые помогли нам определить необходимую культуру безопасности и возможности мы хотели создать для обеспечения нашего бизнеса”.

Компания начала трансформацию безопасности с трех принципах, которые в конечном итоге эволюционируют до семи; Strizik выделили несколько в своей презентации.

“Первый принцип, который мы имели, был [в] масштаб и увеличить ценность безопасности при низких затратах”, – сказал он.

“Мы хотели добиться того, чтобы, используя открытые источники, облака и автоматизации.

“Это сразу же имело ряд последствий, как мы думали о предоставлении услуг безопасности по происхождению”.

Второй принцип состоял в переходе к “целостной, своевременной и риск-систем безопасности”.

“Когда мы говорим о целостном, мы говорим о не пробелы в информационной безопасности, поэтому мы хотим, чтобы информационная безопасность для всех наших информационных ресурсов и систем”, – сказал Strizik.

“[Для] своевременно, мы хотим иметь близко к безопасности в режиме реального времени информацию для лучшего принятия решений и риск-ориентированного значит, что мы хотим иметь ограждения безопасности или управления запеченные в наш облачной среде, так что бизнес может работать так быстро, как нужно безопасно.”

С практической точки зрения, безопасности происхождения “революции” видел его задействовать возможности мониторинга безопасности, подставка совершенно новый стек, и сосредоточиться на создании культуры, о “прозрачности безопасности”.

Сказал Strizik происхождения звонил, чтобы отменить договор безопасности аутсорсинг неизвестным, поставщик управляемых услуг безопасности (MSSP).

“Мы были действительно хороши в управляющих аутсорсинг услуг безопасности, но нам пришлось научиться строить и запускать облачных защитных решений в масштабе в-дом”, – сказал он.

“Как бизнес, мы поняли, что безопасность является основой того, что мы делаем и … нам нравится делать то, что ядра сами, где это имеет смысл.”

Strizik также ссылался на конструкт интернет-МССП не способствующий операционной инфраструктуры в облаке в масштабе.

“Когда вы оцифровать свой бизнес и переехать в публичном облаке, вы должны решить, если вы хотите использовать существующие технологии безопасности и стека, или если вам переосмыслить свой стек,” Strizik сказал.

“В нашем случае, это не имеет смысла использовать наш существующий стек.

“Мы бы удвоили наши расходы, а это явное нарушение принципа максимизации стоимости по низкой стоимости. Мы также не смогли добиться ряда других принципов с нашим наследием стека.

“Поэтому мы отменили наше МССП и возникает чувство освобождения – и, наверное, тоже паника – что приходит с этим.”

Паника исходила от “очень плотный график, чтобы превратить” это решение произведено.

“Мы приняли решение не брать за какой-либо из существующих систем безопасности мы были в месте, в котором было и хорошее и плохое,” облако безопасности привести Гленн Болтон сказал.

“Это было хорошо, потому что у нас была невероятная возможность здесь, чтобы создать новые возможности безопасности в среде новых месторождений, но давление было на самом деле.

Время шло и нам нужно такое же покрытие как можно быстрее, желательно за минимально возможную стоимость.

“У нас было только несколько месяцев, чтобы придумать что-то лучше”.

Сказал Болтон происхождения “знал, что мы не хотим”.

“Мы знали, мы не хотели такую систему, где мы платили огромные деньги только ограниченное количество событий в секунду, и мы не хотим оказаться в положении, когда нам пришлось выбирать, какой журнал источников мы можем позволить себе держать и какие из них нам пришлось прекратить”, – сказал он.

“То, что мы хотели был упрямый, но разумный оповещения, из-из-коробки, с возможностью создавать новые типы оповещений себя, когда мы хотели.”

Раскручивать стек

Некоторые базовые системы и платформы уже пришли “с упрямый, но разумный предупреждения из-из-коробки”, – сказал Болтон.

Компания имеет фирменная это как “микро-решения SIEM” [информационной безопасности и систем управления событие].

Чтобы заполнить любые пробелы в наблюдении, происхождение тоже встал “макро-сим”.

Сказал Болтон компании отказались от использования “традиционных Сием” для макро системы, потому что он не хотел быть привязанным “к конкретному и модель лицензирования поставщика”.

“Я позвонил раньше, чтобы сознательно разделить нашу макро-СИМ в трех отдельных компонентов: доставка и разбор, аналитика и архив”, – сказал он.

“Вместо того, чтобы сделать один инструмент, чтобы делать все три, мы использовали самые лучшие инструменты для каждого отдельного компонента.

“За доставку и обработку мы используем комбинацию ударов и упругой в LogStash с некоторых нативных облачных трубопроводов, где они имеют смысл такие вещи, как сервис cloudtrail или [ВКК] журналы расхода.

“Для аналитики, мы разделились только подмножество журналы, которые нам нужны для наших повседневных операций по обеспечению безопасности и оповещения в принцип, который помогает нам держать цены вниз. Если мы когда-нибудь понадобится, чтобы запрос из исторических журналов или ресурсов не в Splunk, мы делаем это с помощью Amazon Афина, которая позволит нам запрос наши журналы можно непосредственно в нашем архиве и только стоит нам, когда мы должны использовать его.

“И для архива, мы сжимаем и раздела логов в LogStash перед хранением их в S3 для длительного хранения при очень низких затратах.”

Сказал Болтон компании регулярно достигла 8000 событий в секунду, без системы “вспотев”.

Общие затраты были около 800 долларов в месяц, хотя сказал Болтон компании не “приложили немало усилий в оптимизацию затрат” на данном этапе.

Из макро-сим, действенные сигналы передаются через происхождение API безопасности, который работает на Amazon API шлюза, через куст и коры для управления делами и ответ соответственно.

“Мы реагируем на сигналы тревоги с помощью Hive и кора, которая помогает нам быть последовательным и эффективным, и мы управляем с помощью автоматизированных контрольных показателей, чтобы стимулировать конкурентное соответствие”, – сказал Болтон.

“Я читал хорошие вещи о проекте куст и коры и думал, что они могли бы быть полезны здесь, но я никогда не использовал их сам.

“Потому что мы были в культуре, которая поощряет экспериментирование и мы получили платформу для выполнения наших экспериментов, мы быстро построили это как доказательство концепции, и взял его на тест-драйв, и решил, что нам понравилось, так что мы до сих пор используют его сегодня.”

Болтон куст характеризуется как “инструмент управления случае кибербезопасности … немного, как Java программист, но специально для аналитика рабочего процесса.”

“Это помогает нам с управления оповещения и повышает согласованность с шаблонами сценарии”, – сказал он.

“Куст также создает большие показатели по типам оповещения, расследования и ложных срабатываний.

“Имея метрики ложных срабатываний является большим, потому что это помогает нам настраивать наши уведомления, так что мы можем помочь снизить усталость аналитик и метрик вокруг нашего расследования и предупреждения дает нам доказательства того, что мы должны показать, что мы делаем хорошую работу.”

Коры, между тем, поддержал улей“, помогая автоматизировать поиск наблюдаемых вещей, как IP-адреса, доменные имена и хэши файлов.”

“Все это может спасти аналитик от необходимости копировать и вставлять эти виды доказательств в десяток разных вкладках браузера”.

Болтон пропускает архитектура “может выглядеть как много вещей, чтобы управлять, и это”, но говорит, что “по большей части это просто работает само”.

Вне стека

За пределами стека технологий, источника энергии были приложены значительные усилия по созданию внутренней системы мониторинга безопасности.

Сказал Strizik компания “подключились более широкий кадровый резерв”, чтобы “преодолеть дефицит талантов”, обучение людей из других технических или консультационных поля в области кибербезопасности.

“Мы начали процесс непрерывного обучения, и я думаю, что это действительно так важна для нас”, – сказал он.

“Мы продвигали своих людей с сильными лидерскими качествами, но ограниченных навыков безопасности для запуска нашей новой команды Службы безопасности, который, конечно, является необычным шагом, но работал очень хорошо для нас.

“И последнее, но не менее, вся наша роль-гибкий. Так что я думаю, что это также изменит правила игры”.

Сказал Strizik команда, которая создает и запускает стека безопасности Origin в облаке составляет 46% женщин и всего пять процентов оборота.

Безопасности ‘таблица’

В стороне от команды и инструменты, сказал Strizik значительные усилия были посадить за “прозрачность безопасности” в Origin.

“Почему вы хотите, чтобы сосредоточиться на этом? Ну, мы считаем, что постоянное совершенствование нашей культуры безопасности становится все более важной, и мы также хотим быть в лучшем положении, чтобы использовать новые технологии безопасно”, – сказал он.

“Мы также считаем, что информационная безопасность прозрачности управляет культуры безопасности в вашей организации, и есть более широкие исследования, чтобы поддержать это, как прозрачность диски позитивные изменения в культурах и обществах.

“Это не новая концепция – мы просто применяя его в безопасности.”

Сказал, что Strizik происхождения были связаны с безопасности и панели “таблицы лиги … который сделал его легким для людей, чтобы увидеть, как их безопасности сравнивается с другими”.

“Повышение прозрачности и таблицы лиги безопасности создает чувство соперничества между командами, так что команды теперь спрашивают, ‘Как мы можем сравнить?’

“Никто не хочет быть последним в таблице Лиги.

“В результате этого, мы наблюдаем улучшение соблюдения усовики безопасности до 25 процентов в течение первого года, а из-за прозрачности, мы также видим проблемы решаются быстрее.”

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here