0
0
A economia de confinamento está impulsionando um boom de negócios de inteligência de ameaças. O Chronicle Detect é a resposta do Google para monitorar tantos dados de registro criados pela força de trabalho distribuída.
O aumento repentino de trabalhadores remotos criou um aumento na demanda por soluções de detecção e resposta de ponto final (EDR), mas um mercado subsidiário também se beneficiou: o grande volume de dados de registro criados pela força de trabalho distribuída também impulsionou a demanda por serviços de inteligência de ameaças baseados em nuvem, de acordo com o Chronicle, divisão de cibersegurança do Google Cloud.
Em 23 de setembro, o Chronicle anunciou a disponibilidade geral de seu serviço de detecção de ameaças, Chronicle Detect. O serviço permite que as empresas coletem grandes quantidades — petabytes — de dados de fontes distribuídas, armazenem-nos na nuvem e usem o idioma baseado em regras YARA-L do Google para procurar comportamentos suspeitos.
Embora o Chronicle tenha identificado uma variedade de mercados potenciais para o serviço de segurança, quase todos os seus negócios vieram de empresas que precisam apoiar seus sistemas EDR para maior visibilidade, diz Rick Caccia, chefe de marketing do Google Cloud Security.
“Este caso de uso de dizer: ‘Coloque um EDR no lugar, e ele gera petabytes de dados, e queremos que você o capture, indexe-o, mescla-o com outros dados de rede, e então deixe-nos escrever um monte de regras de comportamento baseadas em YARA contra ele, e deixe-nos mantê-los por um ano ou mais’, esse caso de uso em particular está impulsionando todos os negócios “, diz ele. “O bloqueio do COVID enlouqueceu o mercado edr, e isso arrastou nossos negócios junto com ele.”ANÚNCIO. CLIQUE PARA VER O SOM.
Os comentários destacam os esforços das empresas para garantir os dispositivos dos funcionários que trabalham em casa. Mais de três quartos das empresas têm a maioria dos funcionários trabalhando em casa pelo menos um dia por semana, de acordo com uma pesquisa de junho da consultoria PwC. A tendência continuará mesmo após o término dos bloqueios, com 55% das empresas esperando ter funcionários trabalhando em casa parte do tempo, um aumento de 39% antes da pandemia do coronavírus, mostra a pesquisa.
Proteger os dispositivos dos funcionários requer uma tecnologia como o EDR — também referida como detecção e resposta corporativa ou às vezes detecção e resposta estendida (XDR). No entanto, manter a visibilidade nos dispositivos de trabalho dos funcionários requer uma melhor maneira de coletar e armazenar grandes volumes de dados de segurança e log.
“As equipes de segurança podem enviar sua telemetria de segurança ao Chronicle a um custo fixo para que dados de segurança diversos e de alto valor possam ser levados em conta para detecções”, afirmou o Chronicle em seu anúncio. “Nós automaticamente fazemos esses dados de segurança úteis mapeando-os para um modelo de dados comum entre máquinas, usuários e indicadores de ameaças, para que você possa aplicar rapidamente regras de detecção poderosas a um conjunto unificado de dados.”
O lançamento do Chronicle Detect é o mais recente de uma série de anúncios nos últimos dois anos pelo Google sobre seu grupo de cibersegurança. Em 2018, a empresa-mãe do Google, Alphabet, criou a Chronicle para expandir suas ofertas de segurança cibernética. No ano seguinte, na RSA, a empresa lançou seu primeiro novo serviço, o Backstory, uma plataforma de inteligência de ameaças. Naquele verão, o Google Cloud anunciou que a empresa se fundiria com a empresa-mãe mais uma vez.
Agora, a empresa lançou seu serviço de detecção de ameaças, divulgando sua capacidade de lidar com grandes lojas de dados, sua linguagem YARA-L para pesquisar através dos dados e seu suporte tanto para MITRE ATT&CK quanto para o formato de regras sigma genérico.
No Chronicle Detect, os dados de ameaça são coletados no Modelo de Dados Unificados da empresa, que armazena uma variedade de atributos específicos para ameaças fornecidos por uma variedade de segurança e infraestrutura de rede, do EDR ao serviço de nome de domínio e de servidores proxy a ofertas de software como serviço.
Usando o YARA-L, o idioma do Chronicle para especificar consultas específicas de log, as empresas podem pesquisar comportamentos maliciosos ou suspeitos.
“Por exemplo, se um funcionário baixar um arquivo que ninguém na empresa viu antes, e ele se conectou a um endereço IP até então desconhecido, você pode ter o sistema sinalizando-o”, diz Caccia. “A capacidade dos clientes de escrever essas regras muito genéricas de comportamento e fazê-las encontrar coisas baseadas em critérios como ‘ninguém nunca viu isso antes’ é a próxima grande peça.”
No entanto, talvez o benefício mais significativo que o Google traz à mesa seja a capacidade da empresa de lidar com muitos dados, diz ele.
FONTE: DARK READING