0:00:00.7 Max Havey: Ciao e benvenuti a un'altra edizione di Security Visionaries, un podcast dedicato al mondo della sicurezza informatica, dei dati e delle infrastrutture tecnologiche, che riunisce esperti da tutto il mondo e provenienti da diversi settori. Sono il vostro ospite, Max Havey. E oggi ci immergiamo nel mondo dei Data Lake con Troy Wilkinson, CISO di Interpublic Group, noto anche come IPG. Troy benvenuto allo spettacolo.
0:00:21.5 Troy Wilkinson: Grazie Max. È davvero un grande piacere essere qui.
0:00:23.8 Max Havey: Sono felice di averti qui. Per iniziare, puoi spiegarci in cosa consiste il concetto di data lake e perché sono importanti? Come aspetto della sicurezza moderna.
0:00:34.2 Troy Wilkinson: Sì, assolutamente. Penso sia importante fare un passo indietro e parlare del motivo per cui raccogliamo dati in primo luogo: tutto ciò che sentiamo, vediamo e tocchiamo e la tecnologia ha una sorta di registro delle macchine che ne deriva. Alcuni di questi registri eventi sono semplicemente normali accessi e disconnessioni, ma altri rappresentano una telemetria di sicurezza molto importante. Quindi, quello che abbiamo fatto negli ultimi 25, 30 anni è stato cercare di decidere cosa è importante per noi dal punto di vista delle operazioni di sicurezza, quali dati dobbiamo raccogliere, quali dati sono importanti per un evento o un incidente, e poi immergerci nella logica o nella scienza dei dati su come possiamo collegare quegli incidenti o eventi, e quindi questo è stato un problema di dati per un periodo di tempo molto lungo, e stiamo davvero entrando nella prossima generazione o nella prossima frontiera di questi dati disaccoppiando i dati dall'analisi per così tanto tempo, ci è stato chiesto di mettere questi dati in un posto singolo, quello che mi piace chiamare SIM legacy, dove si incanalano i dati in un enorme database e poi si esegue l'analisi su di essi per raccogliere informazioni da tutti gli incidenti, ora con la struttura del data lake, essere in grado di mettere i dati in uno schema comune in un data lake consente di disaccoppiare quei dati dalle analisi, quindi se arriva la prossima soluzione di intelligenza artificiale strabiliante e si desidera applicare quell'intelligenza artificiale.
0:01:55.3 Troy Wilkinson: Questo set di dati è fantastico. È un semplice passaggio, non devi spostare i tuoi dati in una New soluzione, non devi trasferirli da nessuna parte, puoi semplicemente applicare queste New analisi, e penso che questo offra davvero ai responsabili della sicurezza e agli operatori della sicurezza flessibilità su come eseguire le operazioni di sicurezza e le ricerche di correlazione nei loro data lake, e quindi ritengo davvero che quella flessibilità, quella trasparenza e la proprietà dei dati, e la possibilità di decidere per quanto tempo conservare tali dati siano criteri decisionali davvero importanti per i data lake e per come cambieranno il settore delle operazioni di sicurezza.
0:02:30.5 Max Havey: In un certo senso, è una specie di luogo che funge da archivio per tutti i dati che le organizzazioni hanno creato in tutti questi anni, e che ora possono utilizzare per qualsiasi scopo, che sia con un modello di intelligenza artificiale, con analisi o altro, ma è essenzialmente qualcosa che li aiuta a tenere tutto sotto controllo in modo da poterlo anche proteggere.
0:02:51.7 Troy Wilkinson: Sì, assolutamente, e vorrei anche parlare dei costi, quindi se pensi che il costo dei dati è diminuito enormemente, quindi archiviare i dati nel cloud ora costa meno di pochi centesimi per gigabyte, quindi puoi archiviare più dati, quindi in passato dovevi davvero essere consapevole di quali dati inserivo nella mia SIM e su quali dati potevo fare correlazioni, quindi c'erano delle limitazioni, e potrei decidere come responsabile della sicurezza, non posso importare quella voluminosa fonte di dati perché è troppo costoso farlo, ma lo volevo davvero.
0:03:17.7 Troy Wilkinson: E quindi ora con la struttura del data lake, puoi importarli a un costo molto più basso e usarli per fare ricerche di correlazione, cosa che non era mai stata possibile prima. Ad esempio, i registri DNS sono solitamente molto rumorosi e molto insoliti, quindi molti responsabili della sicurezza non li prendono in considerazione; tuttavia, sono molto preziosi in caso di incidenti o se si vuole tornare indietro e vedere se un utente è andato su un sito particolare e approfondire la questione. Quindi, avendo quei dati in un data lake dove l'archiviazione è molto economica, è possibile averli a disposizione per indagini a lungo termine e molto approfondite, soprattutto in un'indagine forense dopo un incidente.
0:03:51.5 Max Havey: L'avvento di uno spazio di archiviazione economico e la possibilità di avere tutti questi dati creano New opportunità su come utilizzarli al meglio e avere più spazio di archiviazione porta a più innovazione con questi dati e a cose più entusiasmanti che le persone nel settore della sicurezza e altrove possono fare con questi dati.
0:04:08.7 Troy Wilkinson: Assolutamente, e un'altra cosa da sottolineare è che la possibilità di archiviare questi dati nel tempo consente al responsabile della sicurezza di applicare diversi tipi di analisi. Ad esempio, oggi disponiamo di molteplici tipi di ricerche generate dall'intelligenza artificiale e di eventi di correlazione generati dall'intelligenza artificiale, e siamo in grado di unire insieme i dati di telemetria provenienti da tutte le fonti di dati su larga scala e a velocità elevata, cosa che non siamo mai stati in grado di fare prima. Ora, questa era la promessa di SIM in passato, quella di riunire tutti i dati in un unico posto, facciamo tutta questa fantasiosa interpretazione, tuttavia, penso che non ci siamo mai arrivati dal punto di vista degli operatori di strada su larga scala a causa dei costi, a causa delle conoscenze necessarie per gestirlo e a causa della sua manutenzione, siamo stati on-premise per molto tempo, quindi il data center era pieno di server che dovevi mantenere, e poi siamo passati a un'era cloud in cui ora la tua SIM è nel cloud, ed è molto costoso con la potenza di calcolo necessaria per eseguire quelle analisi altamente complesse, essere in grado di disaccoppiare i tuoi dati e, cosa più importante, avere quei dati in uno schema comune o nello schema aperto di Cyber Security del framework, in modo che ogni sorgente di registro sia nello stesso schema, in modo che un nome host sia un nome host e un computer sia un computer, e un indirizzo IP sia un indirizzo IP, non devi tradurlo, non devi cercare indici o sorgenti dati multipli e tradurlo.
0:05:24.2 Troy Wilkinson: In altre parole, è tutto nello stesso linguaggio, puoi porre domande ai tuoi dati su larga scala e in più luoghi diversi, e questo aiuta davvero a trovare quell'ago nella pila di aghi, come ci piace dire, per trovare gli autori delle minacce che fanno cose cattive, si spostano lateralmente esportando la tua infrastruttura, i tuoi server, il tuo cloud, collegando davvero il tutto dove potresti aver perso quelle informazioni in precedenza.
0:05:45.8 Max Havey: Assolutamente. E questo mi porta al mio prossimo pensiero: quali sono alcune delle sfide che hai incontrato come CISO quando si tratta di utilizzare i Data Lake e proteggerli?
0:05:54.6 Troy Wilkinson: Beh, penso che le sfide tendano ad essere le stesse di qualsiasi tipo di fonte di dati: è necessario disporre di protezioni dei dati, è necessario avere la proprietà e la discendenza dei dati, è necessario assicurarsi di deprecare i dati nei tempi giusti, in base ai requisiti normativi. Quindi hai ancora le stesse preoccupazioni in materia di protezione dei dati che avresti con qualsiasi altra fonte di dati.
0:06:14.5 Max Havey: Assolutamente, e poi, nello stesso senso, perché i data lake sono diventati una superficie di minaccia sempre più importante da proteggere da attori malintenzionati e da altre persone che cercano di accedervi o di avvelenare quei dati? Perché stanno diventando una superficie di minaccia importante da tenere a mente per i professionisti della sicurezza?
0:06:31.9 Troy Wilkinson: Sì, bella domanda. Penso che da una prospettiva di dati, gli autori delle minacce siano sempre alla ricerca di dati da esfiltrare. Credo che questo sia un tema crescente tra gli autori delle minacce negli ultimi anni. I recenti incidenti "Snowflake" che abbiamo visto in numerose grandi organizzazioni ci mostrano che gli autori delle minacce sono alla ricerca di grandi fonti di dati da esfiltrare, e quindi la protezione dei dati è estremamente importante. Certamente la protezione dei dati e l'esfiltrazione sono in cima alle strategie degli autori delle minacce, e quindi cerchiamo sempre di proteggerli. Penso che gli autori delle minacce siano realmente intenzionati a ottenere i dati aziendali e li ritengano molto preziosi. In passato, gli attacchi ransomware si limitavano a crittografare i server e a chiedere un riscatto alle aziende; ora, invece, i dati vengono effettivamente esfiltrati. E quindi sono dati secondari e persino terziari, ransomware, dove dici: Se non ci paghi, renderemo pubblici i tuoi dati, quindi i dati sono diventati una merce monetizzata per gli autori della minaccia che possono continuare a essere un bersaglio.
0:07:24.6 Max Havey: Assolutamente, e lo hai visto con aziende o organizzazioni che hanno avuto perdite di dati di dimensioni gigantesche, ricordo in particolare Nintendo, ci sono state alcune grandi aziende di intrattenimento e altre persone in tutti i settori nel corso degli anni in cui hanno avuto questo tipo di enormi perdite di dati, e penso che sia un punto interessante che ora ci siano queste enormi quantità di dati che forse non c'erano 15, 20 anni fa, solo perché ora siamo in grado di tenerle sotto controllo.
0:07:49.2 Troy Wilkinson: Quando esaminiamo i set di dati, prendiamo in considerazione l'attacco informatico alla Sony e l'esfiltrazione di informazioni sui film. Se si considerano gli altri settori bancari in cui si cerca di esfiltrare informazioni sui clienti, penso che ogni set di dati sia unico e debba essere protetto, ma se si pensa ai Data Lake di sicurezza di cui stiamo parlando qui, nella telemetria di sicurezza per le operazioni di sicurezza, gli autori delle minacce potrebbero ottenere una visione molto approfondita di ciò che un cliente fa per proteggersi, il che fornirebbe loro un modo per trarne ancora più vantaggio, in altre parole, potrebbero trovare il modo di accedere ai loro backup, ai loro database, ai loro server, e quindi questa telemetria di sicurezza è molto preziosa anche per gli autori delle minacce, quindi dobbiamo persino mettere più barriere di protezione attorno ai nostri Data Lake.
0:08:29.4 Max Havey: Assolutamente, e poi so che parliamo dell'idea di usare i Data Lake come strumento per addestrare modelli di intelligenza artificiale e cose del genere. So che l'idea di avvelenare i dati è un rischio reale quando si tratta di formazione, intelligenza artificiale generativa e altri modelli di intelligenza artificiale. In che modo può rappresentare un problema e quali sono alcuni modi in cui le persone possono pensare di proteggersi da questo quando si tratta di Data Lake?
0:08:47.5 Troy Wilkinson: Quindi, mentre esaminiamo modelli linguistici di grandi dimensioni e altri tipi di modelli di base per l'intelligenza artificiale che stiamo alimentando noi stessi, questo è un modello che stai costruendo e gestendo in sede o nel tuo cloud. Penso che sia davvero importante capire che questa possibilità di avvelenamento dei dati è a disposizione degli autori delle minacce per trarne vantaggio. È necessario disporre di una convalida degli input, assicurarsi che nessuno sia in grado di avvelenare gli input e anche di esfiltrarli. Anche se si dispone di un'architettura di tipo rag o di un'architettura di riferimento per la condivisione di un modello di intelligenza artificiale, è comunque possibile che si verifichi un avvelenamento dei dati a livello di input e che si verifichi anche un'esfiltrazione dei dati in cui avviene uno scambio tra l'input dell'utente e lo scambio con il modello di base sottostante. Pertanto, ritengo sia fondamentale proteggere tutti i componenti di tale processo.
0:09:32.9 Troy Wilkinson: E a questo punto si tratta di un genere diverso di sicurezza, in cui vediamo la protezione dell'IA, la protezione del modello di base, la protezione e il rilevamento dell'avvelenamento dei dati, anche di pregiudizi, e questo pregiudizio può essere un pregiudizio intrinseco o può essere un pregiudizio sconosciuto, in cui non ti rendi nemmeno conto che il tuo modello si sta trasformando in un grande algoritmo che ti sta portando sulla strada sbagliata, quindi per quanto riguarda la sicurezza, i data lake, il SIM soar e le operazioni di sicurezza, penso che siamo un po' lontani da lì, penso che siamo abbastanza al sicuro su questo perché non stiamo implementando o istituendo modelli di IA sui nostri data lake di sicurezza su larga scala, eppure ci sono fornitori che lo stanno facendo dietro le quinte, quindi avrebbero una grande sfida per proteggere quei modelli sottostanti, ma per noi, penso come professionisti del settore, essere in grado di ottenere tutti i nostri dati in un data lake centrale e implicare Advanced Analytics è ancora ciò che considererei apprendimento automatico e alcuni dei tipi di sicurezza più vecchi. ricerche di correlazione. Ora, la parte migliore di un Data Lake, ancora una volta, è che hai i tuoi dati in uno schema comune e in un posto centralizzato come questo, puoi modificare le analisi, quindi se arriva la prossima soluzione di intelligenza artificiale, diciamo nei prossimi 12 mesi, dove.
0:10:44.9 Troy Wilkinson: Gli operatori della sicurezza dicono: "Voglio applicare la New intelligenza artificiale al mio data lake, è molto facile attivare l'interruttore e farlo senza dover spostare i dati, quindi abbiamo la flessibilità necessaria, ma non credo che siamo ancora al punto di proteggere il modello Foundation sul nostro data lake".
0:10:58.8 Max Havey: Assolutamente, e questo ci riporta a quello che dicevi, ovvero che l'idea è che tutti i dati parlino in un certo senso la stessa lingua e che tutto ciò che c'è debba essere decodificato in un modo che confonderà gli operatori della sicurezza e cose del genere. E penso che sia particolarmente interessante considerando la rapidità con cui la sicurezza, l'intelligenza artificiale e tutte le innovazioni tecnologiche si stanno muovendo in questo momento. Stiamo vedendo New soluzioni spuntare ogni due settimane, sembra, ed essere in grado di adattare quei dati e applicarli di conseguenza, se vedi una soluzione che si sta avvicinando, penso che sia davvero entusiasmante e interessante, e la dice lunga su ciò che puoi fare con l'innovazione in futuro.
0:11:33.2 Troy Wilkinson: Assolutamente, penso che uno dei vantaggi più esclusivi che vedo nel breve termine per l'intelligenza artificiale sia la possibilità di tradurre query complesse che un operatore della sicurezza deve scrivere in linguaggio naturale. Penso che il team delle operazioni di sicurezza sia diventato davvero abile nello scrivere script e query complesse per interrogare i propri dati, ma formare la prossima generazione di operatori di sicurezza sarà molto più semplice se potranno semplicemente porre domande ai propri dati, come "mostrami dove si trova questo o mostrami dove ho questa vulnerabilità". Potendo porre domande normali e poi far sì che l'intelligenza artificiale le traduca in una query complessa in grado di effettuare ricerche nel Data Lake molto rapidamente, ci aiuterà a ottenere risultati migliori e più velocemente. Penso anche che il data lake ci consentirà di conservare questi dati per periodi di tempo più lunghi, in modo che se si verifica una violazione, se un'azienda subisce una violazione, si possa tornare indietro e unire i dati alla telemetria, cosa che prima non si sarebbe potuta fare.
0:12:25.6 Troy Wilkinson: Ad esempio, l'IBM Ponemon Institute l'anno scorso, quindi la durata media di una violazione prima del rilevamento è di circa 180 giorni, quindi sei mesi prima che un'azienda si renda conto che gli autori della minaccia sono nel suo ambiente, e quindi se non si conservano sei mesi di quella telemetria completa dai firewall, dal rilevamento e risposta degli endpoint e dall'antivirus, si perderanno alcuni di quei componenti di dati critici per ricostruire la storia di come l'autore della minaccia è entrato e cosa ha fatto all'inizio di questo accesso, il data lake consente di archiviare quei dati a costi molto bassi per periodi di tempo più lunghi, e quindi si è in grado di tornare indietro e usarli nelle indagini per scoprire esattamente cosa è successo dal momento dell'ingresso fino a oggi.
0:13:06.3 Max Havey: E nello stesso tipo di pensiero, ci sono stati incidenti di sicurezza importanti che hai visto segnalati come conseguenza di Data Lake non adeguatamente protetti e, in tal caso, ci sono lezioni importanti che si possono imparare da questo tipo di incidenti?
0:13:19.6 Troy Wilkinson: Sì, penso che il recente numero di Snowflake sia un buon esempio. Si tratta di un enorme database Data Lake che i clienti utilizzano per una serie di motivi. Noi utilizziamo Ticketmaster, che è uno degli incidenti più noti relativi a Snowflake di quest'anno. Credo che sia un buon esempio di come utilizzare una corretta igiene informatica, avendo tutti gli account protetti dall'autenticazione a più fattori, avendo i giusti firewall applicativi in atto per garantire che quegli account di servizio siano protetti. Penso quindi che proprio queste best practice di accesso ai dati o al Data Lake siano molto importanti, essere in grado di crearle e avere quella giusta igiene informatica è la chiave del successo.
0:13:57.7 Max Havey: Assolutamente, non vuoi trovarti in una situazione in cui hai password in testo normale o cose in giro che non dovrebbero esserci quando hai a che fare con dati di questo volume e di questa sensibilità.
0:14:08.3 Troy Wilkinson: Assolutamente.
0:14:09.1 Max Havey: Portaci qui. Quali sono alcune strategie o consigli che consiglieresti ai CISO e ad altri professionisti della sicurezza quando si tratta di proteggere i Data Lake, oltre alla semplice igiene informatica generale? Ci sono altri consigli o strategie che vorresti suggerire alla gente?
0:14:24.8 Troy Wilkinson: Sì, penso che dal punto di vista della protezione dei Data Lake, dovresti decidere cosa è giusto per la tua azienda specifica, puoi eseguirlo on-premise, puoi eseguirlo nel cloud e tutte le stesse protezioni che normalmente applicheresti qui, quindi l'accesso iniziale, l'autenticazione a più fattori, le tue credenziali di amministratore utilizzando un gestore di accesso privilegiato, tutto lo stesso tipo di protezione che applicheresti a qualsiasi altro software come servizio o un'applicazione on-premise con dati di alto valore o critici. Ma la cosa più importante è che penso che i data lake siano un'ottima opzione per chi vuole decidere come cambiare il futuro delle proprie operazioni di sicurezza, ovvero le ricerche di correlazione. Penso che questo sia il momento giusto nel settore per le SIM e per l'arrivo della prossima generazione di Data Lake. Ce ne sono così tanti sul mercato, non voglio fare nomi, ma ci sono molti fornitori che si stanno lanciando nel genere Data Lake e, finché si ha questo schema comune, si è in grado di trasferire i dati se necessario, di mantenerli più a lungo e di effettuare correlazioni in modo rapido e su larga scala, il che è molto importante nel centro operativo di sicurezza.
0:15:24.8 Max Havey: Assolutamente. E per concludere, Troy, cosa ti entusiasma di più del futuro di ciò che possiamo realizzare con la sicurezza, i data lake e cose del genere? Cosa ti entusiasma di più di questo tipo di innovazione che guarda al futuro?
0:15:36.8 Troy Wilkinson: Sì, penso che ci siano due cose qui. Il primo passo è riuscire a importare più dati di telemetria o di sicurezza di quanti ne avessimo prima per una serie di motivi, e inserirli in uno schema comune in modo da poter effettuare Advanced Analytics. Questo è il primo punto, ha sicuramente dimostrato che stiamo aumentando le nostre capacità su larga scala con l'aiuto dei Data Lake e anche con l'avvento dell'intelligenza artificiale e di alcune delle analisi che stiamo applicando lì, ma il secondo punto è davvero il costo, essere in grado di ridurre il costo dei dati è utile per acquisire più dati e archiviarli in modo da poter effettuare queste correlazioni su un set di dati più ampio, e questo è molto importante se si pensa a tutte le enormi quantità di fonti di dati molto rumorose dai log dei percorsi cloud, dai log dei flussi e dai log DNS, cose che tradizionalmente le persone non raccoglierebbero o archivierebbero per un periodo di tempo, ora è possibile effettivamente archiviare ed effettuare ricerche di correlazione.
0:16:27.7 Troy Wilkinson: Ci dà la speranza di poter trovare le cose più velocemente, il motivo principale per cui le aziende archiviano questo tipo di dati e li mantengono nel tempo è quello di trovare più velocemente i malintenzionati, trovare più velocemente l'autore della minaccia che sta cercando di trarre vantaggio dalla tua azienda, e credo che i Data Lake lo permettano davvero, offrendo la possibilità di eseguire Advanced Analytics su set di dati più grandi, in modo rapido e su larga scala, lo dico molte volte, mi piace questo termine, perché se siamo in grado di farlo su larga scala e di acquisire davvero questi dati e farlo più velocemente, daremo agli operatori della sicurezza la possibilità di agire più velocemente, di fermare i malintenzionati più velocemente e di eliminarli più velocemente dal tuo sistema, quindi questo ci dà una mano, gli autori della minaccia sono in continua evoluzione, dobbiamo stare al passo con loro e penso che questo ci dia un'ottima opportunità per farlo.
0:17:09.0 Max Havey: Assolutamente, Troy. Credo che questo ci porti alla fine delle nostre domande, quindi vorrei solo ringraziarti per essere qui con noi oggi. È stata una conversazione affascinante e penso che abbiamo imparato molto sui Data Lake e su cosa aspettarci con entusiasmo, mentre le cose continuano a innovarsi in questo mondo, guardando al futuro.
0:17:23.4 Troy Wilkinson: Assolutamente, Max, grazie per avermi invitato. E non vedo l'ora di leggere il prossimo.
0:17:26.1 Max Havey: Sì, assolutamente. E hai ascoltato il podcast Security Visionaries. Sono stato il vostro ospite, Max Havey, e se vi è piaciuto questo episodio, condividetelo con un amico e iscrivetevi a Security Visionaries sulla vostra piattaforma podcast preferita, lì potrete ascoltare il nostro catalogo di episodi precedenti e tenere d'occhio quelli New che usciranno ogni due settimane. Presentato da me o dalla mia co-conduttrice, la meravigliosa Emily Wearmouth. E con questo, ci vediamo al prossimo episodio.
){kind=icon}
