`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Google Cloud Next '20 OnAir EMEA. Инфраструктура и безопасность

+11
голос

Продолжая обзор сессий конференции Google Cloud Next '20 OnAir EMEA, предлагаем вашему вниманию материал на основе нескольких докладов в рамках направления «Инфраструктура и безопасность».

Один из ключевых докладов рассматриваемой сессии сделал вице-президент Google Cloud направления Operations & Customer Growth в регионе ЕМЕА Санж Бхайро (Sanj Bhayro).

Google Cloud Next’20. Инфраструктура и безопасность

Санж Бхайро: «Результатом развития пандемии было увеличение потребления облачных сервисов»

Он отметил, что 2020 г. был годом пересмотра приоритетов для всех. Многие из инициатив, запланированных на следующие два года, были реализованы за две недели, тогда как другие были отложены.

По мере глобального ответа на развитие пандемии COVID-19, бизнес повсеместно адаптируется к изменяющейся среде, принуждающей его думать по-иному. Чтобы позволить переход бизнес-модели и поддержать рост прибыли, ИТ необходимо ответить усилением поддержки цифровой трансформации. Результат — увеличение потребления облачных сервисов. Согласно IDC, в последний год расходы на публичные облака в ЕМЕА выросли на 13,2%. достигнув 6,6 млрд. долл., а на приватные облака — на 7%.

В своем выступлении на открытии президент Google Cloud EMEA Крис Чаури очертил некоторые вдохновляющие истории трансформации, наблюдаемые в период пандемии, продолжил Санж Бхайро. Ключевым поведением, разделяемым успешными заказчиками, было их желание создать открытую платформу для обеспечения гибкости. Там Крис Чаури объяснил концепцию: «Гибкость означает способность быстро отвечать на изменения. Гибкая платформа позволяет бизнесу эффективно изменять шкалу стоимости вверх и вниз в соответствии с нуждами бизнеса доставки заказчикам новых сервисов быстрее».

«Во времена неопределенности заказчики Google Cloud верили в эластичность облака Google, в надежность и эффективность управления качеством сервисов для клиентов и сотрудников. Это потому, что Google Cloud хочет, чтобы работа заказчиков выполнялась в одной и той же глобальной инфраструктуре, которая усилена YouTube, Gmail и другими продуктами Google, используемыми миллиардами людей каждый день по всему миру», отметил Санж Бхайро.

Вице-президент Cloud Infrastructure Бред Колдер (Brad Calder) очертил в своем основном докладе попытки Google Cloud упростить миграцию и воспользоваться новыми преимуществами возможностей вычислений и хранения в облаке. Он, в частности, сказал: «В основе эластичности Google Cloud лежит сеть компании. Эта самая большая в мире сеть с низкими задержками представлена в 24 регионах, 73 зонах и 124 краевых локациях».

Google Cloud Next’20. Инфраструктура и безопасность

Глобальная сеть Google

Это позволяет компаниям, таким как Target, PayPal и Discovery быстро перераспределять существующие корпоративные нагрузки на GCP (Google Cloud Platform) и разрабатывать новые трансформационные приложения.

Внимание клиентов на этой сессии привлекла BMG, международная музыкальная компания, базирующаяся в Берлине. Управляющий директор Google Cloud Germany Аннет Малер (Annette Maler) в дискуссии с CIO Себастьяном Хенцшелем (Sebastian Hentzschel) в короткой сессии вопросов и ответов рассмотрела быстрое и экономное путешествие BMG в облако, которое компания уже совершила, и ее видение инноваций и модернизации в облаке.

Google Cloud Next’20. Инфраструктура и безопасность

Себастьян Хенцшель: «Для защиты большого объема данных необходимо перейти в облако»

Как отметил Себастьян Хенцшель, объем данных растет экспоненциально. В среде, центрированной на данных, нет шансов легко их копировать. Поэтому необходимо перейти в облако. И одной из ключевых причин для этого является масштабируемость. Второй является возможности технологической команды Google Cloud.

На конференции, продолжил Санж Бхайро, проходит множество сессий, на которых рассказывается о подходе Google к модернизации инфраструктуры. Рассматривается ли безопасность и эффективность миграции критических рабочих нагрузок SAP, или VMware как нативного сервиса на Google Cloud, или заторы трафика, чтобы установить и сконфигурировать облачную среду существует нечто общее для всех аудиторий, от лиц, принимающих решения, до разработчиков. Если компания заинтересована в повышении безопасности, то она не одинока. Согласно обзору Fugue, 84% компаний, которые перешли на распределенную рабочую нагрузку, были озабочены безопасностью во время миграции в облако. Google Cloud может показать, как компаниям адаптироваться к новым угрозам данным заказчиков и сотрудников, которые появились вследствие их перехода на распределенную работу и использования цифровых технологий. Можно начать с выступления вице-президента Google Cloud и главного евангелиста Интернета Винта Серфа, с его объяснений новых возможностей, как Google может помочь своим заказчикам шифровать данные на носителях, при передаче и при использовании.

В своем комментарии Винт Серф отметил, что мы верим, что будущее облачных вычислений будет все больше сдвигаться к частным зашифрованным сервисам, которые обеспечат пользователям конфиденциальность, что их данные не будут использоваться облачными провайдерами или их собственными инсайдерами. «Это является будущим, которое мы хотим помочь осуществить, и конфиденциальные вычисления делают это возможным», отметил Винт Серф.

Google Cloud Next’20. Инфраструктура и безопасность

Винт Серф: «Облачные вычисления будут все больше сдвигаться к частным зашифрованным сервисам»

Компании, стремящиеся повысить надежность защиты своих данных, разворачивают собственные центры обеспечения безопасности (Security Operation Center, SOC). Это требует как людских, так и аппаратных ресурсов. Чтобы их сократить, Google предлагает помощь в масштабировании таких центров. Об этом рассказали директор по маркетингу Анш Патнайк (Ansh Patnaik) и лидер направления опыта заказчиков Светла Янкова (Svetla Yankova) из Google Cloud.

Анш Патнайк специализируется на хронике, которая использует аналитическую платформу безопасности петабайтного масштаба для разведки и охоты за угрозами. Для тех клиентов, которые являются новичками в этой области, докладчик объяснил, что хроника является частью бизнес-подразделения безопасности Google Cloud, которое в целом сосредоточено на защите и модернизации систем безопасности для организаций безотносительно к тому, на каком этапе модернизации они находятся.

«Портфель средств защиты внутри GCP разбит на две части. Это продукты, которые делают GCP самой безопасной облачной платформой для запуска рабочих нагрузок заказчиков, и продукты, которые обеспечивают безопасность организаций на их площадке или в любых местах, которые могут быть другими облаками или гибридной средой», заявил Анш Патнайк.

Хроника релевантна безотносительно к тому, проводится ли модернизация инфраструктуры в текущее время на площадке компании, в облаке или в гибридной среде. Проблема, которую решает хроника, является одной из проблем перегрузки данных безопасности. Это значит, что инфраструктура и, конечно, даже больше, инструменты безопасности компании генерируют намного больше телеметрических данных, чем унаследованные SIEM способны обработать. И здесь можно увидеть ряд моментов, которые приводят к альтернативе при использовании современной телеметрии безопасности для целей разведки угроз, а также определения угроз. Так, другие опции не масштабируются. Например, EDR (Endpoint Detection and Response) или появляющиеся XDR-решения генерируют слишком много телеметрических данных, которые являются критическими для определения угроз и их разведки. Но они не разрабатывались для масштабирования. Поэтому, быть может, нельзя сохранять телеметрию для этих инструментов в течение нескольких дней и затем отправить эти данные на традиционные SIEM и в инструменты управления log-журналами. И здесь пользователи сталкиваются с такими же проблемами. Первая, поиск длится часами иногда днями, и количество аппаратных ресурсов, требуемых для обеспечения управления, также растет. Вторая — остальные опции являются очень дорогими. В дополнение к стоимости инфраструктуры нужно также платить за каждый обрабатываемый байт. Чем больше пользователь хочет анализировать, тем больше должен платить. Таким образом, он вынужден ограничивать объем данных, которые собирает, а также длительность хранения всех этих данных. И третья проблема — другие инициативы являются, как правило, малоэффективны для обнаружения современных угроз. Заказчики пытаются связать события вместе, они не используют разведку угроз нужным способом, их правила разрабатываются для ложных источников данных и для вчерашних атак. И как результат, они упускают из вида множество современных атак и угроз.

Платформа для аналитики хроники безопасности была построена прямо на ядре инфраструктуры Google. Таким образом, она функционирует на скорости Google. «Представьте, что у заказчиков есть система, которая неограниченно масштабируется. Далее, хроника предоставляет прорывные модели ценообразования и экономии, которые не базируются на объемах данных», заявил Анш Патнайк. Заказчики стимулируются отсылать все свои данные, особенно большого объема, подобно EDR, которые традиционно ускользали от анализа. И все эти данные сохраняются по умолчанию целый год для оперативного доступа. Хроника обогащает телеметрию и автоматически связывает события вместе. Она автоматически и ретроактивно коррелирует обогащенные события с разведкой угроз и обеспечивает мощный и гибкий синтаксис для анализа данных. Таким образом, пользователь получает ясные сигналы взамен потерянных угроз. Теперь хроника выведена на рынок с ключевыми преимуществами, о которых писалось выше — с масштабированием, высокой производительностью и с низкой стоимостью.

Еще одной проблемой является производительность. Поиск по сотням терабайт для организаций среднего масштаба или петабайт данных для более крупных организаций исторически был примером безрезультативности. Многие организации не имели данные для полного года. Даже если они делали это, то процедура могла занимать часы и дни, чтобы найти данные.

Google Cloud Next’20. Инфраструктура и безопасность

Анш Патнайк: «Проблема, которую решает хронология, является одной из проблем перегрузки данных безопасности»

До сих пор разговор был о фундаментальных проблемах, которые решает хроника, и о влиянии, которое она имеет на разведку угроз. Затем докладчик вернулся к своему ранее сделанному анонсу новой машины правил и рассмотрел некоторые возможности и дифференциаторы с расширенной функциональностью, которые ожидают увидеть на рынке. Недавно была анонсирована новая машина определения угроз, называемая «Chronical detect», она заменяет множество устаревших конструкций определений новыми, которые действительно оптимизированы для определения современных угроз. Например, она способна определить последовательность событий, которые представляют атаку. Второе, хроника вводит новый синтаксис определения угроз, называемый Yara-L, или Yara for longs, — новый язык для определения современных угроз. Он позволяет очень эффективно инкапсулировать логику определения продвинутых угроз и также предоставляет преимущества при автоматизации и обогащении модели данных, которая была источником абстракции и улучшения продуктивности аналитиков в разведке угроз. Третье, Google Cloud сопровождает машину ядра относительно синтаксиса правил Yara-L вместе с библиотекой контента SOC. Это включает поддержку основных правил SOC на рынке, являющимся одним из наибольших хабов контента для правил угроз, и это делается возможным с помощью конвертера-переводчика, который, по существу, может преобразовать правила с одного языка или синтаксиса в необходимый формат, в Yara-L.

В последние месяцы Google Cloud осуществила интеграцию с лидирующими на рынке инструментами, такими как Palo Alto Cortex EDR, а также с инструментами других лидеров рынка. И, наконец, все возможности платформы хроники, включая определение новых угроз, доступны глобально.

Следом выступила лидер направления опыта заказчиков Светла Янкова (Svetla Yankova), которая провела демонстрацию работы хроники, фокусируясь на новых возможностях детектирования на ее основе, которая также явилась обзором платформы и возможностей разведки угроз. Она рассказала о некоторых инновациях, внедренных в платформу хроники, и привела несколько примеров того, как можно определять современные угрозы.

Светла Янкова начала с показа очень невинного, на первый взгляд, документа. Если пользователь щелкал мышью на доступное редактирование, то он мог ничего не увидеть, но под капотом был макрос, запускающий оболочку Powershell, которая подключалась к вредоносному серверу. Почему после траты миллионов долларов средства защиты все еще трудно определяют эти типы атак. Самой главной причиной является наличие частичной видимости. Если кто-то является защитником, то даже если он хорошо знает своего противника, у него нет времени что-то предпринять. У него нет данных о конечных точках, нет данных, отосланных наружу. Данные облака и SaaS периодически отбрасываются, вещи, подобные DNS и e-mail, не хранятся очень долго. Вторая причина, почему определение этих типов современных атак затруднено, это медленный поиск, и детектирования, которые выполняются сегодня, являются на самом деле легко прогнозируемыми для атакующих. Даже если есть все данные поисков и детектирования, оно может занять минуты или даже часы. В Google Cloud верят, что более быстрый поиск приводит к более продуктивным командам. Но он также приводит к распознаванию паттернов. Это знание, которое может очень быстро привести к лучшей автоматизации, лучшему детектированию, лучшему обучению. Это является руководящим принципом и видением, и лежит в основе проводимой работы с детектированием на основе хроники.

Возвращаясь обратно к хронике, можно отметить, что при регистрации видны петабайты данных, и это должно было бы действительно стать новой нормой, стандартом для профессионалов рассматривать такой объем данных. Поэтому для системы такого типа, по мнению Google, поиск должен быть сверхбыстрым.

«Итак, быстрый поиск — это хорошо, и семантическое понимание данных внутри временной шкалы является действительно новаторским, и однажды им можно будет пользоваться, но нужно быть реалистами. У вас не будет времени находить каждый плохой индикатор. Нужна более масштабируемая технология детектирования», отметила Светла Янкова. Очень важным в данном случае является так называемое ретроактивное оценивание. Можно оценивать «плохие вещи» по всей системе, как прогнозируя их, что легко, так и рассматривая их обратно во времени, что никто в реальности не делает. Для атакующего легко изменить что-нибудь в будущем, узнать, что пользователь изменил свои IP-адрес и домен, но он не может возвратиться назад во времени и использовать то, что уже прошло.

Далее Светла Янкова рассмотрела метрику техники атак, которые распространяют фишинговые присоединения в электронной почте. Это то, что нельзя блокировать. Получатель не может блокировать электронную почту, не может блокировать присоединения. Вредоносная атака может быть спрятана в любом из таких оповещений. В медленных системах с неполной видимостью это становится сплошным кошмаром.

Обеспечение безопасности и раньше не было легким делом, но с пандемией все только усложняется. Chronical позволяет объединять данные даже при различных идентификаторах, таких как имя пользователя или электронная почта. Затем может выполняться сортировка по таким объектам, как дампы Active Directory, Azure ID, DHCP, и делать это с практически нулевыми усилиями со стороны заказчика. В результате можно получать паттерны несоответствий и подозрительных писем. И это позволяет детектировать злонамеренные активности, которые раньше не удавалось обнаруживать.

Таковы были основные выступления на сессии «Продуктивность и сотрудничество» на проходящей конференции.

Напомним, что ближайшая сессия Google Cloud Next '20 OnAir EMEA — Application Modernisation, Business Application Platform — стартует 27 октября. Важно также отметить, что все доклады будут представлены в записи, однако в день проведения сессий у вас есть возможность вживую пообщаться с докладчиками и экспертами компании.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

+11
голос

Напечатать Отправить другу

Читайте также

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT