C'è una buona probabilità che, da qualche parte all'interno dello stack di sicurezza di un'azienda, ci sia almeno un prodotto di uno dei 26 fornitori della Cyber Threat Alliance, un gruppo di condivisione delle minacce del settore dietro le quinte che questa settimana ha annunciato il suo 100 milionesimo punto di dati osservabili condivisi .
CTA include pilastri del settore come Cisco, Palo Alto Networks e Symantec, oltre a difensori specifici del settore come Dragos, tra molti altri di tutte le dimensioni.
SC Media ha parlato con l'amministratore delegato di CTA Michael Daniel, l'ex zar della sicurezza informatica della Casa Bianca, di ciò che la condivisione delle minacce significa per il settore e per gli utenti finali.
La Cyber Threat Alliance ha annunciato mercoledì il suo 100 milionesimo osservabile condiviso. Cosa diresti a un CISO che dice "È un bel numero tondo, ma cosa ci faccio?"
Una delle cose che sta iniziando a dire è che la natura della concorrenza sta cambiando nelle società di sicurezza informatica. In passato si basava sul fatto che le aziende fossero in grado di dire "So qualcosa che tu non sai". Ma nessuna singola entità vede ogni singolo indicatore di cose cattive. Nessuno è così grande. E certamente nessuno ha visto tutto il contesto. È un po 'come dire "Il mio pool di dati inadeguato è migliore dei suoi". Non è un punto di forza.
Ma se posso dire: "Posso fare di più con i dati, più velocemente o fare qualcosa di più specifico per il tuo settore", vale la pena venderlo.
[La concorrenza] si basava sul fatto che le aziende fossero in grado di dire "So qualcosa che tu non sai" … È un po 'come dire "Il mio pool di dati inadeguato è migliore del suo". Non è un punto di forza.
Michael Daniel, CEO di CTA
La condivisione non ha reso la concorrenza meno intensa. Ha semplicemente spostato la concorrenza più in alto nella catena del valore.
Ma tutti i prodotti sono migliori grazie a più indicatori di compromesso e più contesto.
Aiuta le società di sicurezza informatica a combattere meglio l'avversario.
Ci sono esempi concreti di ciò, in cui la condivisione del settore ha cambiato il modo in cui i difensori potevano rispondere?
Un buon esempio dall'inizio è stato WannaCry. Quando è emerso per la prima volta, tutti stavano cercando un vettore di posta elettronica. È così che le società di sicurezza pensavano che si stesse diffondendo, ma presumevano di non vedere l'e-mail. Ma CTA – che all'epoca era di 14 provider – nessuno di loro aveva visto un'email. Si è spenta una lampadina. [WannaCry si è diffuso tramite una vulnerabilità di rete di Windows a quel tempo oscura e recentemente corretta].
Al momento, probabilmente ha ridotto da 24 a 72 ore il tempo di risposta.
Esiste una gamma piuttosto ampia di società in CTA, un gruppo di dimensioni diverse, alcune come Dragos che si concentrano su settori molto specifici. Come ci si assicura che tutti stiano fornendo dati validi che altri possono utilizzare?
Con le aziende del settore, penso che lo stiamo ancora imparando.
I cattivi condividono e riutilizzano gli strumenti. Quando provano qualcosa nel settore finanziario, in futuro potrebbero provarlo nel settore sanitario. Quando vedi qualcosa nello spazio del sistema di controllo industriale, dove si trova Dragos, fornisce comunque informazioni su ciò che gli altri settori vedono e vedranno.
Fare in modo che tutte le aziende partecipino è inserito nel nostro statuto. Le aziende sono tenute a inviare una certa quantità di dati a settimana che viene valutata.
In teoria, se qualcuno stava caricando liberamente, potremmo cacciarlo via. Non abbiamo mai dovuto farlo.
Michael Daniel, CEO di CTA
Non partecipare a CTA significa che sei stato rifiutato da un club esclusivo o è una scelta di non aderire?
Cerchiamo di stare attenti a come lo diciamo, ma non abbiamo mai dovuto rifiutare nessuno per non soddisfare i nostri criteri.
Ma quando i CISO guardano ai fornitori di sicurezza informatica, uno dei criteri dovrebbe essere il modo in cui giocano con gli altri. Questo avvantaggia tutti.
Se la condivisione dei dati è così preziosa, significa che il consolidamento del settore è inevitabile?
Quando parlo con i CISO, il reclamo numero uno è "Ho 84 domande, non so nemmeno cosa fa il numero 37, come posso semplificarlo?"
Chiaramente c'è una richiesta, se non di consolidamento, per una maggiore interoperabilità. Fa parte del giocare bene con gli altri.
Il post Cyber Threat Alliance CEO ed ex cyber-zar della Casa Bianca su come giocare bene con gli altri è apparso per la prima volta su SC Media .